DNSCrypt

Introducing DNSCrypt

Background:

DNS on yksi Internetin perusrakenteista. Sitä käytetään aina, kun vierailet verkkosivustolla, lähetät sähköpostia, käyt pikaviestikeskustelua tai teet mitä tahansa muuta verkossa. Vaikka OpenDNS on tarjonnut maailmanluokan tietoturvaa DNS:n avulla jo vuosia, ja OpenDNS on turvallisin saatavilla oleva DNS-palvelu, taustalla oleva DNS-protokolla ei ole ollut riittävän turvallinen. Monet muistavat Kaminsky-haavoittuvuuden, joka vaikutti lähes kaikkiin maailman DNS-toteutuksiin (ei kuitenkaan OpenDNS:ään).

Tämän sanottuaan Kaminsky-haavoittuvuuden aiheuttamat ongelmat johtuivat joistakin DNS-protokollan perustana olevista perustekijöistä, jotka ovat luonnostaan heikkoja – erityisesti ”viimeisellä maililla”. ”Viimeinen maili” on tietokoneen ja Internet-palveluntarjoajan välisen Internet-yhteyden osa. DNSCrypt on meidän tapamme turvata DNS-liikenteen ”viimeinen maili” ja ratkaista (sanaleikki ei ollut tarkoitus) kokonainen joukko DNS-protokollaan liittyviä vakavia turvallisuusongelmia. Kun maailman Internet-yhteydet muuttuvat yhä liikkuvammiksi ja yhä useammat ihmiset yhdistyvät useisiin eri WiFi-verkkoihin yhden päivän aikana, ratkaisun tarve kasvaa.

On ollut lukuisia esimerkkejä DNS-liikenteen manipuloinnista tai man-in-the-middle-hyökkäyksistä ja DNS-liikenteen salakuuntelusta viimeisellä kilometrillä, ja se on vakava turvallisuusriski, jonka olemme aina halunneet korjata. Tänään pystymme siihen.

Miksi DNSCrypt on niin merkittävä

Samoin kuin SSL muuttaa HTTP-verkkoliikenteen HTTPS-salatuksi verkkoliikenteeksi, DNSCrypt muuttaa tavallisen DNS-liikenteen salatuksi DNS-liikenteeksi, joka on suojattu salakuuntelulta ja välikäsien hyökkäyksiltä. Se ei vaadi muutoksia verkkotunnuksiin tai niiden toimintatapaan, vaan tarjoaa yksinkertaisesti menetelmän, jolla voidaan turvallisesti salata viestintä asiakkaidemme ja palvelinkeskuksissamme sijaitsevien DNS-palvelimien välillä. Tiedämme kuitenkin, että pelkät väitteet eivät toimi tietoturvamaailmassa, joten olemme avanneet DNSCrypt-koodipohjan lähdekoodin, ja se on saatavilla GitHubissa.

DNSCryptillä on potentiaalia olla SSL:n jälkeen merkittävin edistysaskel Internetin tietoturvassa, sillä se parantaa merkittävästi jokaisen Internet-käyttäjän verkkoturvallisuutta ja yksityisyyttä.

Huomautus: Etsitkö haittaohjelmilta, bottiverkoilta ja tietojenkalastelulta suojaa kannettaviin tietokoneisiin tai iOS-laitteisiin? Tutustu OpenDNS:n Umbrella Mobilityyn.

Lataa nyt:

Lataa DNSCrypt Macille
Lataa DNSCrypt Windowsille

Tiheästi kysyttyjä kysymyksiä (FAQ):

1. Mikä DNSCrypt on selkokielellä?

DNSCrypt on kevyt ohjelmisto, jota jokaisen tulisi käyttää parantaakseen yksityisyyttä ja turvallisuutta verkossa. Se toimii salaamalla kaiken DNS-liikenteen käyttäjän ja OpenDNS:n välillä, mikä estää vakoilun, huijauksen tai man-in-the-middle-hyökkäykset.

2. Miten voin käyttää DNSCryptiä nykyään?

Olemme avanneet lähdekoodin DNSCrypt-koodipohjaan, ja se on saatavilla GitHubissa. Graafisia käyttöliittymiä ei enää kehitetä; avoimen lähdekoodin yhteisö tarjoaa kuitenkin edelleen epävirallisia päivityksiä tekniseen esikatseluun.

Vinkkejä:
Jos palomuuri tai muu väliohjelmisto mankeloi paketteja, kannattaa kokeilla DNSCryptin ottamista käyttöön TCP:llä portin 443 kautta. Tämä saa useimmat palomuurit luulemaan, että kyse on HTTPS-liikenteestä, ja jättävät sen rauhaan.

Jos pidät luotettavuutta turvallisuuden sijaan, ota käyttöön fallback turvattomaan DNS:ään. Jos et tavoita meitä, yritämme käyttää DHCP:llä osoitettuja tai aiemmin määritettyjä DNS-palvelimia. Tämä on kuitenkin turvallisuusriski.

3. Entä DNSSEC? Poistaa tämä DNSCryptin tarpeen?

Ei. DNSCrypt ja DNSSEC täydentävät toisiaan. DNSSEC tekee useita asioita. Ensinnäkin se tarjoaa todennuksen. (Tuleeko DNS-tietue, johon saan vastauksen, sen verkkotunnuksen omistajalta, josta kysyn, vai onko sitä peukaloitu?). Toiseksi DNSSEC tarjoaa luottamusketjun, joka auttaa luomaan luottamuksen siihen, että saamasi vastaukset ovat todennettavissa. Valitettavasti DNSSEC ei kuitenkaan itse asiassa tarjoa salausta DNS-tietueille, ei edes niille, jotka on allekirjoitettu DNSSECillä. Vaikka kaikki maailman ihmiset käyttäisivät DNSSECiä, tarve salata kaikki DNS-liikenne ei poistuisi. Lisäksi DNSSEC edustaa nykyään lähes nollaa prosenttia kaikista verkkotunnuksista ja yhä pienempää prosenttia DNS-tietueista joka päivä Internetin kasvaessa.

Tämän sanottuaan DNSSEC ja DNSCrypt voivat toimia täydellisesti yhdessä. Ne eivät ole millään tavalla ristiriidassa keskenään. Ajattele DNSCryptiä kääreenä kaiken DNS-liikenteen ympärillä ja DNSSECiä tapana allekirjoittaa ja validoida osajoukko näistä tietueista. DNSSEC:llä on etuja, joita DNSCrypt ei yritä käsitellä. Itse asiassa toivomme, että DNSSECin käyttöönotto kasvaa, jotta ihmiset voivat luottaa enemmän koko DNS-infrastruktuuriin, ei vain asiakkaidemme ja OpenDNS:n väliseen linkkiin.

4. Käytetäänkö tässä SSL:ää? Mikä on salaus ja mikä on rakenne?

Me emme käytä SSL:ää. Vaikka teemme analogian, jonka mukaan DNSCrypt on kuin SSL siinä mielessä, että se kietoo kaiken DNS-liikenteen salauksella samalla tavalla kuin SSL kietoo kaiken HTTP-liikenteen, kyse ei ole käytettävästä salauskirjastosta. Käytämme elliptisten käyrien salausta, erityisesti Curve25519-elliptistä käyrää. Suunnittelun tavoitteet ovat samankaltaiset kuin DNSCurve-tiedonsiirtimen suunnittelussa kuvatut.