מהנדסי Cloudflare, אפל ורשת ההפצה המהירה יצרו את פרוטוקול ODoH (Doh Oblivious), כלומר שינוי משמעותי במערכת שמות הדומיינים הנוכחי שמתרגם שמות דומיינים ידידותיים למשתמש לכתובות IP שהמחשבים צריכים למצוא מחשבים אחרים.
חברות עובדים עם כוח המשימה להנדסת אינטרנט (IETF, ארגון המפתח ומקדם תקני אינטרנט) בתקווה שהוא יהפוך לתקן עולמי.
אודות ODoH
DoH בלתי מודע מסתמך על שיפור DNS נפרד הנקרא DNS-over-HTTPS (קיצור של DoH), שנמצא עדיין בשלבי אימוץ ראשונים.
ראשית, חשוב להכניס את האלמנטים להקשר שלהם. DNS הוא בסיס נתונים המחבר שם תיאורי, כגון www.domain.com, לסדרת מספרים ממוחשבים, הנקראת כתובת IP.
בעת ביצוע "חיפוש" במסד נתונים זה, דפדפן האינטרנט יכול למצוא אתרים בשמך. בשל התכנון הראשוני של DNS לפני עשרות שנים, דפדפנים שביצעו חיפוש DNS עבור אתרים (כולל https: //) הם נאלצו לבצע חיפושים אלה ללא הצפנה.
כי אין הצפנה, מכשירים אחרים בדרך הם יכולים גם לאסוף (או אפילו לחסום או לשנות) תאריכים אלה. בדיקות DNS נשלחות לשרתים שיכולים לרגל אחר היסטוריית הגלישה באתר שלך מבלי ליידע אותך או לפרסם מדיניות מה לעשות עם מידע זה.
כאשר נוצר האינטרנט, סוג זה של איום על פרטיותם וביטחונם של אנשים היה ידוע, אך טרם נוצל. היום, אנחנו יודעים את זה DNS לא מוצפן אינו רק פגיע לריגול, אלא הוא מנוצל, ושחקני התעשייה נחלצו כדי שהאינטרנט יוכל לעבור לחלופות בטוחות יותר.
לשם כך, דפדפנים בחרו לבצע בדיקות DNS על חיבור HTTPS מוצפן. זה יסתיר את היסטוריית הגלישה שלך מפני תוקפים ברשת, ימנע איסוף נתונים על ידי צדדים שלישיים ברשת המחבר את המחשב שלך לאתרים שאתה מבקר בהם.
לפיכך, נולד פרוטוקול DNS-over-HTTPS, שמציע את היכולת לדפדפני האינטרנט להסתיר שאילתות ותגובות DNS בתעבורת HTTPS רגילה למראה כדי להפוך את תעבורת ה- DNS של המשתמש לבלתי נראית לעין. יחד עם זאת, הדבר פוגע ביכולתם של שומרי רשת של צד שלישי (כגון ספקי אינטרנט) לזהות ולסנן את תנועת הלקוחות שלהם.
איך עובד Oblivious?
ODoH הוא פרוטוקול מתחיל בפיתוח ב- IETF, והוא עובד הוספת שכבה של הצפנת מפתח ציבורי וכן proxy רשת בין לקוחות DoH לשרתים, כגון 1.1.1.1.
על פי Cloudflare, השילוב של שני האלמנטים הנוספים הללו מבטיח כי רק למשתמש תהיה גישה גם להודעות DNS וגם לכתובת ה- IP שלו באותו זמן.
היעד מפענח את הבקשות המוצפנות על ידי הלקוח, באמצעות פרוקסי. כמו כן, המטרה מצפין את התגובות ושולח אותן חזרה לפרוקסי. התקן אומר שהיעד עשוי או לא יכול להיות הפותר.
ה- proxy עושה מה ש- proxy אמור לעשות, כן שמעביר מסרים בין הלקוח למטרה.
הלקוח מתנהג כפי שהוא עושה ב- DNS ו- DoH, אך מבדל את עצמו על ידי הצפנת השאילתות עבור היעד ופענוח התגובות מהיעד. כל לקוח שבוחר לעשות זאת יכול לציין פרוקסי ויעד לבחירתם.
יחד, ההצפנה וה- proxy הנוספים מספקים את האמצעים הבאים:
- היעד רואה רק את בקשת ה- proxy ואת כתובת ה- IP.
- לפרוקסי אין נראות להודעות DNS, אין לו את היכולת לזהות, לקרוא או לשנות את הבקשה שנשלחה על ידי הלקוח או את התגובה שהחזיר היעד.
- רק היעד המיועד יכול לקרוא את תוכן הבקשה ולייצר תגובה.
שלוש הערבויות הללו משפרות את פרטיות הלקוחות תוך שמירה על האבטחה ושלמות שאילתות ה- DNS.
מקור: https://blog.cloudflare.com