Apple Los ingenieros se asocian con Cloudflare para mejorar la privacidad en Internet.

Ingenieros en Apple están trabajando con Cloudflare y Fastly para crear Oblivious DNS, un nuevo estándar que puede dificultar el seguimiento de las actividades en línea de un usuario.

Si bien Internet ofrece varias medidas de protecci√≥n de la privacidad para sus habitantes, incluido el cifrado y las VPN, una de las √°reas que son m√°s f√°ciles de rastrear es el Sistema de nombres de dominio. Efectivamente, la libreta de direcciones de Internet, DNS permite el uso de nombres de dominio que se vinculan a direcciones IP espec√≠ficas de sitios web, lo que hace que todo el sistema sea m√°s √ļtil para los humanos.

Sin embargo, la naturaleza del DNS significa que se env√≠a y recibe entre m√°quinas en texto sin cifrar, que es f√°cilmente observado por terceros, lo que lo convierte en un elemento rastreable. Desarrollos como DNS sobre HTTPS (DoH) dificultan que las fuerzas externas cambien las consultas de DNS para que apunten a sitios maliciosos, pero a√ļn hace posible el seguimiento de las actividades de los usuarios.

  

En un intento por hacer que el DNS sea más privado y menos rastreable, un grupo de ingenieros de Apple, Cloudflare y Fastly han creado Oblivious DNS sobre HTTPS (ODoH). Al separar la dirección IP de la consulta, ofrece la posibilidad de que las consultas DNS sean más seguras, ya que no todas las partes tienen acceso tanto a la IP como a la consulta al mismo tiempo.

¬ŅC√≥mo funciona ODoH?

El sistema funciona confiando tanto en el cifrado de clave p√ļblica como en un proxy de red que se encuentra entre el cliente y el servidor DoH. El cliente cifra la consulta y la env√≠a al servidor DoH a trav√©s del proxy.

El servidor DoH puede descifrar la consulta, produce una respuesta, cifra esa respuesta y la envía de vuelta al proxy, que luego la envía de vuelta al cliente.

En efecto, el proxy conoce los mensajes cifrados entre el cliente y el servidor DoH, pero no el contenido del mensaje. Mientras tanto, el servidor DoH conoce el contenido del mensaje en sí, pero solo la dirección del proxy, no la del cliente.

Si bien sería teóricamente posible que el contenido del mensaje y la dirección del cliente se combinen si tanto el servidor proxy como el servidor DoH son propiedad de la misma entidad, una regla fundamental es que el servidor proxy y el servidor DoH no se coluden. en absoluto.

En la práctica, esto consistiría en gran medida en garantizar que el proxy y el servidor DoH sean propiedad de diferentes empresas.

Gr√°fico de Cloudflare que muestra el tiempo de respuesta de la red para ODoH versus DoH y DoH sobre Tor.

La adición de cifrado y descifrado, así como un proxy, a una consulta de DNS puede causar cierta preocupación a los usuarios que desean que sus consultas de DNS funcionen lo más rápido posible. Para evitar esas preocupaciones, Cloudflare afirma que sus pruebas iniciales de configuraciones ODoH son bastante prometedoras.

Seg√ļn la empresa, el cifrado adicional es “marginal” en su efecto, con un costo de tiempo de menos de 1 milisegundos para el 99% de las consultas.

¬ŅCu√°ndo estar√° ODoH listo para usar?

El martes, Cloudflare y sus socios, incluidos PCCW Global, Surf y Equinix, lanzaron Oblivious DNS sobre proxies HTTPS, para fomentar su mayor desarrollo e implementación, utilizando Cloudflare 1.1.1.1 Resolución de DNS. Los clientes de prueba han sido de código abierto, para permitir que las partes interesadas lo prueben por sí mismos.

Si bien el esfuerzo existente est√° destinado a refinar a√ļn m√°s el sistema, puede pasar bastante tiempo antes de que los consumidores lo puedan utilizar. A pesar de Apple estar involucrado en el proyecto, no garantiza que aparecer√° pronto en iOS, macOS o Safari.

La espera más larga será para que sea certificado como estándar por el Grupo de Trabajo de Ingeniería de Internet, lo que hará que su implementación sea más atractiva para los desarrolladores.