DNSCrypt

Protocolo para cifrar consultas DNS

DNSCrypt es un protocolo de red que autentica y cifra el tráfico del Sistema de nombres de dominio (DNS) entre la computadora del usuario y los servidores de nombres recursivos . DNSCrypt envuelve el tráfico DNS no modificado entre un cliente y un solucionador de DNS en una construcción criptográfica, evitando escuchas y falsificaciones por parte de un intermediario . ^[1]

También mitiga los ataques de amplificación basados ​​en UDP al exigir que una pregunta sea al menos tan grande como la respuesta correspondiente. Así, DNSCrypt ayuda a prevenir ataques de amplificación de DNS . ^{[2] : §9}

DNSCrypt fue diseñado originalmente por Frank Denis y Yecheng Fu. Existen múltiples implementaciones de software gratuitas y de código abierto. Está disponible para una variedad de sistemas operativos, incluidos Unix, Apple iOS, Linux, Android y Microsoft Windows. ^[3] La implementación de software gratuito y de código abierto dnscrypt-proxy ^[4] integra adicionalmente ODoH . ^[5]

Despliegue

dnscrypt-proxy, un cliente DNSCrypt que se ejecuta en Linux

Además de las implementaciones privadas, el protocolo DNSCrypt ha sido adoptado por varios solucionadores de DNS públicos, la gran mayoría de los cuales son miembros de la red OpenNIC , así como por servicios de red privada virtual (VPN).

OpenDNS (ahora parte de Cisco ) anunció el primer servicio DNS público compatible con DNSCrypt el 6 de diciembre de 2011, seguido poco después por CloudNS Australia. ^[6]

El 29 de marzo de 2016, Yandex anunció la compatibilidad con el protocolo DNSCrypt en sus servidores DNS públicos, así como en el navegador Yandex . ^{[ cita necesaria ]}

El 14 de octubre de 2016, AdGuard agregó DNSCrypt a su módulo de filtrado DNS para que los usuarios pudieran pasar de sus ISP a servidores DNS personalizados o propios de AdGuard para privacidad en línea y bloqueo de anuncios . ^{[7] [8]}

El 10 de septiembre de 2018, el servicio público de resolución recursiva sin fines de lucro Quad9 anunció soporte para DNSCrypt. ^[9]

Otros servidores que admiten protocolos seguros se mencionan en la lista de creadores de DNSCrypt. ^[10]

Protocolo

DNSCrypt se puede utilizar a través de UDP o TCP . En ambos casos, su puerto predeterminado es el 443 . ^[2] Aunque el protocolo difiere radicalmente de HTTPS , ambos tipos de servicios utilizan el mismo puerto . Sin embargo, aunque DNS sobre HTTPS y DNSCrypt son posibles en el mismo puerto, deben ejecutarse por separado en servidores diferentes. Dos aplicaciones de servidor no pueden ejecutarse simultáneamente en el mismo servidor si ambas utilizan el mismo puerto para la comunicación; aunque teóricamente es posible un enfoque de multiplexación.

En lugar de depender de autoridades de certificación confiables que se encuentran comúnmente en los navegadores web, el cliente debe confiar explícitamente en la clave de firma pública del proveedor elegido. Esta clave pública se utiliza para verificar un conjunto de certificados, recuperados mediante consultas DNS convencionales. ^{[2] : §1} Estos certificados contienen claves públicas a corto plazo utilizadas para el intercambio de claves, así como un identificador del conjunto de cifrado que se utilizará. Se anima a los clientes a generar una nueva clave para cada consulta, mientras que a los servidores se les anima a rotar pares de claves a corto plazo cada 24 horas. ^{[2] : §13}

El protocolo DNSCrypt también se puede utilizar para control de acceso o contabilidad, aceptando únicamente un conjunto predefinido de claves públicas. Esto puede ser utilizado por servicios DNS comerciales para identificar clientes sin tener que depender de direcciones IP. ^{[2] : §13}

Las consultas y respuestas se cifran utilizando el mismo algoritmo y se rellenan a un múltiplo de 64 bytes para evitar fugas de tamaños de paquetes. A través de UDP, cuando una respuesta sería mayor que la pregunta que conduce a ella, un servidor puede responder con un paquete corto cuyo bit TC (truncado) se haya configurado. Luego, el cliente debería volver a intentar utilizar TCP y aumentar el relleno de las consultas posteriores. ^{[2] : §9}

Las versiones 1 y 2 del protocolo utilizan el algoritmo X25519 para el intercambio de claves, EdDSA para firmas, así como XSalsa20-Poly1305 o XChaCha20-Poly1305 para cifrado autenticado. ^{[2] : §11}

A partir de 2023, no se conocen vulnerabilidades en el protocolo DNSCrypt ni ataques prácticos contra sus construcciones criptográficas subyacentes.

DNSCrypt anónimo

DNSCrypt anónimo es una extensión de protocolo propuesta en 2019 para mejorar aún más la privacidad del DNS. ^[11]

En lugar de responder directamente a los clientes, un solucionador puede actuar como un proxy transparente para otro solucionador, ocultando la IP real del cliente a este último. DNSCrypt anónimo es una alternativa ligera a los proxies Tor y SOCKS, diseñada específicamente para el tráfico DNS. ^[11]

La implementación de DNSCrypt anónimo comenzó en octubre de 2019 y la adopción del protocolo fue rápida: se configuraron 40 retransmisiones DNS solo dos semanas después de la disponibilidad pública de las implementaciones de cliente y servidor. ^[12]

Ver también

• DNS sobre HTTPS
• DNS sobre TLS
• Extensiones de seguridad del sistema de nombres de dominio (DNSSEC)
• Criptografía de curva elíptica
• Curva25519
• Curva DNS

Referencias

1. Biggs, John (6 de diciembre de 2011). "DNSCrypt cifra su tráfico DNS porque siempre hay alguien que quiere atraparlo". TechCrunch .
2. "Especificación del protocolo DNSCrypt versión 2 (DNSCRYPT-V2-PROTOCOL.txt)". GitHub/DNSCrypt . (UDP) La longitud de la respuesta siempre debe ser igual o menor que la longitud de la consulta inicial del cliente.
3. "DNSCrypt - Implementaciones". dnscrypt.info .
4. "DNSCrypt/dnscrypt-proxy: dnscrypt-proxy 2: un proxy DNS flexible, compatible con protocolos DNS cifrados". GitHub . DNSCrypt. Archivado desde el original el 20 de enero de 2016 . Consultado el 29 de enero de 2016 .
5. "DoH ajeno · Wiki DNSCrypt/dnscrypt-proxy". GitHub . Proyecto DNSCrypt . Consultado el 28 de julio de 2022 .
6. Ulevitch, David (6 de diciembre de 2011). "DNSCrypt: crítico, fundamental y ya era hora". Paraguas de Cisco . Archivado desde el original el 1 de julio de 2020 . Consultado el 1 de julio de 2020 .
7. "AdGuard DNS ahora es compatible con DNSCrypt". Blog de AdGuard . Archivado desde el original el 12 de septiembre de 2017 . Consultado el 11 de septiembre de 2017 .
8. "Filtrado DNS". Base de conocimiento de AdGuard . Archivado desde el original el 11 de septiembre de 2017 . Consultado el 11 de septiembre de 2017 .
9. "DNSCrypt ahora en pruebas". Blog de Quad9 . 30 de agosto de 2018. Archivado desde el original el 28 de diciembre de 2019 . Consultado el 1 de julio de 2020 .
10. "DNSCrypt: lista de servidores públicos DoH y DNSCrypt". DNSCrypt . Archivado desde el original el 19 de junio de 2020 . Consultado el 1 de julio de 2020 .
11. "Especificación DNSCrypt anónima". GitHub . DNSCrypt. Archivado desde el original el 25 de octubre de 2019 . Consultado el 1 de julio de 2020 .
12. "Retransmisiones DNS anónimas". GitHub . DNSCrypt. 1 de noviembre de 2019. Archivado desde el original el 1 de julio de 2020 . Consultado el 1 de julio de 2020 .

enlaces externos

• Página web oficial
• Especificación del protocolo DNSCrypt
• Especificación DNSCrypt anonimizada