Prolongar
Getty Images
comentários do leitor
124
com 80 pôsteres participantes
Compartilhe esta história
Compartilhar no Facebook
Compartilhar no Twitter
Compartilhe no Reddit
Por mais de três décadas, a base mais importante da Internet representou ameaças à privacidade e à segurança para mais de um bilhão de pessoas que a usam todos os dias. Agora, a Cloudflare, a Apple e a rede de entrega de conteúdo Fastly introduziram uma nova maneira de consertar isso usando uma técnica que impede os provedores de serviço e bisbilhoteiros de rede de ver os endereços que os usuários finais visitam ou para os quais enviam e-mail.
Os engenheiros das três empresas desenvolveram o Oblivious DNS, uma grande mudança no sistema de nomes de domínio atual que converte nomes de domínio amigáveis aos humanos em endereços IP de que os computadores precisam para encontrar outros computadores na Internet. As empresas estão trabalhando com a Força-Tarefa de Engenharia da Internet na esperança de que ela se torne um padrão para todo o setor. Abreviado como ODoH, Oblivious DNS constrói um aprimoramento de DNS separado chamado DNS sobre HTTPS, que permanece nos estágios iniciais de adoção.
A maneira como o DNS funciona agora
Quando alguém visita arstechnica.com - ou qualquer outro site, para esse assunto - seu navegador deve primeiro obter o endereço IP usado pelo servidor de hospedagem (que no momento é 3.128.236.93 ou 52.14.190.83). Para fazer isso, o navegador entra em contato com um resolvedor de DNS que normalmente é operado pelo ISP ou por um serviço como o 8.8.8.8 do Google ou 1.1.1.1 do Cloudflare. Desde o início, no entanto, o DNS sofreu com dois pontos fracos principais.
Primeiro, as consultas DNS e as respostas que elas retornam foram descriptografadas. Isso torna possível para qualquer pessoa em uma posição visualizar as conexões para monitorar quais sites um usuário está visitando. Pior ainda, pessoas com esse recurso também podem adulterar as respostas para que o usuário vá para um site mascarado como arstechnica.com, em vez daquele que você está lendo agora.
Propaganda
Para corrigir essa deficiência, os engenheiros da Cloudflare e de outros lugares desenvolveram DNS sobre HTTPS, ou DoH, e DNS sobre TLS, ou DoT. Ambos os protocolos criptografam as pesquisas DNS, tornando impossível para as pessoas entre o remetente e o destinatário visualizar ou adulterar o tráfego. Por mais promissores que o DoH e o DoT sejam, muitas pessoas continuam céticas em relação a eles, principalmente porque apenas um punhado de provedores os oferecem. Um pool tão pequeno deixa esses provedores em posição de registrar o uso da Internet de potencialmente bilhões de pessoas.
Isso nos leva à segunda grande deficiência do DNS. Mesmo quando DoH ou DoT estão em vigor, a criptografia não faz nada para evitar que o provedor de DNS veja não apenas as solicitações de pesquisa, mas também o endereço IP do computador que as faz. Isso possibilita ao provedor construir perfis abrangentes das pessoas por trás dos endereços. Conforme observado anteriormente, o risco de privacidade torna-se ainda maior quando DoH ou DoT reduz o número de provedores a apenas alguns.
ODoH se destina a corrigir esta segunda deficiência. O protocol
Prolongar
Cloudflare
Como funciona
Em um
postagem do blog
Apresentando o Oblivious DoH, os pesquisadores do Cloudflare Tanya Verma e Sudheesh Singanamalla escreveram:
Um trabalho em andamento
A postagem diz que os engenheiros ainda estão medindo o custo de desempenho para adicionar o proxy e a criptografia. Os primeiros resultados, no entanto, parecem promissores. Em um estudo, a sobrecarga adicional entre uma consulta / resposta com proxy DoH e sua contraparte ODoH foi inferior a 1 milissegundo no 99º percentil. O Cloudflare oferece uma discussão muito mais detalhada sobre o desempenho do ODoH em seu post.
Propaganda
Até agora, ODoH continua sendo um trabalho em andamento. Com o pastoreio da Cloudflare, as contribuições da Apple e Fastly - e o interesse do Firefox e outros - vale a pena levar a sério o ODoH. Ao mesmo tempo, a ausência do Google, da Microsoft e de outros participantes importantes sugere que ainda há um longo caminho a percorrer.
O que está claro é que o DNS continua extremamente fraco. Que um dos mecanismos mais fundamentais da Internet, em 2020, não seja criptografado universalmente é simplesmente uma loucura. Os críticos têm resistido ao DoH e ao DoT com a preocupação de que ele troque privacidade por segurança. Se ODoH puder converter os pessimistas e não quebrar a Internet no processo, valerá a pena.
Comentários promovidos
switzer
escreveu:
mostrar citações aninhadas
Isso não passa a bola do operador de DNS que consegue identificá-lo, para quem executa o proxy consegue identificá-lo? Quer dizer, em algum momento, um computador tem que combinar sua solicitação com a resposta, e é apenas uma questão de confiança de que esse computador não é executado por um mau ator ...
Não, porque a solicitação é criptografada para que apenas o provedor DNS (destino) possa descriptografá-la. O proxy não pode e não sabe o que a solicitação contém. Mas o provedor não sabe quem enviou a solicitação, pois veio do proxy.
No entanto, isso presume que o proxy está sendo operado por alguém que não seja o provedor de DNS. Se ambos estiverem sob o mesmo teto, o proxy conhece a origem e o DNS conhece a consulta. Ao correlacionar os registros entre os dois sistemas, ainda seria possível desmascarar o solicitante. Para que isso funcionasse, parece que o proxy e o provedor de DNS teriam que estar em uma infraestrutura separada, com proteções de privacidade para garantir que os dois nunca compare notas. Curto de uma rede aberta de proxies aleatórios e caminhos de provedor, na superfície parece que é um passo na direção certa, mas não uma panaceia de privacidade - certamente não até que tenha ampla adoção e a implementação não consolidada em um pequeno número de provedores.
