Se ho capito bene, questo è un diagramma di rete approssimativo della tua situazione:
StaidicendocheAeBvoglionoparlare,manonpossonofarlodirettamente,quindiusanolafunzionediinoltro.StaipensandodiavereAimpostareunaconnessionecrittografata(TLS)aRelayequindiutilizzareRelaycomeproxyperlaconnessione(oltreunaltrotunnelTLS)aB.
Sembracomplicato,mafondamentalmentesesiutilizzaunproxyhttpsoqualsiasiserverVPN(adesempio,mycompany.example)ecisiconnetteaunaltrositohttps(adesempio,bank.example),sistagiàstratificandolacrittografiasullacrittografia.Vediamocomefunzionanoleopzionipossibili(stratificazioneononstratificazione).
Opzione1:encryptA<->BmanonA<->RelaynéB<->Relay
Senoneseguiiltunnelall'internodeltunnel,invieraipacchettidaAaRelayedaRelayaBnoncrittografati.MapoichésonodestinatiaB,iltrafficoverràcrittografatoperB,nessunopuòleggereilcontenutodellaconnessione(soloAeBstessi).L'unicainformazionechestaiperdendoachiunquestaascoltandosulpercorsotraA<->RelayandRelay<->BècheAeBstannocomunicando.Ilrelènonsaràingradodileggereilcontenutodellaconnessione.
Opzione2:crittografareA->RelayeA->B
Se,comechiedete,c'èuntunneltraAeRelayetraAeB,quindilepersonecheascoltanosuA<->RelaypossonosolovederecheAstacomunicandoconRelay;elepersonecheascoltanosuRelay<->BvedrannodinuovosoloRelaychecomunicanoconB.IlRelaynonsaràingradodileggereilcontenutodellaconnessione.
Opzione3:crittografareA->RelayeB->Relay
Infinec'èlapossibilitàdicrittografarelaconnessionedaAaRelaymanondaAaB(esupponendocheBcontinuiaconfigurareunaconnessione(TLS)aRelayperchéèdietroNAT).InquestocasoiltrafficoètrasparenteperRelay,machiunqueosservivedràsololaconnessionedaAaRelayedaBaRelay.
Quindidipendedalfattochesitrattidiunproblemaselepersonecheintercettanolelineepossonovedereladestinazionedeipacchetti(valeadireAeB).DoppiacrittografiasignificadoppiapotenzaCPUperAeB(solosingolareperRelaypoichénondecodificailcontenuto,soloillivelloesterno),manonsonosicurochefacciaunagrandedifferenzaoloavrestimenzionato.
(Crediti:l'immagineèstatacreatacon link . L'XML è nella fonte di questo post.)