From 8adb181dc393283347c48f8e99da3b02599f8dc7 Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Thu, 21 Jul 2016 00:36:13 +0300
Subject: [PATCH] =?utf8?q?=D0=98=D0=B3=D1=80=D0=B0=D1=8E=D1=81=D1=8C=20?=
 =?utf8?q?=D1=81=20dnscrypt?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

https://www.dnscrypt.org/
Очень интересный и явно нужный проект. Запросы DNS это компактная, но
*очень* ценная метаинформация. DNS запросы могут очень и очень многое
рассказать о человеке и что у него творится. DNSSEC не обеспечивает
никакой приватности запросов-ответов. DNSCrypt как-раз закрывает этот
существенный недостаток.

Суть его работы крайне проста. Со стороны клиента тривиальный прокси и
со стороны сервера. Они берут запрос/ответ как есть, не изменяя ни
одного байта, и просто аутентифицированно шифруют, используя стандартные
Бернштейновские алгоритмы типа X25519, XSalsa20-Poly1305. Всё сделано
грамотно и без лишних сложностей. Для усиления приватности дополняют
запросы/ответы padding-ом. Работать может как по UDP, так и по TCP,
по-умолчанию используя 443-ий порт.

Надо прощупать получше, но наверное абсолютно всё везде у себя переведу
на его использование и использование не родных внешних resolver-ов. TLS,
HTTPS обеспечивают какую-то защиту, но вот DNS всё никак, ибо его
ценность так велика, что в ОС ничего не встраивают для защиты
приватности. Не важно что именно запрашивал и получал пользователь в
ответе сервера alquadea.net, главное что у него, как минимум, был DNS
запрос с этим доменом.
-- 
2.50.0