Apple in Cloudflare predlagata Oblivious DNS

Četudi dandanes deskamo po spletnih straneh, do katerih so povezane šifrirane (HTTPS), prometni podatki še vedno curljajo v internet. Ob obisku posamezne spletne strani namreč brskalnik zahteva naslov IP, ki pripada iskani domeni. Ta podatek strežniki DNS vrnejo v nešifrirani obliki, zato ga lahko prestreže kdorkoli. Problem pa ni le prisluškovanje, temveč tudi možnost vrivanja lažnih informacij z namenom zlonamerne preusmeritve. Apple in Cloudflare sta predlagala tehniko, ki to težavo odpravi.

Da so poizvedbe odprte in vidne vsem, je že dlje časa prepoznano kot zasebnostni problem. Razvile so se že alternative, denimo DNS over HTTPS (DoH) in DNS over TLS (DoT), ki zagotavljata zasebnost s šifriranjem poizvedb. A to ne odpravlja problema, da ponudnik strežnika DNS še vedno vidi, kdo išče kaj. To je po navadi ponudnik dostopa do interneta, lahko pa tudi namenski ponudnik storitve, denimo Google (8.8.8.8) ali Cloudflare (1.1.1.1). Nova tehnologija, ki sta jo Apple in Cloudflare poimenovala Oblivious DNS, odpravlja tudi to drugo težavo.

Ključ je, da poleg šifriranja, s čimer se prepreči prisluškovanje, uporabljamo tudi posredniški strežnik (proxy). Ta poskrbi, da strežnik DNS ne vidi, kdo ga sprašuje, posredniški strežnik pa ne ve, kaj ga sprašuje. Le končni uporabnik ve torej oboje. Odjemalec zašifrira svojo poizvedbo s HPKE, pri čemer javni ključ dobi prek DNS (avtentičnost se zagotavlja z DNSSEC). Odjemalec potem poizvedbe posreduje prek HTTPS do posredniškega strežnika, ki jih posreduje do cilja, ki vpraša strežnik DNS. Ta jih dešifrira, reši in odgovor zašifrira, nato pa potuje do posredniškega strežnika in na koncu odjemalca.

Čeprav sta Apple in Cloudflare podprla novo tehnologijo, manjkajo še druga velika imena, denimo Microsoft in Google. Šele potem bo realistično možno pričakovati, da bi Oblivious DNS imel možnost, da se uveljavi.