Организация Internet Engineering Task Force (IETF) уже несколько лет работает над способами повышения степени приватности интернет-пользователей и наконец готова протестировать образец инструмента для проверки устойчивости шифрования DNS-запросов.

Экспериментальный DNS-резолвер, получивший название Stubby, принимает соединения и предоставляет ответы через протокол TLS на стороне пользователя. Чтобы метод сработал, требуется SSL версии 1.0.2 и выше, так как Stubby использует этот протокол для аутентификации имени хоста.

Проектная команда getdns пытается решить проблему чрезмерной открытости пользователей при обработке DNS-запросов, так как последние способны идентифицировать каждый публичный сервер. Анализ метаданных в запросах позволяет идентифицировать пользователя. Таким образом, проблема состоит в том, что, в то время как данные DNS должны быть публичны, отдельные DNS-транзакции со стороны пользователя не должны быть таковыми. TLS-резолвер — первый шаг на пути к решению этой сложной проблемы.

Полностью изменить механизм функционирования DNS сродни миссии на Марс, поэтому исследователи двигаются в этом направлении небольшими шажками. Они считают, что технология DNS-резолвера на стороне пользователя (например, в домашнем маршрутизаторе) может использоваться для шифрования коммуникации клиента с DNS-сервером интернет-провайдера.

Что касается компьютеров на базе Linux или macOS, Stubby предлагает локальный модуль, который перенаправляет исходящие DNS-запросы со 127.0.0.1 на сервер DNS Privacy Server (их в настоящее время четыре), используя «строгие» или «оппортунистские» профили, определенные в рабочем варианте технологии, написанном специалистами IETF.

Работа исследователей проводится в рамках инициативы, направленной на внедрение более строгих стандартов приватности в масштабах всей отрасли, учрежденной Советом по архитектуре Интернета в 2014 году.

Категории: Кибероборона