Questo sito è federato con il Fediverso pertanto visitandolo potresti fare connesssioni esterne ai server di Mastodon, Lemmy, Friendica e altri software.
Non vengono installati cookie né raccolti dati personali da parte nostra, ma i server di destinazione potrebbero ricevere il tuo indirizzo IP come normale parte della comunicazione Internet.

DONAZIONI 💛

NymVPN: quando la VPN incontra la decentralizzazione

Scritto da

skariko

in

NymVPN: quando la VPN incontra la decentralizzazione

📅 Pubblicato il

L’ultimo aggiornamento di questo post è di 2 mesi fa

Come funziona NymVPN: un’interessante VPN decentralizzata con modalità multi-hop senza scendere a troppi compromessi.

INTERAZIONI DAL FEDIVERSO

⁂ Questo articolo è federato!

Puoi commentarlo, ricondividerlo o apprezzarlo tramite il tuo profilo sul Fediverso.

Prova a cercare l’indirizzo di questo articolo su Mastodon, Lemmy, Citiverse o Friendica!

Siamo finalmente riusciti a (ri)provare NymVPN, dopo averle provato a dare una possibilità subito appena uscita a marzo 2025. Avendo avuto all’epoca scarsi risultati abbiamo dato colpa alla sua giovanissima età per cui abbiamo atteso qualche mese e ora eccoci qui finalmente pronti con una recensione su questa VPN decentralizzata.

Ringraziamo NymVPN per averci gentilmente concesso un mese di accesso gratuito e averla potuta così testare agevolmente.

NymVPN: quando la VPN incontra la decentralizzazione

NymVPN si auto-promuove come “la più privata al mondo” per merito, a detta loro, di un’architettura completamente diversa dalle VPN tradizionali. Il servizio è stato lanciato ufficialmente da Nym Technologies, un’azienda svizzera guidata da alcune personalità importanti nell’ambito della privacy, tra cui Harry Halpin (ex ricercatore INRIA), e con la consulenza di Chelsea Manning per la sicurezza.

La domanda più importante dunque è: quanto di questa promessa è marketing e quanto è sostanza reale?

Lo diciamo fin da subito: se siete allergici a blockchain, token, e criptovalute state lontani da questo articolo! Noi come sempre cercheremo di parlarne obiettivamente e cercando di tenere lontani i pregiudizi, che anche noi abbiamo su questo tema e su quel che riguarda blockchain, token e altre parole che spesso si usano solo per farsi belli.

I nodi di NymVPN

La prima cosa importante da capire è che NymVPN non è una VPN tradizionale dove un’azienda possiede o affitta dei server sparsi per il mondo come può essere per esempio Proton VPN o Mullvad VPN. Quella di cui parliamo è invece una rete decentralizzata dove i server (chiamati “nodi”) sono gestiti da operatori indipendenti sparsi in tutto il mondo. Al momento della stesura dell’articolo ci sono circa 800 nodi totali sulla rete Nym, di cui 240 vengono selezionati ogni ora per essere attivi e far parte della topologia della rete.

Chi può diventare operatore di un nodo?

La domanda dunque sorge spontanea. Chi può diventare un operatore? Teoricamente chiunque può diventare operatore di un nodo Nym. Il sistema è creato per far sì che non serva nessun permesso di alcuna autorità centrale per entrare a far parte della rete. Per diventare node operator basta soltanto:

  1. Installare il software open source nym-node sul proprio server
  2. Fare un bond di almeno 100 token NYM (che al momento della scrittura valgono circa 10€)
  3. Configurare il nodo in una delle tre modalità disponibili: mixnode, entry-gateway o exit-gateway

Il sistema di bond funziona un po’ come una garanzia: vengono vincolati dei token NYM per segnalare alla rete che sei un operatore serio. Più token hai in bond (inclusi quelli che altri utenti ti “delegano”), più alta è la tua reputazione e più probabilità hai di essere selezionato per far parte della rete.

So che avete già alcune domande, e noi pure. E quindi cercheremo di rispondere a quelle che pensiamo siano venute in mente a molti:

Chi può delegarti token, e perché dovrebbe farlo?

Chiunque possieda token NYM può “delegare” i propri token al tuo nodo. Questi token rimangono di proprietà di chi li delega, ma aumentano la tua “reputazione” sulla rete e chi delega riceve una percentuale delle ricompense che il tuo nodo guadagna.

È quindi una sorta di investimento: loro scommettono che il tuo nodo sarà performante e affidabile. Se il tuo nodo funziona bene e guadagna ricompense, anche loro guadagnano una parte. Se il tuo nodo fa schifo e sta sempre offline, guadagneranno poco o nulla.

E si guadagna ad aprire un nodo di questo tipo?

L’idea è quella. Si viene ricompensati in token NYM. Provando di aver mixato correttamente il traffico riceverete una ricompensa in base a performance, qualità del servizio e reputazione. Non entreremo però nel dettaglio di “quanto si guadagna” perché questo articolo vuole concentrarsi sulla reale affidabilità della rete e non se si può diventare ricchi o meno con NymVPN.

Come viene garantita la qualità dei nodi?

Come dicevamo entra in gioco un sistema di incentivi, i nodi vengono valutati continuamente in base a:

  • Performance: uptime, latenza, velocità
  • Reputazione: quantità di token NYM (propri + delegati)
  • Qualità del servizio: pacchetti persi, stabilità della connessione

Solo i nodi che rispettano determinati standard di performance vengono inclusi e possono ricevere ricompense in token NYM. Il sistema premia quindi automaticamente chi mantiene server veloci e affidabili, mentre chi ha nodi scadenti viene automaticamente escluso.

Non c’è un’autorità centrale che decide chi è dentro e chi è fuori: tutto viene gestito sulla blockchain Nyx.

I rischi di diventare un nodo

Come forse molti di voi avranno già intuito e si staranno domandando: ma quindi se divento un nodo rischio che se una persona va su un sito poco raccomandabile mi arriva la Polizia Postale a casa?

Diciamo intanto che potete scegliere quale tipologia di nodo essere:

  • Entry gateway: vede il tuo IP reale ma tutto il traffico è crittografato, non sa cosa stai facendo
  • Mix nodes (i 3 layer centrali): vedono solo traffico crittografato indistinguibile che rimescolano, non sanno né chi sei né cosa fai
  • Exit gateway: qui arriva il traffico in chiaro verso internet – quindi questo nodo è in una posizione simile all’exit node di Tor

Questi ultimi sono quindi potenzialmente a rischio. Il traffico esce da loro verso internet e con il loro indirizzo IP. Se un utente fa qualcosa di illegale (scarica materiale pedopornografico, fa attacchi, ecc.), l’IP che appare è quello dell’exit gateway e le autorità potrebbero “bussare alla porta” di chi fa operatore. Ne avevamo parlato anche per URNetwork, se ben ricordate.

Potete scegliere quale nodo essere e i nodi centrali o quello di entrata dovrebbero essere sostanzialmente a rischio zero. Per invogliare a diventare degli Exit gateway invece Nym ha pensato a degli incentivi e a dei suggerimenti per diventarne uno. Devono inoltre approvare una Exit Policy per evitare abusi.

Nessun punto di controllo centrale

Quando un operatore fa partire il suo nodo e completa il bond dei token NYM, uno smart contract sulla blockchain registra automaticamente quel nodo come disponibile. Non c’è nessun dipendente di Nym Technologies che deve approvare o rifiutare la tua partecipazione: se hai i requisiti tecnici e i token, sei dentro.

Questa architettura significa che Nym Technologies non possiede né controlla i server della VPN. L’azienda sviluppa il software e coordina la ricerca, ma la rete è effettivamente gestita da una comunità globale di operatori indipendenti.

Questa particolarità la differenzia appunto dalle VPN tradizionali perché elimina il classico problema delle VPN dove devi fidarti che l’azienda non tenga log o non subisca pressioni da governi o autorità.

Doppia modalità: Fast e Anonymous

NymVPN offre due modalità di connessione molto diverse tra loro, ed è importante capire quando usare l’una o l’altra.

Fast Mode: il 2-hop con AmneziaWG

È probabilmente l’unica modalità sensata e funzionante nell’utilizzo quotidiano.

La modalità Fast utilizza un protocollo chiamato AmneziaWG, che è una variante modificata di WireGuard progettata per resistere alla censura e al blocco dei VPN. Il traffico passa attraverso due server (2-hop):

  1. Entry gateway: il primo server sa chi sei (il tuo IP reale) ma non sa cosa stai facendo
  2. Exit gateway: il secondo server vede il traffico in uscita ma non sa da chi provenga, vedendo solo l’IP del primo gateway

Questo è simile al multi-hop che abbiamo visto su altre VPN come Mullvad, ma con la differenza fondamentale che qui i due server non sono gestiti dalla stessa azienda ma sono due nodi indipendenti scelti casualmente dalla rete decentralizzata.

Abbiamo usato praticamente solo ed esclusivamente questa modalità durante il nostro mese di test e la velocità è stata mediamente buona e in generale ottima per l’utilizzo quotidiano come navigazione, streaming etc. Nelle nostre prove è risultata sicuramente utilizzabile anche se non velocissima come altre VPN commerciali soprattutto se paragonate a quelle senza multi-hop.

Anonymous Mode: il mixnet a 5 hop

Qui le cose si fanno interessanti dal punto di vista tecnico ma dal punto di vista dell’utilizzo reale e quotidiano è un mezzo disastro. La modalità Anonymous non è una semplice VPN, ma utilizza una tecnologia chiamata mixnet con un routing a 5 layer:

  1. Entry gateway
  2. Mix node layer 1
  3. Mix node layer 2
  4. Mix node layer 3
  5. Exit gateway

L’unico vantaggio che potrebbe avere questa configurazione rispetto al semplice utilizzo di Tor è che gli Exit gateway potrebbero essere su meno blacklist rispetto agli exit node di Tor. Tuttavia la navigazione risulta pressoché impossibile e infatti viene suggerita solo per “email”, “messaggi” o “pagamenti”. Ma a questo punto, pensiamo noi, tanto vale usare Tor probabilmente.

Come funziona il mixnet nel dettaglio

Nonostante non sia particolarmente suggerita da noi questa modalità (a meno di incredibili miglioramenti nella velocità nei prossimi anni), vediamo nel dettaglio come funziona. Il traffico viene frammentato in pacchetti di dimensione uniforme e crittografato usando il formato Sphinx con più layer di crittografia (un po’ come una cipolla, simile a Tor).

Ogni pacchetto passa attraverso questi 5 hop e a ogni hop viene rimosso un layer di crittografia rivelando solo l’indirizzo del prossimo hop. Nessun nodo sa sia da dove proviene sia dove sta andando il traffico.

Ma c’è anche di più: il mixnet aggiunge tre tecniche avanzate per contrastare l’analisi del traffico:

  1. Mixing: i pacchetti vengono mescolati insieme al traffico di altri utenti a ogni hop, rendendo impossibile correlare i pacchetti in entrata con quelli in uscita
  2. Cover traffic: vengono aggiunti pacchetti “dummy” che sembrano identici a quelli reali, confondendo ulteriormente le analisi
  3. Timing delays: i pacchetti vengono inviati con ritardi randomizzati per nascondere i pattern temporali

Questa combinazione serve a proteggere contro gli attacchi di analisi del traffico basati sull’intelligenza artificiale. Anche se qualcuno sta monitorando sia l’entrata che l’uscita della rete e usa l’IA per correlare i pattern di traffico, il sistema di mixing, cover traffic e timing delays rende estremamente difficile questa analisi.

La topologia cambia ogni ora

Un altro elemento di sicurezza importante: la topologia della rete (cioè quali 240 nodi sono attivi) viene riselezionata ogni ora (epoch). Questo significa che anche se un attaccante riuscisse a compromettere alcuni nodi, dopo un’ora la toplogia cambia completamente rendendo quasi impossibile costruire un percorso malevolo per tracciare gli utenti.

Il problema della velocità

La modalità Anonymous però estremamente lenta e al limite dell’inutilizzabile. NymVPN suggerisce di usare l’Anonymous mode solo per attività sensibili che non richiedono banda elevata: transazioni crypto, email sicure, messaggistica. Per tutto il resto è meglio usare il Fast mode.

Nessun username o email

Abbiamo apprezzato molto il sistema di gestione dell’account. Così come altre VPN valide anche NymVPN non chiede né username né password: quando ti abboni riceverai un access code di 24 parole che è l’unica cosa che serve per accedere e soprattutto che non devi mai dimenticare (da memorizzare nel proprio password manager).

Il sistema di pagamento usa una tecnologia chiamata zk-nyms (zero-knowledge Nym credentials). In pratica:

  1. Paghi l’abbonamento con il metodo che preferisci (crypto, carta, PayPal, ecc.)
  2. NymVPN genera delle credenziali crittografiche zero-knowledge che rappresentano il tuo abbonamento
  3. Queste credenziali sono completamente slegate dal metodo di pagamento che hai usato

Non c’è quindi modo di collegare il proprio metodo di pagamento all’uso effettivo della VPN. È possibile anche pagare con Monero o Zcash per un livello ancora maggiore di privacy. L’access code inoltre può essere usato su fino a 10 dispositivi contemporaneamente.

Senza log

NymVPN pubblicizza un “can’t log design” invece del solito “no-log policy“. La differenza, a detta loro, è che non promettono di non tenere log ma è tecnicamente impossibile per loro tenere log significativi dato che la rete è decentralizzata e nessun singolo nodo conosce sia l’origine che la destinazione del traffico.

Sulla blockchain Nyx vengono registrati solo:

  • La directory dei nodi attivi
  • Gli stake e le delegazioni
  • Le ricompense distribuite

Nessun dato utente tocca mai la blockchain. L’azienda Nym Technologies dunque non può sapere cosa fai o chi sei perché non controlla i nodi e il sistema crittografico è progettato proprio per impedirlo.

Open source e audit

Tutto il codice è open source, comprese le applicazioni, e disponibile su GitHub. La rete ha ricevuto 4 audit di sicurezza indipendenti tra il 2021 e il 2024 e tutti resi pubblici, incluso uno importante da Cure53 nel 2024.

Cosa manca, cosa aspettarsi e le nostre sensazioni

NymVPN è uscita da poco dalla fase beta e ci sono ancora diverse funzionalità che mancano o sono in arrivo:

  • Split tunneling: è stato inserito da pochissimo nella versione Android, sembra mancare ancora nelle altre versioni
  • Ad blocking: nessun piano al momento per un blocco degli annunci integrato come avviene su altre VPN
  • Post-quantum encryption: in roadmap
  • Prestazioni: come detto la modalità Anonymous è ancora troppo lenta per un uso pratico quotidiano
  • Stabilità: anche la modalità Fast non è del tutto stabile anche se rispetto a quanto avevamo provato a marzo sono stati fatti passi veramente enormi quindi questa cosa fa ben sperare per il futuro.

L’applicazione è comunque disponibile per tutte le piattaforme principali (Windows, macOS, Linux, Android, iOS) ed è scaricabile anche da F-Droid per Android, il che è un punto a favore.

Non ci sono moltissime impostazioni di cui parlare in realtà, l’applicazione è semplice da usare e si può scegliere il server di entrata e di uscita. Una cosa positiva è la possibilità di vedere ogni singolo dettaglio del server a cui andremo a collegarci: che versione di Nym ospita, quali sono le prestazioni complessive, che protocollo utilizza, se ha un IP di un datacenter o di un privato, con quale indirizzo IP si uscirà e via dicendo.

Per il resto le impostazioni hanno solamente la possibilità di attivare o meno il traffico IPv6, l’autostart quando si avvia il sistema e decidere se utilizzare o meno il protocollo QUIC per migliorare la possibilità di non essere beccati a usare una VPN non durante la navigazione, quello dipende principalmente dall’IP, ma dal posto in cui si è. Se ad esempio siete in una Nazione o in un luogo dove le VPN sono vietate grazie al protocollo QUIC potrete riuscire a superare questa censura.

Su Android ne abbiamo apprezzato la stabilità generale rispetto ad altre VPN decentralizzate (URNetwork si comporta molto peggio).

Nei test di velocità il ping risulta spesso molto alto rispetto alle classiche VPN (intorno ai 100ms) mentre per quanto riguarda la velocità si può vedere dello streaming senza grosse difficoltà.

Conclusioni e prezzi, ne vale la pena?

A essere sinceri non sappiamo come rispondere a questa domanda! Se è vero che le VPN tradizionali sono potenzialmente rischiose perché parliamo di aziende che gestiscono in autonomia server e che gestiscono, anche nei multi-hop, sia i server in entrata che in uscita, non ci sono notizie reali e significative di problemi legali avuti con VPN serie come Mullvad VPN, Proton VPN o Windscribe.

Dunque le VPN decentralizzate sono sicuramente un argomento interessante e che continueremo a trattare ma non siamo certi che possano essere davvero “il futuro” o anche solo necessarie. Probabilmente lo potrebbero diventare nel caso le VPN tradizionali non riuscissero più a rispettare alcuni parametri di sicurezza e privacy ma ad oggi questo rischio non sembra essere presente.

Una possibile via di mezzo a tutto questo potrebbe essere Obscura VPN ma ne parleremo più avanti 🙂

Prezzi

Se volete provare questa novità noi non la sconsigliamo. La rete sembra affidabile, il sistema anche se nuovo è ben studiato e ha alle spalle organizzazioni e Università serie. Sembra venga fatto tutto seriamente e la natura open source rende tutto più trasparente.

In questo periodo i costi sono molto bassi e si possono acquistare due anni a soli 76.56€ (quindi poco più di 3€ al mese) dunque se volete provarla ma soprattutto se volete scommettere sul fatto che tra due anni sarà molto meglio di come è ora e in qualche modo sostenerla potrebbe essere un buon affare.

Hai trovato errori o imprecisioni nell’articolo? Puoi segnalarle su Feddit!

skariko
skariko
@skariko@www.lealternative.net

Autore ed amministratore del progetto web Le Alternative

1.227 articoli
268 follower

Cerca e segui skariko@www.lealternative.net sul tuo profilo Mastodon, Friendica o Pixelfed per rimanere sempre aggiornato sui suoi nuovi articoli! Su Lemmy, invece, puoi seguire la comunità dedicata.

DONAZIONI 💛

Altri articoli