{"id":12650,"date":"2018-04-28T11:46:24","date_gmt":"2018-04-28T09:46:24","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=12650"},"modified":"2018-04-25T09:48:49","modified_gmt":"2018-04-25T07:48:49","slug":"wie-odns-surfgewohnheiten-geheim-haelt","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=12650","title":{"rendered":"Wie ODNS Surfgewohnheiten geheim h\u00e4lt"},"content":{"rendered":"

\"\"<\/a><\/p>\n

DNS ordnet menschenlesbare Namen f\u00fcr Computer und Dienste, wie etwa nakedsecurity.sophos.com, den numerischen IP-Adressen zu, die Computer ben\u00f6tigen, um miteinander zu kommunizieren. Leider hat DNS ein Datenschutzproblem: DNS-Abfragen k\u00f6nnen gelesen werden und man sieht genau, wer wo surft, selbst wenn diese Personen darauf achten, die genauen Details ihres Surfens mit HTTPS zu verschl\u00fcsseln. Es gibt bereits viele Ans\u00e4tze um dieses Problem zu l\u00f6sen. Ein junge und sehr vielversprechende Technologie ist ODNS (Oblivious DNS).<\/p>\n

<\/p>\n

Um eine bestimmte Webseite, zum Beispiel www.example.org, \u00fcber den Webbrowser aufzurufen, muss der Computer die IP-Adresse dieser Seite kennen. Diese Informationen erh\u00e4lt man \u00fcber DNS. Dazu stellt der Computer die Frage „Wie lautet die IP-Adresse von www.example.org?“ an einen rekursiven Resolver, der m\u00f6glicherweise vom ISP oder einem Drittanbieter wie CloudFlare unter der IP-Adresse 1.1.1.1 oder Google unter der IP-Adresse 8.8.8.8 betrieben wird. \u00dcber mehrere Server gelangt die Anfrage letztlich an einen autoritativen Server, der die Adresse kennt. Der autoritative Server beantwortet die urspr\u00fcngliche Frage und sendet die IP-Adresse, im Falle von www.example.org 93.184.216.34 an den rekursiven Resolver, der sie an den Computer zur\u00fcckschickt. Dieser gesamte Datenverkehr ist f\u00fcr jeden, der sich im selben Netzwerk wie der Computer aufh\u00e4lt ebenso wie f\u00fcr den ISP (oder den VPN-Provider) auf dem Weg durch das Netzwerk sichtbar. Er ist aber auch auf dem DNS-Resolver und dem autoritativen Server sowie oft auch auf den anderen Servern, die der rekursive Resolver konsultiert, sichtbar.<\/p>\n

\u201eS\u00e4mtliche Informationen, die so auf dem Weg durchs Netz abgefragt und beantwortet werden kann ein Dritter, der die Kommunikation zwischen einem Client und einem rekursiven Resolver oder sogar zwischen einem rekursiven Resolver und einem autoritativen Server abh\u00f6rt, in Ruhe mitlesen,\u201c erl\u00e4utert Michael Veit, Technology Evangelist bei Sophos. \u201eDa diese Informationen an jeden DNS-Server gesendet werden, k\u00f6nnen dar\u00fcber hinaus auch DNS-Betreiber die Informationen der Clients einsehen.\u201c<\/p>\n

Es gibt eine Vielzahl von L\u00f6sungsans\u00e4tzen, die sich mit den Datenschutzproblemen von DNS befassen. Die meisten L\u00f6sungen erfassen dabei jedoch nur einen Teil des Problems und einige erfordern eine Art der Umr\u00fcstung, die den Prozess verlangsamen k\u00f6nnte. So reduziert beispielsweise eine DNS Query Name Minimierung die Menge an Informationen, die der rekursive Resolver mit einigen DNS-Servern teilt. Snooping, also Schn\u00fcffeln am oder zwischen Resolvern, ISP oder autoritativem Server ist jedoch weiterhin m\u00f6glich.<\/p>\n

DNS-over-TLS und DNS-over-HTTPS erfordern eine Umr\u00fcstung bestehender Systeme, um den DNS-Verkehr zu verschl\u00fcsseln und so Snooping zu verhindern. Sie l\u00f6sen zwar aufwendig dieses Problem, verhindern aber nicht, dass der Verkehr am Resolver oder anderen Zielen trotzdem \u00fcberwacht wird.<\/p>\n

Rekursive Resolver, die extra f\u00fcr den Datenschutz entwickelt wurden, gehen das Resolver-Problem an, indem sie versprechen, den Nutzer nicht zu \u00fcberwachen oder Protokolle \u00fcber seine Aktivit\u00e4ten zu f\u00fchren. Das ist ein sch\u00f6ner Ansatz, aber Privatsph\u00e4re und Sicherheit erfordern ein st\u00e4rkeres Fundament als die Zusicherung von „Sie k\u00f6nnen uns vertrauen“.<\/p>\n

Oblivious DNS versucht, Spionage am Resolver oder an anderen Zielen ohne nennenswerte Umr\u00fcstung zu bek\u00e4mpfen. Der Computer stellt immer noch die Frage „Wie lautet die IP-Adresse von www.example.org?“? aber dieses Mal wird es an einen lokalen ODNS-Resolver auf dem Computer gesendet. Dieser lokale Resolver erstellt einen Sitzungsschl\u00fcssel, verschl\u00fcsselt die Dom\u00e4ne damit und f\u00fcgt dann .odns am Ende hinzu, wodurch man einen v\u00f6llig unkenntlichen Dom\u00e4nennamen wie 9fab9405429045fe5.odns erh\u00e4lt. Der Sitzungsschl\u00fcssel selbst wird dann mit einem \u00f6ffentlichen Schl\u00fcssel verschl\u00fcsselt, der von einem autoritativen Server f\u00fcr die .odns-TLD (Top-Level-Domain) bereitgestellt wird. Jeder kann etwas mit dem \u00f6ffentlichen Schl\u00fcssel verschl\u00fcsseln, aber nur der autoritative Server kann es lesen. Der verschl\u00fcsselte Sitzungsschl\u00fcssel wird der DNS-Abfrage hinzugef\u00fcgt und an einen normalen rekursiven Resolver, wie ihn ein ISP betreibt, gesendet. Das Schn\u00fcffeln zwischen dem Computer und dem Resolver oder am Resolver selbst wird so vereitelt. Zwar kann ein Dritter erkennen, wer eine Anfrage stellt, aber nicht, wof\u00fcr die Anfrage ist, da der Domainname verschl\u00fcsselt wird, bevor er den Computer verl\u00e4sst. Derzeit ist dieses Verfahren noch ein Prototyp, aber das Forschungsteam arbeitet mit Hochdruck daran, Surfen zuk\u00fcnftig komplett sicher zu gestalten.<\/p>\n

Weitere Informationen: https:\/\/nakedsecurity.sophos.com\/2018\/04\/10\/how-odns-keeps-your-browsing-habits-secret<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

DNS ordnet menschenlesbare Namen f\u00fcr Computer und Dienste, wie etwa nakedsecurity.sophos.com, den numerischen IP-Adressen zu, die Computer ben\u00f6tigen, um miteinander<\/p>\n","protected":false},"author":3,"featured_media":12652,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4,37],"tags":[1501,11308,5375,6294,11309,11306,11307,54,11310,4421,180],"class_list":["post-12650","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-security","tag-dns","tag-dns-query-name-minimierung","tag-https","tag-isp","tag-oblivious-dns","tag-odns","tag-resolver","tag-sophos","tag-tld","tag-tls","tag-vpn"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12650","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12650"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12650\/revisions"}],"predecessor-version":[{"id":12653,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12650\/revisions\/12653"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/12652"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12650"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12650"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12650"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}