Skip to main content

Инженеры Apple работают с Cloudflare и Fastly над созданием Oblivious DNS, нового стандарта, который может усложнить отслеживание действий пользователя в сети.

Хотя Интернет предлагает различные меры защиты конфиденциальности для своих жителей, включая шифрование и VPN, одной из областей, которые легче отслеживать, является система доменных имен. По сути, это адресная книга для Интернета, DNS позволяет использовать доменные имена, которые ссылаются на определенные IP-адреса веб-сайтов, что делает всю систему более удобной для людей.

Однако природа DNS означает, что он отправляется и принимается между машинами в виде открытого текста, что легко отслеживается третьими сторонами, что делает его отслеживаемым элементом. Такие разработки, как DNS over HTTPS (DoH), усложняют для внешних сил изменение DNS-запросов, указывающих на вредоносные сайты, но по-прежнему позволяют отслеживать действия пользователей.

Стремясь сделать DNS более приватным и менее отслеживаемым, группа инженеров Apple, Cloudflare и Fastly разработала Oblivious DNS over HTTPS (ODoH). Отделение IP-адреса от запроса дает возможность сделать DNS-запросы более безопасными, поскольку не все стороны имеют доступ к IP-адресу или запросу одновременно.

Как работает ODoH?

Система работает, полагаясь как на шифрование с открытым ключом, так и на сетевой прокси-сервер, расположенный между клиентом и сервером DoH. Запрос шифруется клиентом и отправляется на сервер DoH через прокси.

Сервер DoH может расшифровать запрос, выдает на него ответ, шифрует этот ответ и отправляет его обратно на прокси-сервер, который затем отправляет его обратно клиенту.

По сути, прокси-сервер знает о зашифрованных сообщениях между клиентом и сервером DoH, но не о содержимом сообщения. Между тем, DoH-сервер знает содержание самого сообщения, но только адрес прокси, а не клиента.

Хотя теоретически возможно объединить содержимое сообщения и адрес клиента, если и прокси, и сервер DoH принадлежат одному и тому же объекту, фундаментальным правилом является то, что прокси и сервер DoH не вступают в сговор. совсем.

На практике это в основном будет заключаться в том, чтобы прокси и сервер DoH принадлежали разным компаниям.

График Cloudflare показывает время отклика сети для ODoH в сравнении с DoH и DoH через Tor.

Добавление к DNS-запросу шифрования и дешифрования, а также прокси-сервера может вызвать некоторую озабоченность у пользователей, которые хотят, чтобы их DNS-запросы выполнялись как можно быстрее. Cloudflare утверждает, что первоначальное тестирование конфигураций ODoH на самом деле является многообещающим, чтобы избежать этих опасений.

По заявлению компании, дополнительное шифрование имеет «маргинальный» эффект, поскольку для 99% запросов требуется менее 1 миллисекунды.

Когда ODoH будет готов к использованию?

Во вторник Cloudflare и его партнеры, в том числе PCCW Global, Surf и Equinix, запустили прокси-серверы Oblivious DNS через HTTPS, чтобы стимулировать его дальнейшую разработку и внедрение, используя DNS-преобразователь Cloudflare 1.1.1.1. Для тестовых клиентов был открыт исходный код, чтобы заинтересованные стороны могли протестировать его самостоятельно.

Несмотря на то, что существующие усилия направлены на дальнейшее совершенствование системы, может пройти некоторое время, прежде чем она станет пригодной для использования потребителями. Несмотря на то, что Apple участвует в проекте, это не гарантирует, что он появится в iOS, macOS или Safari в ближайшее время.

Дольше всего придется ждать, пока он будет сертифицирован в качестве стандарта Инженерной группой Интернета, что сделает его более привлекательным для разработчиков.