Oblivious DNS-over-HTTPS为安全查找协议提供了隐私增强功能

安全工程师正在提出一项实验性协议,该协议承诺在DNS(相当于互联网的电话簿)的运行方式方面提供更大的隐私。Oblivious DNS-over-HTTPS(ODoH)描述了一种协议,该协议允许客户端通过中继加密的DNS-over-HTTPS(DoH)消息的代理向DNS解析器隐藏其IP地址。该方法创建了一个设置,这意味着没有一台服务器同时知道客户端的IP地址和DNS查询和回答的内容——这是一项显着的隐私优势。

 

该实验协议是在Internet工程任务组(IETF)之外开发的,但有Apple、Cloudflare和Fastly的工程师参与。

上周发布了实验协议的详细技术大纲,其开发人员希望这将吸引大规模的实验和互操作性。

在回答关于该技术用例的问题时,ODoH技术论文的一位作者强调了当前使用Apple的iCloud Private Relay(PDF)和Cloudflare的部署。

根据Cloudflare的说法,ODoH协议增强了用户的隐私,同时旨在“提高加密DNS协议的整体采用率”,但不会影响互联网上的性能和用户体验。

Oblivious DNS-over-HTTPS的工作原理是添加一层公钥加密,以及客户端和DNS-over-HTTPS服务器之间的网络代理。

Oblivious HTTP应用程序中介(OHAI)IETF工作组(该技术正在作为标准开发)概述了工程师希望如何进一步开发和改进 Oblivious DNS-over-HTTPS。

Infoblox的首席 DNS 架构师Cricket Liu认识到ODoH为消费者提供的隐私优势,同时警告说该技术可能会阻碍许多企业环境中安全控制的操作。

Cricket Liu:“我认为Oblivious DNS背后的基本思想从消费者隐私的角度来看是有意义的:你通过一系列代理清洗查询和源IP地址,第一个看到查询者的IP地址,第二个看到查询者的IP地址。其中看到查询本身。

“然而,从企业的角度来看,它带来了与DoH相同的挑战,甚至可能更多,因为使用外部Oblivious DNS代理会使IT组织对员工的行为视而不见。”

该协议的源代码是公开的,因此任何人都可以尝试ODoH或运行自己的ODoH服务。

发表评论

评论已关闭。

相关文章