DNSCrypt

DNSCrypt — это сетевой протокол , который проверяет подлинность и шифрует трафик системы доменных имен пользователя (DNS) между компьютером и рекурсивными серверами имен . DNSCrypt оборачивает немодифицированный DNS-трафик между клиентом и преобразователем DNS в криптографическую конструкцию, предотвращая подслушивание и подделку со стороны посредника . ^[1]

Он также смягчает атаки усиления на основе UDP , требуя, чтобы вопрос был по крайней мере такого же размера, как и соответствующий ответ. Таким образом, DNSCrypt помогает предотвратить атаки с усилением DNS . ^[2]^: §9

DNSCrypt изначально был разработан Фрэнком Денисом и Йечен Фу. Существует множество реализаций бесплатного программного обеспечения с открытым исходным кодом. Он доступен для различных операционных систем, включая Unix, Apple iOS, Linux, Android и Microsoft Windows. ^[3] Бесплатная реализация программного обеспечения с открытым исходным кодом dnscrypt-proxy. ^[4] дополнительно интегрирует ODoH . ^[5]

Развертывание

Помимо частных развертываний, протокол DNSCrypt был принят несколькими общедоступными преобразователями DNS, подавляющее большинство из которых являются членами сети OpenNIC , а также виртуальных частных сетей службами (VPN).

OpenDNS (теперь часть Cisco ) анонсировала первую общедоступную службу DNS, поддерживающую DNSCrypt, 6 декабря 2011 года, вскоре за ней последовал CloudNS Australia. ^[6]

29 марта 2016 года Яндекс объявил о поддержке протокола DNSCrypt на своих публичных DNS-серверах, а также в Яндекс Браузере . ^{[ нужна ссылка ]}

14 октября 2016 года AdGuard добавил DNSCrypt в свой модуль фильтрации DNS, чтобы пользователи могли переходить от своих интернет-провайдеров к собственным DNS-серверам или собственным DNS-серверам AdGuard для обеспечения конфиденциальности в Интернете и блокировки рекламы . ^[7]^[8]

10 сентября 2018 года разрешения Quad9 объявила о поддержке DNSCrypt. некоммерческая общедоступная рекурсивная служба ^[9]

Другие серверы, поддерживающие безопасный протокол, упомянуты в списке создателей DNSCrypt. ^[10]

Протокол

DNSCrypt можно использовать либо через UDP , либо через TCP . В обоих случаях его порт по умолчанию — 443 . ^[2] Несмотря на то, что протокол радикально отличается от HTTPS , оба типа служб используют один и тот же порт . Однако, хотя DNS over HTTPS и DNSCrypt возможны на одном и том же порту, они все равно должны работать отдельно на разных серверах. Два серверных приложения не могут работать одновременно на одном сервере, если оба используют один и тот же порт для связи; хотя подход мультиплексирования теоретически возможен.

Вместо того, чтобы полагаться на доверенные центры сертификации, которые обычно встречаются в веб-браузерах, клиент должен явно доверять открытому ключу подписи выбранного поставщика. Этот открытый ключ используется для проверки набора сертификатов, полученных с помощью обычных запросов DNS. ^[2]^: §1 Эти сертификаты содержат краткосрочные открытые ключи, используемые для обмена ключами, а также идентификатор используемого набора шифров. Клиентам рекомендуется генерировать новый ключ для каждого запроса, а серверам рекомендуется менять пары краткосрочных ключей каждые 24 часа. ^[2]^: §13

Протокол DNSCrypt также можно использовать для контроля доступа или учета, принимая только заранее определенный набор открытых ключей. Это может использоваться коммерческими службами DNS для идентификации клиентов без необходимости полагаться на IP-адреса. ^[2]^: §13

Запросы и ответы шифруются с использованием одного и того же алгоритма и дополняются до кратности 64 байтам, чтобы избежать утечки размеров пакетов. По UDP, когда ответ будет больше, чем вопрос, ведущий к нему, сервер может ответить коротким пакетом, в котором установлен бит TC (усеченный). Затем клиент должен повторить попытку использования TCP и увеличить заполнение последующих запросов. ^[2]^: §9

Версии 1 и 2 протокола используют алгоритм X25519 для обмена ключами, EdDSA для подписей, а также XSalsa20-Poly1305 или XChaCha20-Poly1305 для аутентифицированного шифрования. ^[2]^: §11

По состоянию на 2023 год не существует известных уязвимостей в протоколе DNSCrypt и практических атак на его основные криптографические конструкции.

Анонимный DNSCrypt

Анонимный DNSCrypt — это расширение протокола, предложенное в 2019 году для дальнейшего улучшения конфиденциальности DNS. ^[11]

Вместо того, чтобы напрямую отвечать клиентам, резолвер может действовать как прозрачный прокси-сервер для другого резолвера, скрывая от него реальный IP-адрес клиента. Анонимный DNSCrypt, специально разработанный для DNS-трафика, представляет собой облегченную альтернативу запуску DNSCrypt через прокси-серверы Tor и SOCKS. ^[11]

Развертывание анонимизированного DNSCrypt началось в октябре 2019 года, и внедрение протокола было быстрым: 40 ретрансляторов DNS были настроены всего через две недели после публичной доступности клиентских и серверных реализаций. ^[12]

См. также

Ссылки

^ Биггс, Джон (6 декабря 2011 г.). «DNSCrypt шифрует ваш DNS-трафик, потому что всегда есть кто-то, кто вас достанет» . ТехКранч .
^ Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г «Спецификация протокола DNSCrypt версии 2 (DNSCRYPT-V2-PROTOCOL.txt)» . GitHub/DNSCrypt . (UDP) Длина ответа всегда должна быть равна или короче исходной длины клиентского запроса.
^ «DNSCrypt — Реализации» . dnscrypt.info .
^ «DNSCrypt/dnscrypt-proxy: dnscrypt-proxy 2 — гибкий DNS-прокси с поддержкой зашифрованных протоколов DNS» . Гитхаб . DNSCrypt. Архивировано из оригинала 20 января 2016 года . Проверено 29 января 2016 г.
^ «Забывчивый DoH · DNSCrypt/dnscrypt-proxy Wiki» . Гитхаб . Проект DNSCrypt . Проверено 28 июля 2022 г.
^ Улевич, Давид (6 декабря 2011 г.). «DNSCrypt – критично, фундаментально и своевременно» . Зонт Циско . Архивировано из оригинала 1 июля 2020 года . Проверено 1 июля 2020 г.
^ «AdGuard DNS теперь поддерживает DNSCrypt» . Блог АдГард . Архивировано из оригинала 12 сентября 2017 года . Проверено 11 сентября 2017 г.
^ «DNS-фильтрация» . База знаний АдГуард . Архивировано из оригинала 11 сентября 2017 года . Проверено 11 сентября 2017 г.
^ «DNSCrypt сейчас находится в стадии тестирования» . Блог Quad9 . 30 августа 2018 года. Архивировано из оригинала 28 декабря 2019 года . Проверено 1 июля 2020 г.
^ «DNSCrypt — Список общедоступных серверов DoH и DNSCrypt» . DNSCrypt . Архивировано из оригинала 19 июня 2020 года . Проверено 1 июля 2020 г.
^ Перейти обратно: ^а ^б «Спецификация анонимизированного DNSCrypt» . Гитхаб . DNSCrypt. Архивировано из оригинала 25 октября 2019 года . Проверено 1 июля 2020 г.
^ «Анонимизированные DNS-реле» . Гитхаб . DNSCrypt. 1 ноября 2019 г. Архивировано из оригинала 1 июля 2020 г. Проверено 1 июля 2020 г.

Внешние ссылки

[1] Биггс, Джон (6 декабря 2011 г.). «DNSCrypt шифрует ваш DNS-трафик, потому что всегда есть кто-то, кто вас достанет» . ТехКранч .

[DNSCRYPT-V2-PROTOCOL-2] Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г «Спецификация протокола DNSCrypt версии 2 (DNSCRYPT-V2-PROTOCOL.txt)» . GitHub/DNSCrypt . (UDP) Длина ответа всегда должна быть равна или короче исходной длины клиентского запроса.

[3] «DNSCrypt — Реализации» . dnscrypt.info .

[dnscrypt-proxy-4] «DNSCrypt/dnscrypt-proxy: dnscrypt-proxy 2 — гибкий DNS-прокси с поддержкой зашифрованных протоколов DNS» . Гитхаб . DNSCrypt. Архивировано из оригинала 20 января 2016 года . Проверено 29 января 2016 г.

[ODoH_(2022)-5] «Забывчивый DoH · DNSCrypt/dnscrypt-proxy Wiki» . Гитхаб . Проект DNSCrypt . Проверено 28 июля 2022 г.

[6] Улевич, Давид (6 декабря 2011 г.). «DNSCrypt – критично, фундаментально и своевременно» . Зонт Циско . Архивировано из оригинала 1 июля 2020 года . Проверено 1 июля 2020 г.

[7] «AdGuard DNS теперь поддерживает DNSCrypt» . Блог АдГард . Архивировано из оригинала 12 сентября 2017 года . Проверено 11 сентября 2017 г.

[8] «DNS-фильтрация» . База знаний АдГуард . Архивировано из оригинала 11 сентября 2017 года . Проверено 11 сентября 2017 г.

[9] «DNSCrypt сейчас находится в стадии тестирования» . Блог Quad9 . 30 августа 2018 года. Архивировано из оригинала 28 декабря 2019 года . Проверено 1 июля 2020 г.

[10] «DNSCrypt — Список общедоступных серверов DoH и DNSCrypt» . DNSCrypt . Архивировано из оригинала 19 июня 2020 года . Проверено 1 июля 2020 г.

[Anonymized_DNSCrypt_specification-11] Перейти обратно: ^а ^б «Спецификация анонимизированного DNSCrypt» . Гитхаб . DNSCrypt. Архивировано из оригинала 25 октября 2019 года . Проверено 1 июля 2020 г.

[12] «Анонимизированные DNS-реле» . Гитхаб . DNSCrypt. 1 ноября 2019 г. Архивировано из оригинала 1 июля 2020 г. Проверено 1 июля 2020 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]