Ang Cloudflare at Apple ay nagtatrabaho sa ODoH protocol kasama ang IETF

Mga inhinyero ng Cloudflare, Apple at ang Mabilis na network ng pamamahagi nilikha ang ODoH protocol (Oblivious DoH), na kung saan ay isang pangunahing pagbabago sa sistema ng pangalan ng domain kasalukuyang nagpapasalin ng mga pangalan ng domain na madaling gamitin sa mga IP address na kailangan ng computer upang maghanap ng iba pang mga computer.

Ang mga kompanya ng ay gumagana sa Internet Engineering Task Force (IETF, isang samahang bumubuo at nagtataguyod ng mga pamantayan sa Internet) sa pag-asang ito ay magiging isang pandaigdigang pamantayan.

Tungkol sa ODoH

Malaswang DoH umaasa sa isang hiwalay na pagpapahusay sa DNS na tinatawag na DNS-over-HTTPS (Maikling para sa DoH), na kung saan ay nasa mga unang yugto pa rin ng pag-aampon.

Una, mahalagang ilagay ang mga elemento sa kanilang konteksto. Ang DNS ay isang database na kumokonekta sa isang naglalarawang pangalan, tulad ng www.domain.com, sa isang serye ng mga computerized na numero, na tinatawag na isang IP address.

Kapag gumaganap ng isang "paghahanap" sa database na ito, ang web browser ay maaaring makahanap ng mga website sa iyong ngalan. Dahil sa paunang disenyo ng DNS mga dekada na ang nakalilipas, ang mga browser na nagsagawa ng mga paghahanap sa DNS para sa mga website (kasama ang https: //) kinailangan nilang gampanan ang mga paghahanap na ito nang walang pag-encrypt.

Dahil walang naka-encrypt, iba pang mga aparato sa paraan maaari din silang mangolekta (o kahit na harangan o baguhin) ang mga petsang ito. Ipinadala ang mga pagtingin sa DNS sa mga server na maaaring mag-ispya sa kasaysayan ng pagba-browse ng iyong website nang hindi ka aabisuhan o nag-post ng isang patakaran sa kung ano ang gagawin sa impormasyong iyon.

Nang nilikha ang Internet, ang ganitong uri ng banta sa privacy at seguridad ng mga tao ay kilala, ngunit hindi pa napagsamantalahan. Ngayon, alam natin iyan ang hindi naka-encrypt na DNS ay hindi lamang mahina sa pagpapatiktik, pinagsamantalahan din ito, at mga manlalaro sa industriya ay sumagip upang ang Internet ay maaaring lumipat sa mas ligtas na mga kahalili.

Upang magawa ito, pinili ng mga browser na magsagawa ng mga paghahanap sa DNS sa isang naka-encrypt na koneksyon sa HTTPS. Itatago nito ang iyong kasaysayan sa pag-browse mula sa mga umaatake sa network, maiiwasan ang koleksyon ng data ng mga third party sa network na kumokonekta sa iyong computer sa mga website na iyong binibisita.

Kaya, ipinanganak ang DNS-over-HTTPS protocol, na nag-aalok ng kakayahan para sa mga web browser na itago ang mga query at tugon sa DNS sa normal na pagtingin sa trapiko ng HTTPS upang gawing hindi nakikita ang trapiko ng isang gumagamit. Sa parehong oras, kinokompromiso nito ang kakayahan ng mga tagabantay ng network ng third-party (tulad ng mga ISP) na makita at ma-filter ang trapiko ng kanilang mga customer.

Paano gumagana ang Oblivious?

Ang ODoH ay isang umuusbong na protocol sa ilalim ng pag-unlad sa IETF, gumagana ito pagdaragdag ng isang layer ng pampublikong key encryption pati na rin isang proxy network sa pagitan ng mga kliyente ng DoH at server, tulad ng 1.1.1.1.

Ayon sa Cloudflare, ang kombinasyon ng dalawang karagdagang mga sangkap na ito ay nagsisiguro na ang gumagamit lamang ang may access sa parehong mga mensahe sa DNS at kanilang sariling IP address nang sabay.

 Inaalis ng layunin ang mga kahilingang naka-encrypt ng kliyente, sa pamamagitan ng isang proxy. Gayundin, ang layunin naka-encrypt ang mga tugon at ibinalik ang mga ito sa proxy. Sinasabi ng pamantayan na ang target ay maaaring o hindi maaaring ang resolver.

Ginagawa ng proxy ang dapat gawin ng isang proxy, ya na naglilipat ng mga mensahe sa pagitan ng client at ng target.

Kumikilos ang kliyente tulad ng ginagawa nito sa DNS at DoH, ngunit naiiba sa pamamagitan ng pag-encrypt ng mga query para sa target at pag-decrypt ng mga tugon mula sa target. Ang sinumang kliyente na pipiliing gawin ito ay maaaring tukuyin ang isang proxy at target na gusto nila.

Sama-sama, ang idinagdag na pag-encrypt at proxy ay nagbibigay ng mga sumusunod na pag-iingat:

  • Makikita lamang ng target ang kahilingan sa proxy at ang IP address.
  • Ang proxy ay walang kakayahang makita sa mga mensahe sa DNS, wala itong kakayahang kilalanin, basahin o baguhin ang kahilingang ipinadala ng kliyente o ang tugon na ibinalik ng target.
  • Ang inilaan lamang na target ang maaaring mabasa ang nilalaman ng kahilingan at makagawa ng tugon.

Ang tatlong garantiyang ito ay nagpapahusay sa privacy ng customer habang pinapanatili ang seguridad at integridad ng mga query sa DNS.

Fuente: https://blog.cloudflare.com


Maging una sa komento

Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.