Apple のエンジニアは、Cloudflare および Fastly と協力し、ユーザーのオンライン活動の追跡を困難にする新しい標準である Oblivious DNS を作成しています。
インターネットは、暗号化やVPNなど、利用者向けに様々なプライバシー保護手段を提供していますが、中でも追跡が容易な領域の一つがドメインネームシステムです。インターネットの住所録とも言えるDNSは、特定のウェブサイトのIPアドレスにリンクするドメイン名の使用を可能にし、システム全体を人間にとってより使いやすくしています。
しかし、DNSの性質上、DNSはマシン間で平文で送受信されるため、第三者による監視が容易であり、追跡可能な要素となります。DNS over HTTPS(DoH)などの技術開発により、外部からの攻撃者がDNSクエリを改ざんして悪意のあるサイトへ誘導することは困難になっていますが、それでもユーザーのアクティビティを追跡することは可能です。
DNSのプライバシーと追跡可能性を高めるため、Apple、Cloudflare、Fastlyのエンジニアグループは、Oblivious DNS over HTTPS(ODoH)を開発しました。IPアドレスとクエリを分離することで、すべての関係者がIPアドレスとクエリの両方に同時にアクセスできないため、DNSクエリの安全性が向上します。
ODoH はどのように機能しますか?
このシステムは、公開鍵暗号と、クライアントとDoHサーバー間に配置されたネットワークプロキシの両方を利用して動作します。クエリはクライアントによって暗号化され、プロキシを介してDoHサーバーに送信されます。
DoH サーバーはクエリを復号化し、それに対する回答を生成し、その回答を暗号化してプロキシに送り返し、プロキシはそれをクライアントに送り返します。
実際には、プロキシはクライアントとDoHサーバー間の暗号化されたメッセージを認識しますが、メッセージの内容は認識しません。一方、DoHサーバーはメッセージ自体の内容を認識しますが、プロキシのアドレスのみを認識し、クライアントのアドレスは認識しません。
プロキシと DoH サーバーの両方が同じエンティティによって所有されている場合、メッセージの内容とクライアントのアドレスを組み合わせることは理論的には可能ですが、プロキシと DoH サーバーはまったく共謀しないというのが基本的なルールです。
実際には、プロキシと DoH サーバーが異なる企業によって所有されていることを確認することが主な目的となります。
Cloudflare のグラフは、ODoH と DoH、および DoH over Tor のネットワーク応答時間を示しています。
DNSクエリに暗号化と復号化、そしてプロキシが追加されると、DNSクエリを可能な限り高速に実行したいユーザーにとっては懸念材料となる可能性があります。こうした懸念を払拭するため、CloudflareはODoH構成の初期テストでは非常に良好な結果が得られたと主張しています。
同社によれば、追加の暗号化の効果は「わずか」であり、クエリの99%に対して時間コストは1ミリ秒未満だという。
ODoH はいつ使用できるようになりますか?
火曜日、CloudflareとPCCW Global、Surf、Equinixなどのパートナーは、Cloudflareの1.1.1.1 DNSリゾルバを使用したOblivious DNS over HTTPSプロキシをリリースしました。これは、Oblivious DNS over HTTPSのさらなる開発と実装を促進するためのものです。テストクライアントはオープンソース化されており、関心のあるユーザーが自らテストすることができます。
既存の取り組みはシステムをさらに改良することを目的としていますが、消費者が利用できるようになるまでには相当な時間がかかる可能性があります。Appleがこのプロジェクトに関与しているにもかかわらず、iOS、macOS、Safariにすぐに導入されることは保証されていません。
最も長い待ち時間は、インターネット エンジニアリング タスク フォースによって標準として認定されるまでです。認定されると、開発者にとって実装がより魅力的になります。