DNS-nøgler uden for rækkevidde: Hvorfor kryptering ikke altid er nok

Du kender følelsen, når du har købt en god lås, men nøglen er forsvundet. Det samme sker for millioner af brugere, når de prøver at bruge krypteret DNS.

DoH og DoT skulle løse det gamle problem med DNS-forgiftning. Ved at kryptere selve opslagene ville hverken udbydere eller myndigheder kunne se, hvilke domæner brugerne besøger. Men løsningen har en svaghed: krypteringen kræver, at brugeren først kan få fat i de rigtige nøgler.

Når blokeringen flytter sig fra indhold til nøgler

I stedet for at knække krypteringen begynder flere lande at forhindre brugerne i at hente de nødvendige nøgler. Det første tegn på denne taktik dukkede op i Kina i 2021. GitHub-brugere oplevede, at DoH-forbindelserne virkede i korte perioder, før de pludselig blev afbrudt i nogle minutter. Forbindelsen blev ikke lukket helt – den blev bare gjort ubrugelig i praksis.

Den kinesiske firewall har nu tre lag:

• Almindelig DNS bliver stadig forgiftet med falske IP-adresser.
• DoT på port 853 bliver helt blokeret.
• DoH på port 443 bliver midlertidigt blokeret, når systemet opdager trafik til kendte DoH-udbydere. Blokeringen varer længe nok til at gøre tjenesten ubrugelig, men kort nok til at undgå at blive opdaget som en fuld blokade.

Nøglen skal også distribueres sikkert

Problemet stikker dybere end selve protokollerne. Mange nye teknologier – som Encrypted Client Hello (ECH) – kræver, at browseren først henter en offentlig nøgle via DNS. Hvis den forespørgsel kan blokeres eller manipuleres, når den aldrig frem til krypteringen.

Det skaber en klassisk catch-22: for at få krypteret DNS skal du lave et DNS-opslag, men det opslag kan blive stoppet, før det når at blive krypteret.

Hvad det betyder for udviklere

Når du bygger eller hoster domæner globalt, skal du være opmærksom på tre antagelser, der ikke holder overalt:

1. DNS-poster er tilgængelige overalt. I nogle regioner kan brugerne slet ikke nå dine navneservere.
2. Krypterede protokoller beskytter alt. De beskytter dataene, men ikke selve nøgleudvekslingen.
3. Censur kræver fuld blokering. Ofte er det nok at skabe friktion og gentagne afbrydelser.

Mulige veje frem

Der arbejdes på flere løsninger:

• Decentraliseret nøglefordeling gennem DNSSEC eller blockchain-baserede systemer.
• Obfuskering, så krypteret DNS-trafik ligner almindelig HTTPS.
• Anycast og geografisk spredning, der gør det sværere at blokere specifikke IP-adresser.
• Indlejrede nøgler i selve applikationen, så brugeren ikke er afhængig af DNS.

Ingen af løsningerne er perfekte. De bytter alle sammen mellem hastighed, brugervenlighed og kompleksitet.

Det vigtigste budskab

Privatlivsløsninger lever ikke i et vakuum. De møder modstand fra netværk, politik og aktive modstandere. Når du designer domæne- eller hosting-løsninger, er det derfor vigtigt at spørge: Hvordan ville en aktør med kontrol over netværket forsøge at stoppe adgangen – og hvordan kan vi modvirke det?

DNS-gatekeeping er ikke løst endnu. De løsninger, der kommer, bliver sandsynligvis mere komplekse og kræver mere opmærksomhed fra både udviklere og brugere.