Войти
DNSCrypt - это сетевой протокол, который аутентифицирует и шифрует трафик системы доменных имен (DNS) между компьютером пользователя и рекурсивные серверы имен. Первоначально он был разработан Фрэнком Дени и Йеченг Фу.
Хотя существует несколько реализаций клиента и сервера, этот протокол никогда не предлагался Инженерной группе Интернета (IETF) в виде запроса комментариев (RFC).
DNSCrypt обертывает неизмененный трафик DNS между клиентом и преобразователем DNS в криптографическую конструкцию для обнаружения подделки. Хотя он не обеспечивает сквозную безопасность, он защищает локальную сеть от атак типа «злоумышленник в середине».
. Он также смягчает атаки усиления на основе UDP, требуя вопрос должен быть не меньше соответствующего ответа. Таким образом, DNSCrypt помогает предотвратить атаки с усилением DNS.
В дополнение к частным развертываниям, протокол DNSCrypt был принят несколькими общедоступными преобразователями DNS, подавляющее большинство из которых являются членами сети OpenNIC, а также виртуальной сети. услуги частной сети (VPN).
OpenDNS (теперь часть Cisco ) объявил о первом общедоступном DNS-сервисе, поддерживающем DNSCrypt, 6 декабря 2011 года, вскоре за ним последовала CloudNS Australia.
29 марта 2016 года, Яндекс объявил о поддержке протокола DNSCrypt на своих публичных DNS-серверах, а также в Яндекс.Браузере.
14 октября 2016 года AdGuard добавили DNSCrypt в свой модуль фильтрации DNS. чтобы пользователи могли переходить со своих интернет-провайдеров на собственные или собственные DNS-серверы AdGuard для обеспечения конфиденциальности в Интернете и блокировки рекламы.
10 сентября 2018 г. некоммерческая общедоступная рекурсивная служба распознавания Quad9 объявила о поддержке DNSCrypt.
Другие серверы, поддерживающие безопасный протокол, упомянуты в списке создателей DNSCrypt.
DNSCrypt может использоваться как поверх UDP, так и через TCP. В обоих случаях его порт по умолчанию - 443. Несмотря на то, что протокол радикально отличается от HTTPS, оба типа служб используют один и тот же порт. Однако, хотя DNS через HTTPS и DNSCrypt возможны на одном и том же порте, они все равно должны работать отдельно на разных серверах. Два серверных приложения не могут работать одновременно на одном сервере, если оба используют один и тот же порт для связи.
Вместо того, чтобы полагаться на доверенные центры сертификации, которые обычно встречаются в веб-браузерах, клиент должен явно доверять общедоступному ключу подписи выбранного поставщика. Этот открытый ключ используется для проверки набора сертификатов, полученных с помощью обычных DNS-запросов. Эти сертификаты содержат краткосрочные открытые ключи, используемые для обмена ключами, а также идентификатор используемого набора шифров. Клиентам рекомендуется генерировать новый ключ для каждого запроса, а серверам рекомендуется менять пары краткосрочных ключей каждые 24 часа.
Протокол DNSCrypt также может использоваться для управления доступом или учета, принимая только заранее определенный набор открытых ключей. Это может использоваться коммерческими службами DNS для идентификации клиентов без необходимости полагаться на IP-адреса.
Запросы и ответы шифруются с использованием того же алгоритма и дополняются до кратного 64 байта, чтобы избежать утечки размеров пакетов. По UDP, когда ответ будет больше, чем вопрос, ведущий к нему, сервер может ответить коротким пакетом, у которого установлен бит TC (усеченный). Затем клиент должен повторить попытку использования TCP и увеличить заполнение последующих запросов.
Версии 1 и 2 протокола используют алгоритм X25519 для обмена ключами, EdDSA для подписей, а также X Salsa20 - Poly1305 или X ChaCha20 -Poly1305 для аутентифицированного шифрования.
По состоянию на 2020 год в протоколе DNSCrypt нет известных уязвимостей или практических атак на лежащие в его основе криптографические конструкции.
Анонимный DNSCrypt - это расширение протокола, предложенное в 2019 году для дальнейшего улучшения конфиденциальности DNS.
Вместо прямого ответа клиентам резолвер может действовать как прозрачный прокси к другому преобразователю, скрывая реальный IP клиента для последнего. Анонимизированный DNSCrypt - это легкая альтернатива прокси-серверам Tor и SOCKS, специально разработанная для трафика DNS.
Развертывание анонимного DNSCrypt началось в октябре 2019 года, и внедрение протокола было быстрым: 40 DNS-реле были настроены всего за две недели после публичной доступности реализаций клиента и сервера.
