"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

DNSCrypt - DNS verschlüsseln

d3cod3 06.12.2011 - 16:01 2349 11
Posts

d3cod3

Legend
...
Avatar
Registered: Aug 2002
Location: insert location ..
Posts: 15288
http://www.opendns.com/technology/dnscrypt

schaut so aus als ob man sowas zum surfen verwenden sollte ;)

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11890
Eh? Was ist das fuer ein lustiges Hobbyprojektchen der OpenDNS-Scammer - und wie soll es sich auch nur im entferntesten gegen DNSSEC durchsetzen koennen?

DNSCrypt verschluesselt offenbar die Payload (also DNS-Requests und -Responses), wird aber - abseits der an sich mehr als fragwuerdigen OpenDNS-Server - wohl keinerlei Verbreitung finden und damit Bedeutung erlangen koennen. Aber ist eh sinnlos, weil:

Edit: Ah, ich hab mich jetzt durch das Marketinggesuelz auf der OpenDNS-Seite gequaelt. Was fuer ein SCHWACHSINN. Brr. Die reine Verschluesselung der DNS-Daten in-flight mit der Verschluesselung von via TLS geschuetztem Traffic ueber ein Socket zu vergleichen ist schon dreist - die Anzahl an DNS-Requests, die im Durchschnitt so ueber die Leitung gehen, sind lediglich ein geradezu winziger Bruchteil des Gesamttraffics (dank clientseitigem Caching und der Tatsache, dass die meisten Leute heute eh nur noch eine Hand voll TLDs resolven), und eigentlich so gut wie vollkommen irrelevant. Wenn man Angst hat, dass irgendjemand seine DNS-Requests mitliest, sollte man am besten gleich TOR verwenden, um die Gesamtheit des Traffics zu maskieren. Wenn naemlich jemand meinen Traffic mitliest, kann der - auch wenn ich "DNSCrypt" verwende - ohne weiteres korrelieren, dass mein verschluesselter DNS-Request X mit dem nachfolgenden TCP-Connect zu Host Y, Port Z in Zusammenhang steht.

d3cod3

Legend
...
Avatar
Registered: Aug 2002
Location: insert location ..
Posts: 15288
ich glaub nicht dass das sich gegen irgendwas durchsetzen will. verschlüsselt dnssec auch oder signiert das nur (das hab ich zumindest angenommen)?

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11890
In ihrem FAQ stellen sie klar, dass sie DNSCrypt nicht gegen DNSSEC positionieren, sondern sich die beiden Verfahren ergaenzen. In meinen Augen ist DNSCrypt nur gaenzlich sinnlos, bzw. ein billiger Publicity-Stunt (ich wuerde mich schwer wundern, wenn man nicht ganz aehnliche Wrapper auf freshmeat/sf.net finden kann :D) - Begruendung findet sich in meinem ersten Posting.

DNSSEC macht DNS "lediglich" tamper-proof. Das reicht aber.

d3cod3

Legend
...
Avatar
Registered: Aug 2002
Location: insert location ..
Posts: 15288
ist ja schön wenn dir das reicht :)

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
das problem bei dieser methode ist einfach, dass wenn die payload unverschlüsselt ist und ua. deshalb das ganze wenig bringt für viel aufwand. wenn man die ip adresse des webservers hat, die ja trotzdem im klartext übertragen werden muss, kann ich per reverse-DNS/google wieder auf den genutzten service schließen.
bei größeren seiten ist das überhaupt kein gewinn an privacy, bei kleineren (die aber eher auf https verzichten), wirds wahrscheinlich aufwändiger rückzuverfolgen.

noledge

CCNP+CWNP
Avatar
Registered: Apr 2001
Location: ::1
Posts: 6837
Zitat von Smut
das problem bei dieser methode ist einfach, dass wenn die payload unverschlüsselt ist und ua. deshalb das ganze wenig bringt für viel aufwand. wenn man die ip adresse des webservers hat, die ja trotzdem im klartext übertragen werden muss, kann ich per reverse-DNS/google wieder auf den genutzten service schließen.

im falle von HTTP steht der gewünschte server sogar im request, da er für die vserver des webservers benötigt wird - das ist in dem fall dann noch genauer, weil man eben "www.overclockers.at" aus dem request erhält und nicht "ipXY.rev.nessus.at". also ohne den traffic gesamt zu verschlüsseln, was die DNS requests dann ohnehin miteinbeziehen würde, komplett sinnlos.

othan

Layer 8 Problem
Avatar
Registered: Nov 2001
Location: Switzerland
Posts: 4203
inzwischen auch bei heise angekommen, inkl comment von colo

http://www.heise.de/ix/meldung/DNSC...en-1392786.html

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11890
:D Ich konnte mich nicht zurueckhalten!

Immerhin ist der Code jetzt mal auf github veroeffentlicht - schade halt, dass das ganze immer noch quasi sinnlos ist.

BiG_WEaSeL

Super Moderator
-
Avatar
Registered: Jun 2000
Location: Wien
Posts: 8052
Mal eine Frage: Inwiefern passt es ins Apple Subforum? ;)

othan

Layer 8 Problem
Avatar
Registered: Nov 2001
Location: Switzerland
Posts: 4203
Die Software gibts vorerst nur für Äpfel

BiG_WEaSeL

Super Moderator
-
Avatar
Registered: Jun 2000
Location: Wien
Posts: 8052
Zitat von othan
Die Software gibts vorerst nur für Äpfel

Dabei hab ich noch extra die Website aufgerufen um mich zu vergewissern. *shameonme*
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz