摘要:最近萬用戶隱私信息泄露的事件相信大家都有所耳聞�,且這些個(gè)人數(shù)據(jù)涉嫌被用于影響年美國(guó)大選的選民看法。從而降低用戶隱私泄露的風(fēng)險(xiǎn)����。
最近Facebook 8700萬用戶隱私信息泄露的事件相信大家都有所耳聞,且這些個(gè)人數(shù)據(jù)涉嫌被用于影響2016年美國(guó)大選的選民看法�����。一時(shí)間關(guān)于隱私保護(hù)的話題被推上了一個(gè)高潮�����。同時(shí)最近Cloudflare宣布正式推出1.1.1.1公共DNS服務(wù)����,號(hào)稱是互聯(lián)網(wǎng)上速度最快,隱私優(yōu)先的消費(fèi)者DNS服務(wù)。為什么dns服務(wù)也需要如此強(qiáng)調(diào)他的隱私性呢����?大家都知道通過dns記錄信息幾乎可以知道所有網(wǎng)民的上網(wǎng)信息,你的每一次網(wǎng)頁(yè)瀏覽記錄���,每一次APP操作記錄幾乎都會(huì)被DNS記錄��。那么通過這些信息也完全可以分析出用戶的個(gè)人偏好,行為習(xí)慣���。而且他比Facebook覆蓋的網(wǎng)民更廣��,數(shù)據(jù)規(guī)模也更大���,這也是為什么我認(rèn)為他幾乎是當(dāng)今互聯(lián)網(wǎng)最大的用戶隱私風(fēng)險(xiǎn)。
當(dāng)然今天主要講講關(guān)于dns的隱私保護(hù)方案���,目前主要的dns隱私保護(hù)方案技術(shù)主要分為三類:
● DNS Query Name Minimisation to Improve Privacy (DNS 查詢最小化)
● DNS over TLS
● Oblivious DNS
DNS Query Name Minimisation 是IETF2016年3月份提出來的一種用來改進(jìn)dns隱私保護(hù)的技術(shù)���,這里對(duì)他的原理做一個(gè)簡(jiǎn)單的介紹,首先DNS查詢最小化技術(shù)的核心理念是發(fā)送最少信息的dns查詢就能降低用戶隱私泄露的風(fēng)險(xiǎn)����,這個(gè)理念的思路顯然是正確的���。所以假如需要查詢一個(gè)域名www.test.google.com的解析的情況的時(shí)候,首先它只會(huì)向頂級(jí)域名解析服務(wù)器查詢google.com的解析情況來確認(rèn)這個(gè)域名解析服務(wù)器是否存在相關(guān)記錄�,而不會(huì)發(fā)送完整的解析請(qǐng)求,這樣避免頂級(jí)域名解析服務(wù)器獲取二級(jí)及以下的域名解析請(qǐng)求信息����。那么DNS查詢最小化的思路就是避免不同層級(jí)的dns解析服務(wù)器獲取到完整的用戶dns請(qǐng)求。從而降低用戶隱私泄露的風(fēng)險(xiǎn)�����。但是即使如此dns遞歸查詢服務(wù)器最終還是能完整的獲取到dns查詢的記錄和客戶端IP�����,只能說是隱私風(fēng)險(xiǎn)確實(shí)會(huì)降低�。
DNS over TLS 是IETF在2016年6月在RFC 7858中提出的,它要求所有DNS數(shù)據(jù)都通過TLS進(jìn)行加密傳輸�����,這樣做可以有效的解決互聯(lián)網(wǎng)服務(wù)提供商(ISP)對(duì)DNS查詢的監(jiān)聽���,目前google也準(zhǔn)備在android 8.x中啟用DNS over TLS�,但是話又說回來,這個(gè)仍然解決不了dns解析記錄被dns遞歸服務(wù)器獲取的隱私風(fēng)險(xiǎn)����。
Oblivious DNS 是近期普林斯頓大學(xué)一個(gè)四人研究小組在DNS-OARC 28會(huì)議提出的一種新的dns隱私保護(hù)方案,它的核心思路是如果用戶需要查詢www.foo.com的解析記錄���,那么首先會(huì)通過客戶端對(duì)查詢請(qǐng)求www.foo.com做一個(gè)對(duì)稱加密得到一個(gè)加密串x���,然后附加在頂級(jí)域名.odns上,從而得到x.odns���;然后將x.odns的解析請(qǐng)求發(fā)送到遞歸服務(wù)器,然后odns查詢的權(quán)威服務(wù)器使用其私鑰對(duì)x.odns進(jìn)行解密后返回正確的dns查詢結(jié)果和加密的域名記錄到客戶端�,客戶端再進(jìn)行解密得到最終的查詢結(jié)果。相比較來說這種方案解決了互聯(lián)網(wǎng)服務(wù)提供商和dns遞歸服務(wù)器對(duì)dns查詢的隱私泄露風(fēng)險(xiǎn)��,但是同樣這種風(fēng)險(xiǎn)集中轉(zhuǎn)移到了提供第三方的域名解析服務(wù)的ODNS身上���。
那么最后我們回到cloudflare發(fā)布的1.1.1.1公共dns服務(wù)����,那么它號(hào)稱的隱私優(yōu)先的dns服務(wù)是怎么實(shí)現(xiàn)的呢,首先它支持DNS-over-HTTPS和DNS-over-TLS����,然后cloudflare承若會(huì)在24小時(shí)內(nèi)刪除用戶的dns查詢記錄。那么其實(shí)看起來如果將Oblivious DNS 的解決方案和當(dāng)前cloudflare 24小時(shí)刪除用戶dns查詢記錄的策略加起來將是一個(gè)比較完美的方案����。但是我仍然對(duì)cloudflare在這24時(shí)內(nèi)使用用戶dns記錄做的分析和分析結(jié)構(gòu)的保存表示擔(dān)憂。
參考鏈接:
https://tools.ietf.org/html/r...
https://tools.ietf.org/html/r...
https://odns.cs.princeton.edu/
更多安全相關(guān)內(nèi)容關(guān)注我公眾號(hào):安全視點(diǎn)
文章版權(quán)歸作者所有�,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/11363.html
