Cloudflare veröffentlicht neue Protokolle für mehr Privatsphäre
DoH besorgt manche Experten. Oblivious DNS over HTTPS (ODoH) soll es jetzt richten. Cloudflare und Apple wollen Hostnamen und IP entkoppeln.
(Bild: Blogbeitrag Cloudflare)
Die vom Browser initiierte Verschlüsselung von DNS Anfragen über DNS over HTTPS macht manche Experten besorgt. Jetzt legt Cloudflare mit einem neuen Trick nach, der dem Unternehmen die IP-Adressen von DNS-Nutzern vom Leib halten soll. An der Entwicklung war auch Apple beteiligt.
Der DNS Anbieter Cloudflare bietet ab sofort nicht nur die inzwischen bekannten Varianten von verschlüsseltem DNS, DNS über TLS (DoT) und DNS über HTTPS (DoH) an. Am Dienstag verkündete das Unternehmen, dass es ab sofort zusammen mit mehreren Partnern "oblivious DNS over HTTPS" (ODoH) über seinen 1.1.1.1 DNS Resolver zur Verfügung stellt. Über diesen DNS-Dienst sieht Cloudflare keinerlei IP-Adressen von Domainabfragern mehr.
Ahnungsloses DoH
DNS Gigant Cloudflare musste sich viel Kritik dafür anhören, dass er als zentraler Provider Mozillas DoH-Anfragen auflöst. In Europa wurde das Angebot trotz der Datenschutzzusicherungen von Cloudflare erst einmal zurückgestellt. Per Trusted Resolver-Policy wollte Mozilla festlegen, wie sich ein braver DoH Resolver zu verhalten hat. Es blieb beim Unbehagen gerade in Europa, dass sich Nutzer, ohne es zu ahnen, einen Intermediär "einkauften", der letztlich US-Recht untersteht. Zudem mahnten viele, dass die Zusammenführung der IP-Adressen von Mozilla Nutzern weltweit den Trend in Richtung Zentralisierung verstärke.
Statt auf Mozillas eigene Normen für die so genannten TRRs zu vertrauen, geht Cloudflare jetzt mit der technischen Lösung in die Offensive. Das "ahnungslose" DoH funktioniert nach dem Prinzip, Information auf mehrere Parteien zu verteilen. Vertrauen ist gut, Kontrolle durch den Nutzer besser!
Nur gewählter Proxy sieht IP-Adressen
Praktisch funktioniert das ganze so: Der Client des Endnutzers verschlüsselt zunächst den Inhalt seiner DNS Anfrage mit dem Schlüssel des von ihm gewählten DNS Anbieters. Anschließend jagt er die verschlüsselte Anfrage an einen von ihm gewählten Proxyanbieter. Aktuell sind drei Unternehmen laut Cloudflares Mitteilung mit im Boot: Surfnet in den Niederlanden, PCCW Global in Hongkong und Equinix in den USA.
Die Proxyanbieter leiten die verschlüsselt erhaltenen DNS-Anfragen dann an Cloudflare, oder andere ODoH-Anbieter, die der Client vorher ausgewählt hat und mit deren öffentlichem Schlüssel die DNS-Anfrage ja verschlüsselt ist. Der DNS Anbieter entschlüsselt, löst die DNS-Anfrage auf, und schickt die Antwort, wiederum verschlüsselt an den Proxy zurück. Die Kommunikation auf den Teilstrecken läuft natürlich über HTTPS.
Der Effekt der doppelten Verschlüsselung ist, dass der vom Nutzer gewählte Proxy zwar die IP des Anfragenden sieht, aber nicht den Inhalt; der DNS-Anbieter dagegen erhält nur die eigentlich abgefragte Domain. Auf diese Art und Weise müsse man weder den Policies, noch den jeweiligen Proxies vertrauen. Gefährlich wird es nur dann, so erläutern Cloudflares Experten, wenn diese beiden miteinander konspirieren.
Jedermann könne die ODoH Implementierung selbst testen, schreibt Cloudflare und verweist auf Implementierungen in Rust und Go. Zugleich stehe Cloudflares öffentlicher Resolver bereit, ODoH Anfragen via Proxies anzunehmen. Surfnets Joost van Dijk lobte die Entwicklung und nannte sie eine Illustration der Aufmerksamkeit, die mittlerweile der Vertraulichkeit auch beim DNS beigemessen werde.
Keine Performanzeinbußen
Verlangsamt die doppelte Verschlüsselung aber die Beantwortung der DNS-Anfrage nicht über Gebühr. Cloudflare versichert, ausgedehnte Messungkampagnen mit Servern in verschiedenen Ländern zeigten, die Dauer für die DNS-Antworten seien nur halb so lang wie Anfragen über die für Datenschutz-Überzeugte gewählte Variante DoH over Tor. Zugleich verliere man in der Hälfte der Fälle weniger als hundert Millisekunden gegenüber normalen DoH-Anfragen.
Man hoffe daher, dass jetzt rasch an Implementierungen für die Stub-Resolver in den Clients gearbeitet werde, schreiben die Cloudflare Entwickler und verweisen natürlich auf die laufende Arbeit bei der Internet Engineering Task Force. Dort wird noch getüftelt am Standard für die doppelte Verschlüsselung mittels "Hybrid public-key encryption schemes“ HPKE. Auch ODoH selbst muss noch vollends standardisiert werden. Cloudflare prescht also schon mal mit Running Code voran.
(emw)