Где ваше имя утекает на сервер
Сервер приватен ровно настолько, насколько надёжно его самое слабое звено. Ваша личность может привязаться в четырёх разных точках, и единственная утечка в любой из них распутывает всю цепочку: домен (публичные записи WHOIS), аккаунт хостинга (KYC и платёжная идентичность), платёж (карты и банковские переводы напрямую сопоставляются с юридическим именем) и операционные метаданные, которые вы накапливаете со временем — повторно используемые ключи SSH, переиспользуемые ники, почта, которой вы также пользуетесь для покупок, сессия браузера, перекрывающая разные личины.
Желание закрыть эти точки — обычное и законное. Журналисты защищают источники, активисты защищают себя, бизнес защищает инфраструктуру от конкурентов и от целенаправленных атак, а множество людей просто отказываются кормить экономику сбора идентичности без всякой причины, кроме предпочтения приватности по умолчанию. Ничто из этого не требует оправданий. Работа механическая: продуманно обработать каждый слой, чтобы ни одна отдельная запись, повестка или скрейп не собирали полную картину.
SP·02Слой первый: домен
Раньше публичный WHOIS публиковал имя, адрес, почту и телефон регистранта на скрейпинг всему миру. Теперь ICANN по умолчанию скрывает большинство персональных полей в рамках GDPR, но у регистратора по-прежнему хранятся ваши настоящие данные, и его могут обязать их выдать — скрытие это занавес, а не стена. Два хода её укрепляют. Первый — использовать регистратора, который предлагает настоящую WHOIS-приватность, а не перепродаёт ваши данные. Второй — отдать предпочтение регистратору в стиле Njalla, который регистрирует домен на своё имя и предоставляет вам договорное право им пользоваться: ваши данные изначально не становятся записью о регистранте.
Оплачивайте регистратора в крипте, где это возможно, держите аккаунт домена на нике и почте, которые больше нигде не используете, и поднимайте свой DNS на серверах имён, которые нетривиально привязать обратно к вам. Если домен и хостинг находятся в разных компаниях в разных странах, ни один из них в одиночку не держит всю историю.
SP·03Слой второй: аккаунт хостинга
Большинство хостеров требуют идентичность при регистрации — имя, адрес, иногда скан документа — и эта запись лежит в их биллинговой системе на весь срок жизни аккаунта. Хостер без KYC устраняет эту точку утечки по своей конструкции. У нас весь аккаунт — это ник и пароль; псевдоним подходит, почты в файле нет, и ни на одном шаге нет проверки личности. То, что мы технически храним, коротко и перечислено на странице политики no-KYC: выбранный вами ник (файлы аккаунта ключатся по его SHA-1-хешу), хеш пароля argon2id, ваш баланс, спецификации заказа и кратко ротируемые логи сервера. Ничего из этого набора не является вашим юридическим именем, потому что мы его никогда не собираем.
Здесь юрисдикция важнее сокрытия. Выбор того, где физически стоит сервер, определяет, какие суды могут чего-либо потребовать. Наша позиция фиксирована и её стоит знать до того, как вы что-то построите: уведомления DMCA не обрабатываются и не отвечаются — DMCA это закон США, не имеющий силы в наших юрисдикциях — и мы действуем только по обязывающему предписанию суда, обладающего юрисдикцией над конкретным сервером. Выбирайте регион осознанно; сопутствующее руководство по выбору офшорной локации разбирает компромиссы.
SP·04Слой третий: платёж
Именно на платеже большинство приватных схем тихо проваливается. Карта, аккаунт PayPal или банковский перевод напрямую привязываются к вашей юридической личности и оставляют постоянную запись у процессинга, как бы аккуратны вы ни были с доменом и хостингом. Крипта разрывает эту связь — но не вся крипта одинакова. Bitcoin псевдонимен, и его реестр публичен и навсегда отслеживаем; фирма по анализу блокчейна часто может довести платёж в BTC обратно до вывода с биржи, сделанного с вашим документом. Monero (XMR) приватен по умолчанию, с кольцевыми подписями, скрытыми адресами и конфиденциальными суммами, которые делают такой же анализ непрактичным — поэтому он возглавляет наш список монет.
Наша балансовая модель сохраняет приватной и саму покупку: вы пополняете аккаунт от $30.00 любой из 17 валют (21 монет и сетевых вариантов), а затем оплачиваете серверы из этого баланса. Ни один платёжный процессинг по отдельному заказу никогда не видит, что вы купили — он видит пополнение, и не более. Если вам приходится использовать Bitcoin, относитесь к нему как к отслеживаемому и проведите его через своп без KYC перед пополнением. Держите пополнения скромными и неприметными, а не одним крупным круглым числом, которое выделяется в любой записи, и избегайте финансирования прямо с вывода биржи, который несёт ваш KYC-отпечаток в платёж.
SP·05Слой четвёртый: операционная гигиена
Подводит редко криптография — подводит человек. Аутентифицируйтесь на своих серверах ключами SSH, а не паролями, и используйте отдельный ключ для каждого проекта, чтобы одна компрометация не разблокировала всё. Никогда не используйте ник, почту или пароль из вашей приватной схемы там, где они соприкасаются с вашей настоящей личностью; один общий вход обрушивает личины. Держите работу в отдельном профиле браузера или отдельной VM и не входите в личные аккаунты через тот же выходной IP, который вы используете для приватного узла.
Разделяйте цепочку между юрисдикциями намеренно: регистратор в одной стране, хостинг в другой, платёжный канал в третьей, чтобы ни один отдельный юридический запрос не доставал всё сразу. Следите и за тихими утечками — запросы DNS, ускользающие из туннеля, запись rDNS, называющая вас, аналитический скрипт, сообщение в поддержку, написанное вашим обычным голосом с вашего обычного адреса. Направляйте вопросы, связанные с заказом, через панель, а не через любой канал, привязанный к личной идентичности, и держите одну согласованную личину на проект, чтобы личины никогда не перекрёстно не загрязнялись. Приватность — продукт последовательных мелких решений, а не одного хитрого трюка.
SP·06Что законно — а что нет
Это нужно сказать прямо. Приватность законна. Владеть сервером, не транслируя своё имя, законно. Платить в Monero законно. Ни одна из приведённых выше техник не является правонарушением, и относиться к ним как к чему-то изначально подозрительному — ровно тот надзорный рефлекс, сопротивляться которому они и существуют.
Но анонимность — не лицензия, и было бы безответственно намекать на обратное. Скрытие имени не делает противоправное действие правомерным и не защитит вас от суда, обладающего юрисдикцией над сервером. No-KYC — это не отсутствие правил: наша политика допустимого использования запрещает спам, CSAM, управление вредоносным ПО, запуск атак типа «отказ в обслуживании» и фишинг, а её нарушение приводит к удалению сервера, как бы приватно за него ни платили. Цель этого руководства — держать обычную, законную деятельность приватной от массового сбора данных, а не притворяться, будто закон останавливается у занавеса приватности.
SP·07Реалистичная модель угроз
Соизмеряйте усилия с противником. Многослойный подход, описанный выше, надёжно отражает повседневные угрозы: брокеров данных, парсеры WHOIS, маркетинговую слежку, любопытного интернет-провайдера, оппортунистического злоумышленника, отталкивающегося от утёкшей базы данных. Для подавляющего большинства людей именно это и есть реальные риски, и закрытие четырёх точек связывания их устраняет.
Он не побеждает целеустремлённого, хорошо обеспеченного ресурсами противника, имеющего юридический рычаг в выбранной вами юрисдикции и терпение, чтобы со временем сопоставлять метаданные, — и он никогда не побеждает ваши собственные ошибки. Вредоносное ПО на вашем клиенте, повторно использованный пароль, личный вход с неправильного IP или одно неосторожное сообщение сведут на нет идеальную инфраструктуру. Поэтому решите, от кого вы на самом деле защищаетесь, выстраивайте защиту под этот уровень и пересматривайте модель по мере изменения обстоятельств — конфигурация, которой хватало для бытовой приватности, может потребовать усиления, если ваша уязвимость растёт. Помните, что самое слабое звено почти всегда — человек за клавиатурой, а не шифрование.
