From: Sergey Matveev <stargrave@stargrave.org>
Date: Wed, 20 Jul 2016 21:36:13 +0000 (+0300)
Subject: Играюсь с dnscrypt
X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=8adb181dc393283347c48f8e99da3b02599f8dc7;p=stargrave-blog.git

Играюсь с dnscrypt

https://www.dnscrypt.org/
Очень интересный и явно нужный проект. Запросы DNS это компактная, но
*очень* ценная метаинформация. DNS запросы могут очень и очень многое
рассказать о человеке и что у него творится. DNSSEC не обеспечивает
никакой приватности запросов-ответов. DNSCrypt как-раз закрывает этот
существенный недостаток.

Суть его работы крайне проста. Со стороны клиента тривиальный прокси и
со стороны сервера. Они берут запрос/ответ как есть, не изменяя ни
одного байта, и просто аутентифицированно шифруют, используя стандартные
Бернштейновские алгоритмы типа X25519, XSalsa20-Poly1305. Всё сделано
грамотно и без лишних сложностей. Для усиления приватности дополняют
запросы/ответы padding-ом. Работать может как по UDP, так и по TCP,
по-умолчанию используя 443-ий порт.

Надо прощупать получше, но наверное абсолютно всё везде у себя переведу
на его использование и использование не родных внешних resolver-ов. TLS,
HTTPS обеспечивают какую-то защиту, но вот DNS всё никак, ибо его
ценность так велика, что в ОС ничего не встраивают для защиты
приватности. Не важно что именно запрашивал и получал пользователь в
ответе сервера alquadea.net, главное что у него, как минимум, был DNS
запрос с этим доменом.
---