本APNIC文摘原標題為Improving the privacy of DNS and DoH with oblivion,由Geoff Huston撰文。
過去很長一段時間,我們明知DNS不夠安全、不夠可靠,但畢竟算是堪用,所以即使DNS完全無法保障隱私、越來越多的中間人攻擊(man-in-the-middle attack)讓我們必須變法使用DNS,大家都還是沒有改善DNS的念頭。史諾登事件是最後的當頭棒喝,迫使我們正視DNS的種種問題。
從那開始,IETF針對網際網路維運的隱私保護展開一系列密集動作,DNS自然是其中一環。DoT(DNS over TLS)和DoH(DNS over HTTPS)都是這個情境下的產物。
但是,DoT與DoH提供的隱私保護都還是不夠。準確來說,這兩個方式都是逼使用者從兩難中抉擇:是要揭露個資給ISP,還是讓應用程式業者(如Google、Cloudflare)看到我的隱私資訊?
最簡單的答案,應該是兩個都不要。ODNS與ODoH就是為此誕生的兩種解法。
ODNS透過在不同節點加密不同資訊的方式,確保DNS查詢保密。遞迴解析器只會知道使用者端解析器的身分,不會知道查詢資料。另一方面,權威解析器收到查詢後雖然可以得知查詢資料,卻不知道查詢來源的使用者端解析器身分。最後,權威解析器回傳查詢結果時,雖然其他節點可能從而得知部分查詢內容,但無法得知權威解析器、第一個遞迴解析器和使用者端解析器的身分。
然而,因為ODNS是使用既有的DNS解析器基礎架構,所以在加密原始查詢資料上不免仍有限制。ODoH採取的是另一種方式:將使用者端到遞迴解析器的DoH通信期拆解成2個通信期:使用者端到代理人(proxy),代理人到遞迴解析器。
ODoH在DoH的架構上加上「代理加密」的元素,由代理人避免目標或來源得知對方身分,且由於DoH本身就有的加密方式,代理人也無法得知DNS查詢內容。
ODoH的優點在於不需要將加密資訊硬塞進傳統的DNS查詢封包,缺點則是ODoH架構下2個主要加密節點(代理人和遞迴解析器)必須由不同角色營運,否則就有被破解的風險。另一方面,ODNS因為沒有代理人的設定,不須擔心上述ODoH的缺點。但ODNS的問題是雖然查詢全程加密,但任何旁人都能一眼看出這是一個ODNS查詢。
現代人益發重視隱私保護,是否意味著這2種新的DNS加密方式也會因此流行?作者認為大部分使用者不會特別去設定自己的DNS查詢方式,但很多網路上的應用程式很可能樂於利用這些新的加密技術,進一步促進應用程式與網際網路基礎建設的斷層,最終導致DNS分裂。
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Improving the privacy of DNS and DoH with oblivion。
圖片來源:APNIC網站
