Różności i nowinki technologia

Cloudflare, Apple i inni wspierają nowy sposób na uczynienie Internetu bardziej prywatnym

Cloudflare, Apple i inni wspierają nowy sposób na uczynienie Internetu bardziej prywatnym

Od ponad trzech dziesięcioleci najważniejszy fundament Internetu stanowi zagrożenie dla prywatności i bezpieczeństwa ponad miliarda ludzi, którzy używają go na co dzień. Teraz Cloudflare, Apple i sieć dostarczania treści Fastly wprowadziły nowatorski sposób rozwiązania tego problemu za pomocą techniki, która uniemożliwia dostawcom usług i szpiegom sieciowym zobaczenie adresów odwiedzanych przez użytkowników końcowych lub wysyłania wiadomości e-mail.

Inżynierowie ze wszystkich trzech firm opracowali Oblivious DNS, poważną zmianę w obecnym systemie nazw domen, która tłumaczy przyjazne dla człowieka nazwy domen na adresy IP, których komputery potrzebują, aby znaleźć inne komputery w Internecie. Firmy współpracują z Internet Engineering Task Force w nadziei, że stanie się to standardem w całej branży. W skrócie ODoH, Oblivious DNS opiera się na osobnym ulepszeniu DNS o nazwie DNS over HTTPS, który pozostaje na bardzo wczesnym etapie wdrażania.

Sposób, w jaki działa teraz DNS

Kiedy ktoś odwiedza arstechnica.com – lub jakąkolwiek inną stronę internetową, jeśli o to chodzi – jego przeglądarka musi najpierw uzyskać adres IP używany przez serwer hostingowy (który w tej chwili to 3.128.236.93 lub 52.14.190.83). Aby to zrobić, przeglądarka kontaktuje się z resolwerem DNS, który jest zwykle obsługiwany przez dostawcę usług internetowych lub usługę, taką jak 8.8.8.8 Google lub 1.1.1.1 Cloudflare. Jednak od samego początku DNS cierpiał na dwie kluczowe słabości.

Po pierwsze, zapytania DNS i zwracane przez nie odpowiedzi nie były szyfrowane. Dzięki temu każdy może przeglądać połączenia i monitorować, które witryny odwiedza użytkownik. Co gorsza, osoby z tą możliwością mogą również manipulować odpowiedziami, aby użytkownik przeszedł do witryny podszywającej się pod arstechnica.com, a nie do tej, którą teraz czytasz.

Aby naprawić tę słabość, inżynierowie z Cloudflare i innych firm opracowali DNS przez HTTPS lub DoH i DNS przez TLS lub DoT. Oba protokoły szyfrują wyszukiwania DNS, uniemożliwiając osobom między nadawcą a odbiorcą przeglądanie lub manipulowanie ruchem. Tak obiecujące jak DoH i DoT, wiele osób pozostaje wobec nich sceptycznie nastawionych, głównie dlatego, że oferuje je tylko garstka dostawców. Tak mała pula pozostawia tym dostawcom możliwość rejestrowania wykorzystania Internetu przez potencjalnie miliardy ludzi.

To prowadzi nas do drugiej poważnej wady DNS. Nawet jeśli DoH lub DoT jest na miejscu, szyfrowanie nie uniemożliwia dostawcy DNS zobaczenia nie tylko żądań wyszukiwania, ale także adresu IP komputera, który je tworzy. Umożliwia to dostawcy tworzenie kompleksowych profili osób stojących za adresami. Jak wspomniano wcześniej, ryzyko prywatności staje się jeszcze większe, gdy DoH lub DoT zmniejsza liczbę dostawców do zaledwie kilku.

ODoH ma naprawić tę drugą wadę. Powstający protokół wykorzystuje szyfrowanie i umieszcza sieciowy serwer proxy między użytkownikami końcowymi a serwerem DoH, aby zagwarantować, że tylko użytkownik ma dostęp zarówno do informacji o żądaniu DNS, jak i do adresu IP, który je wysyła i odbiera. Cloudflare wywołuje użytkownika końcowego klientem, a mechanizm rozpoznawania nazw DNS obsługiwany przez dostawcę usług internetowych lub innego dostawcę jako cel. Poniżej znajduje się diagram.

Cloudflare

Jak to działa

W poście na blogu przedstawiającym Oblivious DoH, badacze Cloudflare Tanya Verma i Sudheesh Singanamalla napisali:

Cały proces rozpoczyna się od klientów, którzy szyfrują swoje zapytania do celu za pomocą HPKE. Klienci uzyskują klucz publiczny celu za pośrednictwem DNS, gdzie jest on umieszczony w rekordzie zasobów HTTPS i chroniony przez DNSSEC. Po wygaśnięciu TTL dla tego klucza klienci żądają nowej kopii klucza w razie potrzeby (tak jak w przypadku rekordu A / AAAA po wygaśnięciu TTL tego rekordu). Użycie klucza publicznego celu walidowanego przez DNSSEC gwarantuje, że tylko zamierzony cel może odszyfrować zapytanie i zaszyfrować odpowiedź (odpowiedź).

Klienci przesyłają te zaszyfrowane zapytania do serwera proxy za pośrednictwem połączenia HTTPS. Po otrzymaniu proxy przekazuje zapytanie do wyznaczonego celu. Następnie obiekt docelowy odszyfrowuje zapytanie, generuje odpowiedź, wysyłając zapytanie do rekurencyjnego programu rozpoznawania nazw, takiego jak 1.1.1.1, a następnie szyfruje odpowiedź do klienta. Zaszyfrowane zapytanie od klienta zawiera zaszyfrowany materiał klucza, z którego obiekty docelowe wyprowadzają klucz symetryczny szyfrowania odpowiedzi.

Ta odpowiedź jest następnie przesyłana z powrotem do serwera proxy, a następnie przekazywana do klienta. Cała komunikacja jest uwierzytelniana i poufna, ponieważ te wiadomości DNS są szyfrowane od końca do końca, mimo że są przesyłane przez dwa oddzielne połączenia HTTPS (klient-proxy i proxy-cel). Komunikat, który w innym przypadku wydaje się proxy jako zwykły tekst, jest w rzeczywistości zaszyfrowanym błędem.

Praca w toku

W poście czytamy, że inżynierowie wciąż mierzą koszt wydajności dodania serwera proxy i szyfrowania. Jednak wczesne wyniki wydają się obiecujące. W jednym badaniu dodatkowy narzut między zapytaniem / odpowiedzią DoH z proxy a jego odpowiednikiem w ODoH był mniejszy niż 1 milisekunda przy 99. percentylu. Cloudflare zapewnia znacznie bardziej szczegółowe omówienie wydajności ODoH w swoim poście.

Jak dotąd ODoH jest nadal bardzo pracowity. Dzięki pracy z Cloudflare, wkładowi Apple i Fastly – oraz zainteresowaniu Firefoksa i innych – ODoH jest warte poważnego potraktowania. Jednocześnie brak Google, Microsoft i innych kluczowych graczy sugeruje, że ma przed sobą długą drogę.

Jasne jest, że DNS pozostaje rażąco słaby. To, że jeden z najbardziej fundamentalnych mechanizmów Internetu w 2020 roku nie jest powszechnie szyfrowany, jest niczym innym jak szaleństwem. Krytycy opierali się DoH i DoT z obawy, że prywatność jest traktowana jako bezpieczeństwo. Jeśli ODoH może przekonwertować przeciwników i nie zepsuje Internetu, będzie to tego warte.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook