DNS'i Kapıda Durduranlar: Şifreli Protokoller Neden Anahtar Dağıtımında Sorun Yaşıyor

İnternette en garip hislerden biri var: pahalı bir kilit almışsın ama anahtarı hiçbir yerde bulamıyorsun. İşte milyonlarca internet kullanıcısının şu anda yaşadığı şey tam da bu.

DNS-over-HTTPS (DoH) ve DNS-over-TLS (DoT) gibi şifreli DNS protokolleri, internetin en eski açıklarından birine çözüm olması gerekiyordu: DNS zehirlenmesi. Bu protokoller, hangi sitelere erişmek istediğini ne sansürçüler ne de sağlayıcılar göremeyecek şekilde şifrelemeliydi.

Ama işte asıl sorun ortaya çıktı: şifrelemenin bir faydası var ancak o şifreye ulaşabilirsen.

Sansürçüler Şifreyi Kırma Yerine Anahtarı Engellemeyi Fark Etti

Geleneksel internet sansürü basit bir oyun: içeriği engelle. Ama akıllı muhalifler çok daha zarif bir şey buldu: neden şifreyi kırmakla uğraşasın ki, insanları basitçe o şifrelemeyi çalıştıracak anahtarları elde etmekten engelliyorsun?

2021'in başında Çin'den bildiren GitHub kullanıcıları garip bir şeyi fark ettiler. Şifreli DNS sorgularında tuhaf davranışlar gözleniyordu. Sunucular çevrimdışı değildi. Bağlantılar kesilmemişti. Ama birisi çok tuzlu bir şeyler yapıyordu—sorgular başarılı olup biraz sonra başarısız olur, sonra aniden yeniden çalışırdı. Sanki birisi, gizliliği korumak için tasarlanmış altyapıya erişimi stratejik olarak kısıtlıyordu.

Bu araştırmanın sonunda çok korkutucu bir gerçek ortaya çıktı: Büyük İtfaiye, basit engellemenin ötesine geçmişti. DNS sansürüne çok katmanlı bir yaklaşım geliştirmişti:

Şifrelenmemiş DNS: Hala sahte IP adreslerle zehirlenmiş, kitabın eski numarasıdır.

DNS-over-TLS (port 853): Bağlantı seviyesinde tamamen engellendi, tartışma yok.

DNS-over-HTTPS (port 443): İşte zekice olan burası. Sansürçüler, bilinen şifreli DNS sağlayıcılarına giden DNS-over-HTTPS sorgularını izler. Tek bir sorgu bile IP engellemesini tetikler—ama sadece hizmet işe yaramayacak kadar. Sonra kaldırılır. Bunu yeterince tekrarlarsan, pratik sonuç engellemekle aynı—kullanıcılar bırakıp gider.

Temelde Tasarım Problemi Var

Bu saldırı, gizlilik altyapısının nasıl inşa edildiğine dair rahatsız edici bir şeyi açığa çıkarıyor: birinin ağı kontrol ettiği durumlarda şifreleme anahtarlarını güvenli bir şekilde nasıl dağıtacağımızı çözmeden, anahtarları dağıtan sistemler inşa ettik.

Şöyle düşün. Encrypted Client Hello (ECH) gibi yeni protokoller, TLS el sıkışmasında SNI (Server Name Indication) alanını şifreleyerek hangi siteyi ziyaret ettiğini gizlemek için tasarlandı. Gerçekten değerli. Ama tarayıcın ECH el sıkışmasını denemeden önce, DNS sisteminden açık anahtarları çekmesi gerekir.

Sonunda kendini bulmak kolay bir durumdur: şifreli DNS'e erişmek için DNS sorgusunu tamamlamana lazım, ama o sorgu şifrelenmeden daha önce ele geçirilebilir.

Web Geliştiriciler ve Platform Operatörleri İçin Ne Anlama Gelir

Eğer NameOcean gibi yerlerle çalışıyorsan veya dünya çapında altyapıyı yönetiyorsan, bu seni ilgilendiriyor çünkü yığında varsayılanlar olduğunu ve bu varsayılanların her yerde geçerli olmayabileceğini ortaya koyuyor.

Varsayım 1: DNS kayıtlarınız her yerde erişilebilir. Gerçekte, bazı bölgeler DNS altyapınıza hiç ulaşamayabilir.

Varsayım 2: Şifreli protokoller görünürlük sorununu çözer. Şifreleme katmanı için çözerler. Ama anahtar dağıtım sorununu çözmezler. Ağ erişimini kontrol eden biri, anahtar değişim noktasında hala sürtünme yaratabilir.

Varsayım 3: Sansür aktif kırılma gerektirir. Modern sansür çoğunlukla stratejik daraltma ve güçlüktür. Her şeyi veya hiçbirini olmak zorunda değildir; etkili olmak için.

İleri Yol Çok Güzel Değil

Bu yüzden artan ilgi görüyorsun:

• Merkeziyetsiz anahtar dağıtımı: DNSSEC ve blockchain tabanlı yaklaşımlar kullanarak şifreleme malzemeleri dağıtmak, bu işlemi engellemeyi zorlaştırır

• Gizleme: Şifreli DNS sorgularını normal HTTPS trafiği gibi göstermek (sık sık öyledirler, ama desen tanıma niyeti ortaya çıkarabilir)

• Anycast ağları ve coğrafi dağılım: Uç noktaları dünya çapında yayıp tek bir yeri engellemeyi zorlaştırmak

• Uygulama düzeyinde çözümler: Anahtar dağıtımını DNS yerine uygulamanın kendisine gömüştürmek

Bunların hiçbiri sihirli değnek değildir. Hepsi performans, kullanılabilirlik ve karmaşıklık arasında biraz ödün vermektedir.

Asıl Ders

Gerçek bulgu şudur: gizlilik altyapısı boşlukta yaşamaz. Gerçek ağ mimarisi, jeopolitika ve muhasım düşünce kısıtlamaları içinde yaşar.

Gizliliği göz önünde bulundurarak sistem tasarlarken—ister domain altyapısı, ister API uç noktaları, ister kullanıcıya yönelik hizmetler olsun—iki hamle ileri düşünmek zorundasın: Ağ seviyesinde kontrol sahibi birisi kullanıcıları buna erişmekten nasıl engeller? Ve savunma stratejin ne?

DNS kapıcılığı sorunu henüz çözülmedi. Ortaya çıkan çözümler muhtemelen daha kötü, daha dağınık olacak ve orijinal protokollerinin tasavvur ettiğinden daha fazla kullanıcı bilinci gerektirecek. Bu bir sorun değil—sadece gizliliğin siyasi bir konu olduğu bir dünyada inşa etmenin gerçeği.