Cloudflare ، اپل و دیگران از روش جدید شخصی سازی اینترنت پشتیبانی می کنند


Cloudflare ، اپل و دیگران از روش جدید شخصی سازی اینترنت پشتیبانی می کنند

برای بیش از سه دهه ، ستون اصلی اینترنت تهدید به حریم خصوصی و امنیت میلیاردها انسان است که هر روز از آن استفاده می کنند. اکنون Cloudflare ، Apple و شبکه تحویل محتوا با استفاده از تکنیکی که از ارائه دهنده خدمات و ناظران شبکه برای دیدن آدرسهایی که کاربران نهایی بازدید می کنند یا ایمیل ارسال می کنند ، به سرعت روش جدیدی را برای رفع این مشکل ارائه داده اند.

مهندسان این سه شرکت Oblivious DNS را ایجاد کرده اند ، که تغییر عمده ای در سیستم نام دامنه فعلی است که نام دامنه های دوستانه را به آدرس های IP ترجمه می کند که در آن رایانه ها نیاز به یافتن رایانه های دیگر از طریق اینترنت دارند. این شرکت ها با امید به اینکه این استاندارد به یک استاندارد برای کل صنعت تبدیل شود ، در حال کار با کارگروه مهندسی اینترنت هستند. Oblivious DNS که به اختصار ODoH شناخته می شود ، یک تقویت کننده DNS جداگانه به نام DNS بر روی HTTPS ایجاد می کند که در اولین مراحل دریافت باقی می ماند.

نحوه کار DNS اکنون

هنگامی که کسی به arstechnica.com – یا هر وب سایت دیگری در این زمینه مراجعه می کند – مرورگر وی ابتدا باید آدرس IP مورد استفاده سرور میزبان را بدست آورد (که در حال حاضر 3.128.236.93 یا 52.14.190.83 است). برای این منظور ، مرورگر به مبدل DNS متصل می شود که معمولاً توسط ISP یا سرویسی مانند Google 8.8.8.8 یا Cloudflare 1.1.1.1 مدیریت می شود. با این وجود ، از ابتدا ، DNS از دو نقطه ضعف اصلی رنج می برد.

اول ، درخواست های DNS و پاسخ هایی که برمی گردند رمزگذاری نشده اند. این امکان را برای هر کسی که در موقعیتی است بررسی می کند تا پیوندهای کاربر را از سایتهای خود بازدید کند. حتی بدتر اینکه ، افراد با این توانایی ممکن است بتوانند پاسخ ها را جعل کنند تا کاربر به سایتی مبدل شود به عنوان arstechnica.com و نه به سایتی که اکنون می خوانید.

برای رفع این ضعف ، مهندسان Cloudflare و جاهای دیگر DNS را از طریق HTTPS یا DoH و DNS را از طریق TLS یا DoT توسعه داده اند. هر دو پروتکل گزارش های DNS را رمزگذاری می کنند و باعث می شود افراد بین فرستنده و گیرنده نتوانند ترافیک را ببینند یا دستکاری کنند. همانطور که DoH و DoT امیدوار کننده است ، بسیاری از مردم نسبت به آنها تردید دارند ، دلیل اصلی آن این است که فقط تعداد انگشت شماری از فروشندگان آن را ارائه می دهند. چنین استخر کوچکی باعث می شود که این ارائه دهندگان بتوانند استفاده از اینترنت را برای میلیارد ها نفر به طور بالقوه ثبت کنند.

این امر ما را به دومین اشکال عمده DNS می رساند. حتی در صورت وجود DoH یا DoT ، رمزگذاری کاری نمی کند که ارائه دهنده DNS نه تنها س quالات جستجو ، بلکه آدرس IP رایانه را که ایجاد می کند ، مشاهده کند. این به ارائه دهنده خدمات اجازه می دهد تا نمایه های کاملی از افراد پشت آدرس ایجاد کند. همانطور که قبلاً اشاره شد ، هنگامی که DoH یا DoT تعداد ارائه دهندگان را به تعداد محدودی کاهش می دهد ، خطر محرمانه بودن افزایش می یابد.

هدف ODoH اصلاح این نقص دوم است. پروتکل حاصل از رمزگذاری استفاده می کند و یک پروکسی شبکه را بین کاربران نهایی و سرور DoH قرار می دهد تا اطمینان حاصل شود که فقط کاربر به اطلاعات درخواست DNS و آدرس IP فرستنده و دریافت کننده دسترسی دارد. Cloudflare کاربر نهایی را مشتری و مبدل DNS را که توسط ISP یا ارائه دهنده دیگری اداره می شود ، هدف می نامد. در زیر نمودار است.

ابر شکن

چگونه کار می کند

در یک پست وبلاگ با حضور Dol Oblivious ، محققان Cloudflare ، Tanya Verma و Sudhish Singanamala نوشتند:

کل این فرآیند با مشتریانی شروع می شود که درخواست خود را با هدف HPKE رمزگذاری می کنند. مشتریان کلید عمومی هدف را از طریق DNS دریافت می کنند ، جایی که در یک رکورد منبع HTTPS ترکیب شده و توسط DNSSEC محافظت می شود. وقتی TTL این کلید منقضی می شود ، مشتری ها در صورت لزوم نسخه جدیدی از کلید را درخواست می کنند (دقیقاً همانطور که برای یک رکورد A / AAAA با انقضا TTL آن رکورد درخواست می کنند). استفاده از کلید عمومی تأیید شده توسط DNSSEC تضمین می کند که فقط هدف مورد نظر می تواند درخواست را رمزگشایی کرده و یک پاسخ (پاسخ) را رمزگذاری کند.

مشتریان این درخواست های پراکسی رمزگذاری شده را از طریق اتصال HTTPS منتقل می کنند. پس از دریافت ، پروکسی درخواست را به مقصد مشخص شده ارسال می کند. سپس هدف درخواست را رمزگشایی می کند ، با ارسال درخواست به مبدل بازگشتی مانند 1.1.1.1 پاسخی ایجاد می کند و پاسخ مشتری را رمزگذاری می کند. درخواست رمزگذاری شده از سرویس گیرنده ، حاوی ماده کلیدی کپسوله شده ای است که اهداف از آن یک کلید متقارن برای رمزگذاری پاسخ استخراج می کنند.

این پاسخ سپس به پروکسی ارسال می شود و سپس به مشتری ارسال می شود. تمام ارتباطات تأیید شده و محرمانه است ، زیرا این پیام های DNS رمزگذاری شده انتها به انتها هستند ، اگرچه از طریق دو اتصال HTTPS جداگانه (مشتری-پروکسی و پروکسی-هدف) منتقل می شوند. پیامی که در غیر این صورت به عنوان متن آزاد در پروکسی ظاهر می شود ، در واقع کاغذ رمزگذاری شده است.

کار در حال انجام

این نشریه می گوید كه مهندسان هنوز هزینه كارایی را هنگام افزودن پروکسی و رمزگذاری اندازه می گیرند. با این حال ، نتایج اولیه امیدوار کننده به نظر می رسند. در یک مطالعه ، سربار اضافی بین درخواست / پاسخ DoH پروکسی و آنالوگ ODoH آن در صدک 99 کمتر از 1 میلی ثانیه بود. Cloudflare در پست خود بحث بسیار مفصلی از عملکرد ODoH ارائه می دهد.

در حال حاضر ، ODoH همچنان در دست کار است. با چوپان کردن Cloudflare ، مشارکت های Apple و Fastly – و علاقه Firefox و دیگران – ODoH ارزش جدی گرفتن دارد. در عین حال ، عدم حضور گوگل ، مایکروسافت و سایر بازیکنان اصلی نشان می دهد که یک راه طولانی وجود دارد.

واضح است که DNS به وضوح ضعیف است. این واقعیت که یکی از اساسی ترین مکانیسم های اینترنت در سال 2020 به طور جهانی رمزگذاری نشده است ، چیزی جز جنون نیست. منتقدان با DoH و DoT مخالفت خود را در رابطه با تجارت حریم خصوصی امنیتی اعلام کرده اند. اگر ODoH بتواند دشمنان را تبدیل کند و اینترنت را در این روند مختل نکند ، ارزش آن را خواهد داشت.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>