Proiectul prin care Apple vrea să facă din internet un loc cu adevărat privat

Pentru mai mult de trei decenii, cea mai importantă bază a Internetului a pus în pericol confidențialitatea și securitatea celor câteva miliarde de oameni care îl folosesc în fiecare zi.

Acum, Cloudflare, Apple și rețeaua de livrare de conținut Fastly, au introdus o modalitate de a remedia acest lucru folosind o tehnică care împiedică furnizorii de servicii și interceptorii de rețea să vadă adresele pe care utilizatorii finali le vizitează.

Inginerii din toate cele trei companii au conceput Oblivious DNS, o schimbare majoră a sistemului actual DNS (Domain Name System) care traduce numele de domenii în adresele IP de care computerele au nevoie pentru a găsi alte computere pe internet.

Abreviat ca ODoH, Oblivious DNS construiește o îmbunătățire a DNS separată numită DNS over HTTPS (DoH), care rămâne în primele etape ale adoptării.

9 lucruri pe care musafirii le analizează imediat ce intră în casă. Așa își dau seama cât des faci curățenie

Mădălina Ghenea, față în față cu femeia care a terorizat-o ani la rând: „Mă șochează”. A pierdut numeroase contracte din cauza ei

Cum funcționează DNS în prezent?

Când vizitezi un site, browserul tău trebuie să obțină mai întâi adresa IP utilizată de serverul de găzduire – adică o adresă formată din cifre aparent aleatorii, care oferă informații despre serverul tău.

Pentru a face acest lucru, browserul contactează un resolver DNS care este de obicei operat fie de către ISP (furnizorul de servicii de internet), fie de un serviciu precum Google 8.8.8.8 sau Cloudflare 1.1.1.1.

În tot acest proces, de la început, DNS prezintă două puncte slabe cheie, care pot pune în pericol confidențialitatea datelor tale.

În primul rând, interogările DNS și răspunsurile pe care le returnează nu sunt criptate.

Acest lucru face posibil ca cei care sunt în măsură să vizualizeze conexiunile, să monitorizeze ce site-uri vizitează un utilizator.

Mai rău, persoanele cu această capacitate ar putea să manipuleze răspunsurile, astfel încât utilizatorul să meargă pe un site mascat, mai degrabă decât pe cel pe care acesta îl căuta.

DoH și DoT sunt soluțiile care rectifică această slăbiciune

Pentru a remedia această problemă, inginerii de la Cloudflare și din alte părți au dezvoltat DNS over HTTPS (sau DoH) și DNS over TLS (sau DoT).

Ambele protocoale criptează căutările DNS, ceea ce face imposibil ca persoanele dintre expeditor și receptor să vizualizeze sau să manipuleze traficul.

Însă, oricât de promițătoare sunt DoH și DoT, mulți oameni rămân sceptici în privința lor, în principal pentru că doar câțiva furnizori le oferă.

Un grup atât de mic lasă acești furnizori într-o poziție de a înregistra modalitățile în care miliarde de oameni utilizează internetul.

Asta ne aduce la al doilea neajuns major al DNS

Chiar și atunci când DoH sau DoT sunt la locul lor, criptarea nu face nimic pentru a împiedica furnizorul DNS să vadă nu numai cererile de căutare, ci și adresa IP a computerului de pe care sunt făcute aceste căutări.

Acest lucru face posibil ca furnizorul să creeze profiluri cuprinzătoare ale persoanelor din spatele adreselor. Riscul de confidențialitate devine tot mai mare atunci când DoH sau DoT subțiază numărul furnizorilor la doar câțiva.

ODoH este destinat să remedieze acest al doilea neajuns

Protocolul emergent utilizează criptarea și plasează un proxy de rețea între utilizatorii finali și un server DoH pentru a garanta că numai utilizatorul are acces atât la informațiile de solicitare DNS, cât și la adresa IP care le trimite și primește.

Cloudflare numește utilizatorul final “client”, iar resolverul DNS operat de ISP sau de alt furnizor este numit “țintă”. Diagrama de mai jos explică întregul proces.

Cum funcționează Oblivious DoH (ODoH)?

Într-o postare de blog care prezintă Oblivious DoH, cercetătorii Cloudflare, Tanya Verma și Sudheesh Singanamalla, au explicat modul de funcționare a ODoH.

Întregul proces începe de la “clienți”, care își criptează interogarea pentru “țintă”, utilizând HPKE.

Clienții obțin cheia publică a țintei prin DNS, unde este grupată într-o înregistrare de resurse HTTPS și protejată de DNSSEC (extensie de securitate a DNS).

Când TTL-ul (Time to Live) pentru această cheie expiră, clienții solicită o nouă copie a cheii, după cum este necesar.

Utilizarea cheii publice validate DNSSEC a unei ținte garantează că numai ținta intenționată poate decripta interogarea și cripta un răspuns.

Clienții transmit aceste interogări criptate către un proxy printr-o conexiune HTTPS. La primire, proxy-ul transmite interogarea către ținta desemnată.

Ținta decriptează apoi interogarea, produce un răspuns prin trimiterea interogării către un resolver și apoi criptează răspunsul către client.

Interogarea criptată de la client conține material de tastare încapsulat din care țintele derivă cheia simetrică de criptare a răspunsului.

Acest răspuns este apoi trimis înapoi către proxy și transmis apoi clientului.

Toate comunicările sunt autentificate și confidențiale, deoarece aceste mesaje DNS sunt criptate end-to-end, în ciuda faptului că sunt transmise prin două conexiuni HTTPS separate (client-proxy și proxy-target).

Mesajul care altfel apare proxy-ului ca text simplu este, de fapt, o formulă criptată.

Postul spune că inginerii încă măsoară costul de performanță al adăugării proxy-ului și criptării. Cu toate acestea, rezultatele timpurii par promițătoare. Cloudflare oferă o discuție mult mai detaliată despre performanța ODoH în postarea sa.

Până în prezent, ODoH rămâne o lucrare în curs de desfășurare. Cu păstorirea din Cloudflare, contribuțiile de la Apple și Fastly – și interesul de la Firefox și alții – ODoH merită luat în serios.

În același timp, absența Google, Microsoft și a altor jucători cheie sugerează că are încă un drum lung de parcurs.

Ceea ce este clar este că DNS rămâne foarte slab. Faptul că unul dintre cele mai fundamentale mecanisme ale Internetului, în 2020, nu este criptat universal nu este decât o nebunie.