APNIC文摘—加密DNS無法阻止竊聽和審查(上)

本APNIC文摘原標題為Eavesdroppers and censors can still monitor what you’re viewing even if you’re using encrypted DNS,由洛桑聯邦理工大學資訊科學博士生Sandra Siby撰文。

今(2019)年四月域名系統的訊務達到5兆個DNS交易次數,創下歷史新高,這大批交易都以明文顯示,讓網路服務供應商(Internet Service Providers, ISPs)、自治系統(Autonomous systems, ASes)或國家級機構可執行用戶追蹤、大規模監視和審查,為加強隱私保護,網路治理組織、相關產業行為者和標準化機構將DNS-over-TLS(DoT)和DNS-over-HTTPS(DoH)兩項協定標準化。

DoT和DoH都對客戶端和遞迴解析器之間的通訊進行加密,以防止網路竊聽者檢查域名,然而即使加密通訊,訊務特徵(例如流量和時間)的分析也會洩漏其內容的相關資訊,因此,標準化機構考慮建立保護機制,來限制從加密DNS通訊的訊務元數據(metadata)中,推斷出私人資訊。

洛桑聯邦理工大學、魯汶大學和IMDEA網路學院共同研究以下兩項課題:其一是加密DNS訊務是否可以保護用戶免受基於訊務分析的監視和審查,其次則是目前針對訊務分析的保護機制是否有效。

與傳統網頁訊務相比,DNS請求和回應的時間很短,而且大小變化不大,因此傳統上用來分類網頁訊務的功能對DNS無效,為此,研究團隊提出一套專為加密DNS訊務設計的新功能。團隊設定兩種情況來評估該功能的有效性,一種是敵方知道整套使用者可能訪問的頁面,另一種是敵方不知道使用者可能訪問的頁面,但有興趣了解訪問的頁面是否落在受監視頁面的黑名單內。結果發現兩種不同情況下,敵方在辨識網頁上都有很高的成功率,這表示新功能可以有效地識別來自DoH訊務的網頁。

APNIC文摘—加密DNS無法阻止竊聽和審查(下)

 *台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Eavesdroppers and censors can still monitor what you’re viewing even if you’re using encrypted DNS

Image by Clker-Free-Vector-Images from Pixabay

Scroll to Top