DNSCrypt - DNSCrypt
| Internett-sikkerhet protokoller |
|---|
| Nøkkelstyring |
| Påføringslag |
| domenenavn system |
| Internett -lag |
DNSCrypt er en nettverksprotokoll som autentiserer og krypterer DNS -trafikk ( Domain Name System ) mellom brukerens datamaskin og rekursive navneservere . Det ble opprinnelig designet av Frank Denis og Yecheng Fu.
Selv om det finnes flere klient- og serverimplementeringer, ble protokollen aldri foreslått for Internet Engineering Task Force (IETF) ved hjelp av en Request for Comments (RFC).
DNSCrypt ombryter umodifisert DNS -trafikk mellom en klient og en DNS -resolver i en kryptografisk konstruksjon for å oppdage forfalskning. Selv om det ikke gir ende-til-ende-sikkerhet, beskytter det det lokale nettverket mot mann-i-midten-angrep .
Det demper også UDP -baserte forsterkningsangrep ved å kreve at et spørsmål er minst like stort som det tilsvarende svaret. Dermed bidrar DNSCrypt til å forhindre DNS -forsterkningsangrep .
Utplassering
I tillegg til private distribusjoner, har DNSCrypt -protokollen blitt vedtatt av flere offentlige DNS -oppløsere, de aller fleste er medlemmer av OpenNIC -nettverket, samt virtuelle private nettverkstjenester (VPN).
OpenDNS (nå en del av Cisco ) kunngjorde den første offentlige DNS -tjenesten som støtter DNSCrypt 6. desember 2011, kort tid etterfulgt av CloudNS Australia.
29. mars 2016 kunngjorde Yandex støtte for DNSCrypt -protokollen på deres offentlige DNS -servere, så vel som i Yandex Browser .
14. oktober 2016, AdGuard lagt DNSCrypt til deres DNS filtrering modul, slik at brukerne kan flytte fra sine leverandører til tilpasset eller AdGuard egne DNS-servere for personvern på nettet og annonseblokkering .
September 2018 kunngjorde Quad9 nonprofit public recursive resolver -tjeneste støtte for DNSCrypt.
Andre servere som støtter sikker protokoll er nevnt i DNSCrypt -skapernes liste.
Protokoll
DNSCrypt kan brukes enten over UDP eller over TCP . I begge tilfeller er standardporten 443 . Selv om protokollen radikalt skiller seg fra HTTPS , bruker begge tjenestetyper den samme porten . Selv om DNS over HTTPS og DNSCrypt er mulig på samme port, må de fortsatt kjøres separat på forskjellige servere. To serverapplikasjoner kan ikke kjøres samtidig på samme server hvis begge bruker samme port for kommunikasjon; selv om en teori med multipleksing er teoretisk mulig.
I stedet for å stole på pålitelige sertifikatmyndigheter som vanligvis finnes i nettlesere, må klienten eksplisitt stole på den offentlige signeringsnøkkelen til den valgte leverandøren. Denne offentlige nøkkelen brukes til å verifisere et sett med sertifikater, hentet ved hjelp av konvensjonelle DNS -spørringer. Disse sertifikatene inneholder kortsiktige offentlige nøkler som brukes til utveksling av nøkler, samt en identifikator for chifferpakken som skal brukes. Klienter oppfordres til å generere en ny nøkkel for hver forespørsel, mens servere oppfordres til å rotere kortsiktige nøkkelpar hver 24. time.
DNSCrypt -protokollen kan også brukes til tilgangskontroll eller regnskap, ved bare å godta et forhåndsdefinert sett med offentlige nøkler. Dette kan brukes av kommersielle DNS -tjenester for å identifisere kunder uten å måtte stole på IP -adresser.
Spørringer og svar er kryptert ved hjelp av den samme algoritmen og polstret til et multiplum på 64 byte for å unngå lekkasje av pakkestørrelser. Over UDP, når et svar ville være større enn spørsmålet som fører til det, kan en server svare med en kort pakke hvis TC (avkortet) bit er angitt. Klienten bør deretter prøve igjen med TCP og øke utfyllingen av påfølgende spørsmål.
Versjon 1 og 2 av protokollen bruker X25519 -algoritmen for nøkkelutveksling, EdDSA for signaturer, samt X Salsa20 - Poly1305 eller X ChaCha20 -Poly1305 for autentisert kryptering.
Fra og med 2020 er det ingen kjente sårbarheter i DNSCrypt -protokollen eller praktiske angrep mot dens underliggende kryptografiske konstruksjoner.
Anonymisert DNSCrypt
Anonymisert DNSCrypt er en protokollutvidelse foreslått i 2019 for ytterligere å forbedre DNS -personvernet.
I stedet for å svare direkte på klienter, kan en resolver fungere som en gjennomsiktig proxy til en annen resolver, og skjule den virkelige klientens IP for sistnevnte. Anonymisert DNSCrypt er et lett alternativ til Tor og SOCKS proxyer, spesielt designet for DNS -trafikk.
Implementering av anonymisert DNSCrypt startet i oktober 2019, og protokollvedtakelsen gikk raskt, og 40 DNS -reléer ble satt opp bare to uker etter offentlig tilgjengelighet av klient- og serverimplementeringer.
Se også
- DNS over HTTPS
- DNS over TLS
- System Security Extensions (DNSSEC) for domenenavn
- Elliptisk kurve kryptografi
- Kurve25519
- DNSCurve
