Per più di tre decenni, la base più importante di Internet ha posto minacce alla privacy e alla sicurezza per oltre un miliardo di persone che lo utilizzano ogni giorno. Ora, Cloudflare, Apple e la rete di distribuzione dei contenuti Fastly hanno introdotto un nuovo modo per risolvere questo problema utilizzando una tecnica che impedisce ai fornitori di servizi e ai ficcanaso di rete di vedere gli indirizzi visitati dagli utenti finali o a cui inviano e-mail.
Gli ingegneri di tutte e tre le società hanno ideato Oblivious DNS, una modifica importante all'attuale sistema dei nomi di dominio che traduce i nomi di dominio a misura d'uomo negli indirizzi IP di cui i computer hanno bisogno per trovare altri computer su Internet. Le aziende stanno lavorando con la Internet Engineering Task Force nella speranza che diventi uno standard a livello di settore. Abbreviato in ODoH, Oblivious DNS crea un miglioramento DNS separato chiamato DNS su HTTPS, che rimane nelle primissime fasi di adozione.
Contents
Il modo in cui funziona il DNS ora
Quando qualcuno visita arstechnica.com, o qualsiasi altro sito web, del resto, il suo browser deve prima ottenere l'indirizzo IP utilizzato dal server di hosting (che al momento è 3.128.236.93 o 52.14.190.83). Per fare ciò, il browser contatta un resolver DNS che in genere è gestito dall'ISP o da un servizio come 8.8.8.8 di Google o 1.1.1.1 di Cloudflare. Fin dall'inizio, tuttavia, il DNS ha sofferto di due principali punti deboli.
Innanzitutto, le query DNS e le risposte restituite non sono state crittografate. Ciò consente a chiunque sia in grado di visualizzare le connessioni per monitorare quali siti sta visitando un utente. Ancora peggio, le persone con questa capacità potrebbero anche essere in grado di manomettere le risposte in modo che l'utente acceda a un sito mascherato da arstechnica.com, piuttosto che a quello che stai leggendo ora.
Annuncio pubblicitario
Per correggere questa debolezza, gli ingegneri di Cloudflare e altrove hanno sviluppato DNS su HTTPS o DoH e DNS su TLS o DoT. Entrambi i protocolli crittografano le ricerche DNS, rendendo impossibile per le persone tra mittente e destinatario di visualizzare o manomettere il traffico. Per quanto promettenti siano DoH e DoT, molte persone rimangono scettiche nei loro confronti, principalmente perché solo una manciata di provider lo offre. Un pool così piccolo lascia questi provider nella posizione di registrare l'utilizzo di Internet di potenzialmente miliardi di persone.
Questo ci porta al secondo grande difetto del DNS. Anche quando sono presenti DoH o DoT, la crittografia non fa nulla per impedire al provider DNS di vedere non solo le richieste di ricerca ma anche l'indirizzo IP del computer che le effettua. Ciò consente al provider di creare profili completi delle persone dietro gli indirizzi. Come notato in precedenza, il rischio per la privacy diventa ancora maggiore quando DoH o DoT riducono il numero di provider a una manciata.
ODoH ha lo scopo di correggere questo secondo difetto. Il protocollo emergente utilizza la crittografia e colloca un proxy di rete tra gli utenti finali e un server DoH per garantire che solo l'utente abbia accesso sia alle informazioni di richiesta DNS che all'indirizzo IP che le invia e le riceve. Cloudflare chiama l'utente finale il client e il resolver DNS gestito dall'ISP o da un altro provider il target. Di seguito è riportato un diagramma.
Cloudflare
Come funziona
In un post sul blog che introduce l'oblivious DoH, i ricercatori di Cloudflare Tanya Verma e Sudheesh Singanamalla hanno scritto:
L'intero processo inizia con i client che crittografano la loro query per la destinazione utilizzando HPKE. I client ottengono la chiave pubblica di destinazione tramite DNS, dove viene raggruppata in un record di risorse HTTPS e protetta da DNSSEC. Quando il TTL per questa chiave scade, i client richiedono una nuova copia della chiave secondo necessità (proprio come farebbero per un record A / AAAA quando il TTL di quel record scade). L'utilizzo della chiave pubblica convalidata da DNSSEC di una destinazione garantisce che solo la destinazione prevista possa decrittografare la query e crittografare una risposta (risposta).
I client trasmettono queste query crittografate a un proxy tramite una connessione HTTPS. Al ricevimento, il proxy inoltra la query alla destinazione designata. La destinazione quindi decrittografa la query, produce una risposta inviando la query a un resolver ricorsivo come 1.1.1.1 e quindi crittografa la risposta al client. La query crittografata dal client contiene materiale di codifica incapsulato da cui le destinazioni derivano la chiave simmetrica di crittografia della risposta.
Questa risposta viene quindi rispedita al proxy e successivamente inoltrata al client. Tutte le comunicazioni sono autenticate e riservate poiché questi messaggi DNS sono crittografati end-to-end, nonostante vengano trasmessi su due connessioni HTTPS separate (client-proxy e proxy-target). Il messaggio che altrimenti appare al proxy come testo in chiaro è in realtà un confuso crittografato.
Un lavoro in corso
Il post afferma che gli ingegneri stanno ancora misurando il costo delle prestazioni dell'aggiunta del proxy e della crittografia. I primi risultati, tuttavia, sembrano promettenti. In uno studio, l'overhead aggiuntivo tra una query / risposta DoH proxy e la sua controparte ODoH era inferiore a 1 millisecondo al 99 ° percentile. Cloudflare fornisce una discussione molto più dettagliata sulle prestazioni di ODoH nel suo post.
Annuncio pubblicitario
Finora, ODoH rimane un work in progress. Con la guida di Cloudflare, i contributi di Apple e Fastly e l'interesse di Firefox e altri, ODoH merita di essere preso sul serio. Allo stesso tempo, l'assenza di Google, Microsoft e altri attori chiave suggerisce che c'è ancora molta strada da fare.
Ciò che è chiaro è che il DNS rimane evidentemente debole. Che uno dei meccanismi più fondamentali di Internet, nel 2020, non sia universalmente crittografato è a dir poco folle. I critici hanno resistito a DoH e DoT per la preoccupazione che scambia la privacy con la sicurezza. Se ODoH può convertire gli oppositori e non rompe Internet nel processo, ne varrà la pena.
