• Tecnología
  • Equipo eléctrico
  • Industria de materiales
  • vida digital
  • política de privacidad
  • oh nombre
Localización: Hogar / Tecnología / Cloudflare, Apple y otros respaldan una nueva forma de hacer que Internet sea más privado

Cloudflare, Apple y otros respaldan una nueva forma de hacer que Internet sea más privado

techserving |
3006

Agrandar

imágenes falsas

comentarios del lector

124

con 80 carteles participando

Comparte esta historia

Compartir en Facebook

Compartir en Twitter

Compartir en Reddit

Durante más de tres décadas, el sustento más clave de Internet ha planteado amenazas a la privacidad y la seguridad de los más de mil millones de personas que lo utilizan todos los días. Ahora, Cloudflare, Apple y la red de entrega de contenido Fastly han introducido una forma novedosa de solucionarlo utilizando una técnica que evita que los proveedores de servicios y los fisgones de la red vean las direcciones que visitan los usuarios finales o envían correos electrónicos.

Los ingenieros de las tres compañías han diseñado Oblivious DNS, un cambio importante en el sistema de nombres de dominio actual que traduce los nombres de dominio amigables para los humanos en las direcciones IP que las computadoras necesitan para encontrar otras computadoras en Internet. Las empresas están trabajando con el Grupo de trabajo de ingeniería de Internet con la esperanza de que se convierta en un estándar para toda la industria. Abreviado como ODoH, Oblivious DNS se basa en una mejora de DNS separada llamada DNS sobre HTTPS, que permanece en las primeras etapas de adopción.

La forma en que funciona el DNS ahora

Cuando alguien visita arstechnica.com, o cualquier otro sitio web, su navegador debe obtener primero la dirección IP utilizada por el servidor de alojamiento (que en este momento es 3.128.236.93 o 52.14.190.83). Para hacer esto, el navegador se pone en contacto con un solucionador de DNS que normalmente es operado por el ISP o un servicio como el 8.8.8.8 de Google o el 1.1.1.1 de Cloudflare. Sin embargo, desde el principio, el DNS ha sufrido dos debilidades clave.

En primer lugar, las consultas de DNS y las respuestas que devuelven se han desencriptado. Eso hace posible que cualquier persona que esté en condiciones de ver las conexiones pueda monitorear qué sitios está visitando un usuario. Peor aún, las personas con esta capacidad también pueden manipular las respuestas para que el usuario vaya a un sitio disfrazado de arstechnica.com, en lugar del que está leyendo ahora.

Anuncio publicitario

Para solucionar esta debilidad, los ingenieros de Cloudflare y otros lugares desarrollaron DNS sobre HTTPS o DoH y DNS sobre TLS o DoT. Ambos protocolos cifran las búsquedas de DNS, lo que hace imposible que las personas entre el remitente y el receptor vean o manipulen el tráfico. A pesar de lo prometedores que son DoH y DoT, muchas personas se muestran escépticas con respecto a ellos, principalmente porque solo unos pocos proveedores lo ofrecen. Un grupo tan pequeño deja a estos proveedores en condiciones de registrar el uso de Internet de potencialmente miles de millones de personas.

Eso nos lleva a la segunda gran deficiencia del DNS. Incluso cuando DoH o DoT está en su lugar, el cifrado no hace nada para evitar que el proveedor de DNS vea no solo las solicitudes de búsqueda, sino también la dirección IP de la computadora que las realiza. Eso hace posible que el proveedor cree perfiles completos de las personas detrás de las direcciones. Como se señaló anteriormente, el riesgo de privacidad se vuelve aún mayor cuando DoH o DoT reduce el número de proveedores a solo unos pocos.

ODoH tiene como objetivo solucio

nar este segundo defecto. El protocolo emergente utiliza encriptación y coloca un proxy de red entre los usuarios finales y un servidor DoH para garantizar que solo el usuario tenga acceso tanto a la información de solicitud de DNS como a la dirección IP que la envía y la recibe. Cloudflare llama al usuario final el cliente y al solucionador de DNS operado por el ISP u otro proveedor el objetivo. A continuación se muestra un diagrama.

Agrandar

Cloudflare

Cómo funciona

en un

entrada en el blog

Al presentar el Oblivious DoH, los investigadores de Cloudflare, Tanya Verma y Sudheesh Singanamalla, escribieron:

Un trabajo en progreso

La publicación dice que los ingenieros todavía están midiendo el costo de rendimiento de agregar el proxy y el cifrado. Sin embargo, los primeros resultados parecen prometedores. En un estudio, la sobrecarga adicional entre una consulta / respuesta de DoH proxy y su contraparte de ODoH fue de menos de 1 milisegundo en el percentil 99. Cloudflare proporciona una discusión mucho más detallada sobre el rendimiento de ODoH en su publicación.

Anuncio publicitario

Hasta ahora, ODoH sigue siendo un trabajo en progreso. Con el apoyo de Cloudflare, las contribuciones de Apple y Fastly, y el interés de Firefox y otros, vale la pena tomar en serio ODoH. Al mismo tiempo, la ausencia de Google, Microsoft y otros actores clave sugiere que aún queda un largo camino por recorrer.

Lo que está claro es que el DNS sigue siendo notoriamente débil. Que uno de los mecanismos más fundamentales de Internet, en 2020, no esté encriptado universalmente es una locura. Los críticos se han resistido a DoH y DoT por temor a que cambie la privacidad por seguridad. Si ODoH puede convertir a los detractores y no rompe Internet en el proceso, valdrá la pena.

Comentarios promocionados

Switzer

escribió:

mostrar citas anidadas

¿No es esto simplemente pasar la pelota del operador de DNS que puede identificarlo, a quien ejecuta el proxy que puede identificarlo? Quiero decir, en algún momento, una computadora tiene que hacer coincidir su solicitud con la respuesta, y es solo una cuestión de confianza que esa computadora no esté dirigida por un mal actor ...

No, porque la solicitud está encriptada para que solo el proveedor de DNS (destino) pueda desencriptarla. El proxy no puede ni sabe qué contiene la solicitud. Pero el proveedor no sabe quién envió la solicitud, ya que provino del proxy.

Sin embargo, esto supone que el proxy está siendo operado por alguien que no sea el proveedor de DNS. Si ambos están bajo el mismo techo, entonces el proxy conoce la fuente y el DNS conoce la consulta. Al correlacionar los registros entre ambos sistemas, aún sería posible desenmascarar al solicitante. Para que esto funcione, parece que el proxy y el proveedor de DNS tendrían que estar en una infraestructura separada, con protecciones de privacidad implementadas para garantizar que los dos Nunca compare notas Corto de una red abierta de proxies aleatorios y rutas de proveedores, en la superficie parece que es un paso en la dirección correcta, pero no una panacea de privacidad, ciertamente no hasta que tenga una amplia adopción, y la implementación no lo es. consolidado en un reducido número de proveedores.