Desde Linux David Naranjo  

Cloudflare y Apple están trabajando en el protocolo ODoH con el IETF

Los ingenieros de Cloudflare, Apple y la red de distribución Fastly han creado el protocolo ODoH (Oblivious DoH), el cual es un cambio importante en el sistema de nombres de dominio actual que traduce nombres de dominio fáciles de usar en direcciones IP que las computadoras necesitan para encontrar otras computadoras.

Las empresas están trabajando con el Grupo de trabajo de ingeniería de Internet (IETF, una organización que desarrolla y promueve los estándares de Internet) con la esperanza de que se convierta en un estándar mundial.

Sobre ODoH

Oblivious DoH se basa en una mejora de DNS separada llamada DNS-over-HTTPS (abreviatura de DoH), que aún se encuentra en sus primeras etapas de adopción.

En primer lugar, es importante poner los elementos en su contexto DNS es una base de datos que conecta un nombre descriptivo , como www.domain.com , a una serie de números computarizados, denominados dirección IP .

Al realizar una «búsqueda» en esta base de datos, el navegador web puede encontrar sitios web en su nombre. Debido al diseño inicial de DNS hace décadas, los navegadores que realizaban búsquedas de DNS para sitios web (incluso https://) tenían que realizar estas búsquedas sin cifrado.

Debido a que no hay cifrado, otros dispositivos en el camino también pueden recopilar (o incluso bloquear o modificar) estos datos. Las búsquedas de DNS se envían a servidores que pueden espiar el historial de navegación de su sitio web sin notificarle ni publicar una política sobre qué hacer con esa información.

Cuando se creó Internet, se conocía este tipo de amenaza a la privacidad y seguridad de las personas, pero aún no se explotaba. Hoy en día, sabemos que el DNS no cifrado no solo es vulnerable al espionaje, sino que también es explotado, y los actores de la industria han acudido al rescate para que Internet pueda pasar a alternativas más seguras.

Para hacer esto, los navegadores han optado por realizar búsquedas de DNS a través de una conexión HTTPS cifrada. Esto ocultará su historial de navegación a los atacantes en la red, evitará la recopilación de datos por parte de terceros en la red que conecta su computadora a los sitios web que visita.

Así nació el protocolo DNS-over-HTTPS que ofrece la posibilidad de que los navegadores web oculten las consultas y respuestas de DNS en el tráfico HTTPS de aspecto normal para hacer invisible el tráfico de DNS de un usuario. Al mismo tiempo, compromete la capacidad de los observadores de redes de terceros (como los ISP) para detectar y filtrar el tráfico de sus clientes.

¿Cómo funciona Oblivious?

ODoH es un protocolo emergente en desarrollo en el IETF, funciona agregando una capa de cifrado de clave pública, así como un proxy de red entre clientes y servidores DoH, como 1.1.1.1.

Según Cloudflare, la combinación de estos dos elementos adicionales asegura que solo el usuario tenga acceso tanto a los mensajes DNS como a su propia dirección IP al mismo tiempo.

 El objetivo descifra las solicitudes cifradas por el cliente, a través de un proxy. Asimismo, el objetivo cifra las respuestas y las envía de vuelta al proxy. El estándar dice que el objetivo puede ser o no el resolutor.

El proxy hace lo que se supone que debe hacer un proxy, ya que transfiere mensajes entre el cliente y el objetivo.

El cliente se comporta como lo hace en DNS y DoH, pero se diferencia por cifrar las consultas para el objetivo y descifrar las respuestas del objetivo. Cualquier cliente que elija hacerlo puede especificar un proxy y un objetivo de su elección.

Juntos, el cifrado y el proxy agregados brindan las siguientes garantías:

  • El objetivo solo ve la solicitud de proxy y la dirección IP.
  • El proxy no tiene visibilidad en los mensajes DNS, no tiene la capacidad de identificar, leer o modificar la solicitud enviada por el cliente o la respuesta devuelta por el objetivo.
  • Solo el objetivo previsto puede leer el contenido de la solicitud y producir una respuesta.

Estas tres garantías mejoran la privacidad del cliente mientras mantienen la seguridad e integridad de las consultas de DNS.

Fuente: https://blog.cloudflare.com

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.