Oblivious DoH: Cloudflare will DNS-Anfragen von IP-Adressen trennen

Mit einer Variante von DoH sollen DNS-Server die IP-Adressen der Clients nicht mehr sehen. Eine Analyse soll damit verhindert werden.

Artikel veröffentlicht am ,
Verschlüsselung und ein Proxy sollen eine Datenüberwachung bei ODoH verhindern.
Verschlüsselung und ein Proxy sollen eine Datenüberwachung bei ODoH verhindern. (Bild: Pixabay)

In einer großangelegten Kooperation versuchen die Netzwerkspezialisten von Cloudflare und Fastly zusammen mit Apple und weiteren Partnern einem der größten Kritikpunkte an dem Standard DNS über HTTPS (DoH) zu begegnen: dessen vermeintlicher Zentralisierung. Denn dadurch werde es für DNS-Anbieter wie Cloudflare theoretisch möglich, eine Vielzahl von Client-IP-Adressen zu sammeln und das Surfverhalten zu überwachen. Oblivious DoH soll das verhindern, wie Cloudflare ankündigt.

Stellenmarkt
  1. IT Service Manager (m/w/d)
    8com GmbH & Co. KG., Neustadt
  2. Gruppenleiter für Embedded Softwareentwicklung (m/w/d)
    Endress+Hauser Conducta GmbH+Co. KG, Gerlingen (bei Stuttgart)
Detailsuche

Die Idee ist dabei im Grunde ganz einfach: Die IP-Adresse, von der eine Anfrage gesendet wird, soll den eigentlichen DNS-Server nie erreichen. Möglich machen soll das ein Proxy-Server, der in der Mitte der Verbindung liegt und die Anfrage weiterleitet. Der DNS-Server sieht so nur die IP-Adresse des Proxy-Servers. Werden die Systeme getrennt betrieben, also DNS-Server und Proxy, müssten beide Server unabhängig voneinander kompromittiert werden, um die IP-Adressen der Clients mit DNS-Anfragen zu verknüpfen.

Damit der zwischengeschaltete Proxy-Server die DNS-Anfragen nicht mitlesen kann, was ja durch DoH eigentlich verhindert werden soll, sollen diese verschlüsselt werden. Die öffentlichen Schlüssel des DNS-Servers sollen dabei als Teil eines HTTPS Resource Records per DNS selbst übertragen werden. Mit Hilfe von DNSSEC kann dann auch die Authentizität der Schlüssel gewährleistet werden.

In der Ankündigung von Cloudflare heißt es dazu: "Die gesamte Kommunikation ist authentifiziert und vertraulich, da diese DNS-Nachrichten Ende-zu-Ende-verschlüsselt sind, obwohl sie über zwei separate HTTPS-Verbindungen (Client-Proxy und Proxy-Ziel) übertragen werden. Die Nachricht, die dem Proxy ansonsten als Klartext angezeigt würde, ist tatsächlich ein verschlüsseltes Gewirr."

Golem Karrierewelt
  1. Masterclass Data Science mit Pandas & Python: virtueller Zwei-Tage-Workshop
    29./30.09.2022, Virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    18.-20.07.2022, Virtuell
Weitere IT-Trainings

Die Arbeiten an ODoH stehen bereits als Entwurf bei der IETF bereit und sollen dort als Standard spezifiziert werden. Unabhängig davon unterstützt Cloudflare die Technik bereits auf seinen DNS-Servern und einige Anbieter stellen bereits entsprechende Proxys bereit. Darüber hinaus gibt es Clients in Rust und Go von Cloudflare, um die Technik zu testen. Der Browser-Hersteller Mozilla hat außerdem bereits angekündigt, ebenfalls mit ODoH experimentieren zu wollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


johnripper 10. Dez 2020

Verstehe den Mehrwert nicht. Ich könnte doch einfach das Logging ausschalten und fertig.

johnripper 10. Dez 2020

Na man hat jetzt rausgefunden, dass man sich mit DoH ein Problem geschaffen hat, welches...

MarcusK 09. Dez 2020

aber dann bitte mit XML und nicht so etwas sparsames wie JSON



Aktuell auf der Startseite von Golem.de
Alterskontrolle und Netzsperren
Es geht um viel mehr als nur die Chatkontrolle

Neben der umstrittenen Chatkontrolle enthält der Gesetzentwurf der EU-Kommission auch Vorgaben zur Altersverifkation, Netzsperren und Appstores.
Eine Analyse von Moritz Tremmel und Friedhelm Greis

Alterskontrolle und Netzsperren: Es geht um viel mehr als nur die Chatkontrolle
Artikel
  1. Liberty Lifter: US-Militär lässt ein eigenes Ekranoplan entwickeln
    Liberty Lifter
    US-Militär lässt ein eigenes Ekranoplan entwickeln

    In den 1960er Jahren schockten die Sowjets den Westen mit dem Kaspischen Seemonster. Die Darpa will ein eigenes, besseres Bodeneffektfahrzeug bauen.

  2. Amazons E-Book-Reader: Alte Kindle-Modelle verlieren Buchkauf und -ausleihe
    Amazons E-Book-Reader
    Alte Kindle-Modelle verlieren Buchkauf und -ausleihe

    Amazon streicht in Kürze auf fünf älteren Kindle-Modellen alle Funktionen, die mit Amazons E-Book-Store zusammenhängen.

  3. Finanzierungsrunde: Faltbares Elektroauto City Transformer kann in Serie gehen
    Finanzierungsrunde
    Faltbares Elektroauto City Transformer kann in Serie gehen

    Der Kleinstwagen City Transformer verkleinert sich zum Parken automatisch. Eine erfolgreiche Finanzierungsrunde macht die Serienproduktion möglich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /