DNSCrypt

DNSCryptは、コンピュータと再帰さいきネームサーバ間あいだのDomain Name System(DNS) トラフィックを認証にんしょうおよび暗号あんごう化かする通信つうしんプロトコルである。オリジナルは、Frank DenisとYecheng Fuによって設計せっけいされた。

クライアントとサーバーの実装じっそうは複数ふくすう存在そんざいするが、このプロトコルはRFCによってIETFに提案ていあんされたことはない。

DNSCrypt は、偽造ぎぞうを検出けんしゅつするために、クライアントとDNSリゾルバ間あいだの変更へんこうされていないDNSトラフィックを暗号あんごう化か構造こうぞうでラップする。エンドツーエンドのセキュリティは提供ていきょうしないが、ローカルネットワークを中ちゅう間あいだ者しゃ攻撃こうげきから保護ほごする^[1]。

また、少すくなくとも対応たいおうする応答おうとうと同おなじ大おおきさの質問しつもんを要求ようきゅうすることで、 UDPベースの増幅ぞうふく攻撃こうげきを軽減けいげんする。このようにして、DNSCryptはDNS 増幅ぞうふく攻撃こうげきの防止ぼうしに役立やくだつ。

DNSCryptプロトコルは、プライベートな展開てんかいに加くわえて、OpenNICネットワークのメンバーを中心ちゅうしんとしたいくつかのパブリックDNSリゾルバや、仮想かそうプライベートネットワーク（VPN）サービスにも採用さいようされている。

OpenDNS (現在げんざいはCiscoの一いち部門ぶもん) は、2011年ねん12月6日にちにDNSCrypt をサポートする最初さいしょのパブリックDNSサービスを発表はっぴょうし、その後ごすぐに CloudNS Australiaが続つづいた^[2]。

2016年ねん3月がつ29日にち、Yandexは、パブリックDNSサーバおよび Yandex BrowserでDNSCryptプロトコルをサポートすることを発表はっぴょうした^[3]^[4]。

2016年ねん10月がつ14日にち、 AdGuardはDNSフィルタリングモジュールにDNSCryptを追加ついかし、ユーザーがISPからカスタムまたはAdGuard独自どくじのDNSサーバーに移動いどうして、オンラインプライバシーと広告こうこくブロックを行おこなえるようにした^[5]^[6]。

2018年ねん9月がつ10日とおか、非ひ営利えいりのパブリック再帰さいきリゾルバーサービス、Quad9はDNSCryptのサポートを発表はっぴょうした^[7]。

プロトコル

DNSCryptは、UDPまたはTCPのいずれかで使用しようできる。どちらの場合ばあいも、デフォルトのポートは443である。プロトコルはHTTPSとは根本こんぽん的てきに異ことなるが、どちらのサービスタイプも同おなじポートを使用しようする。ただし、 DNS over HTTPSとDNSCryptは同おなじポートで使用しようできるが、それらは異ことなるサーバで別々べつべつに実行じっこうする必要ひつようがある。両方りょうほうが通信つうしんに同おなじポートを使用しようする場合ばあい、2つのサーバアプリケーションを同おなじサーバで同時どうじに実行じっこうすることはできない。多重たじゅう化かアプローチは理論りろん的てきには可能かのうである。

クライアントは、ウェブブラウザに搭載とうさいされている信頼しんらいできる認証にんしょう局きょくに頼たよるのではなく、選択せんたくしたプロバイダの公開こうかい署名しょめい鍵かぎを明示めいじ的てきに信頼しんらいする必要ひつようがある。この公開こうかい鍵かぎは、従来じゅうらいのDNSクエリを使用しようして取得しゅとくした一連いちれんの証明しょうめい書しょを検証けんしょうするために使用しようされる。これらの証明しょうめい書しょには、鍵かぎ交換こうかんに使用しようする短期たんき公開こうかい鍵かぎと、使用しようする暗号あんごうスイートの識別子しきべつしが含ふくまれている。クライアントは問とい合あわせのたびに新あたらしい鍵かぎを生成せいせいすることが推奨すいしょうされ、サーバは24時じ間あいだごとに短期たんき鍵かぎペアをローテーションすることが推奨すいしょうされる。。

DNSCryptプロトコルは、あらかじめ定義ていぎされた公開こうかい鍵かぎのセットのみを受うけ付つけることで、アクセス制御せいぎょやアカウンティングにも利用りようできる。これにより、商用しょうようDNSサービスでは、IPアドレスに依存いぞんせずに顧客こきゃくを識別しきべつすることができる^{[要よう出典しゅってん]}。

クエリと応答おうとうは同おなじアルゴリズムを使用しようして暗号あんごう化かされ、パケットサイズのリークを回避かいひするために64バイトの倍数ばいすうにパディングされる。 UDPを介かいして、応答おうとうがそれにつながる質問しつもんよりも大おおきい場合ばあい、サーバはTC（切きり捨すて）ビットが設定せっていされている短みじかいパケットで応答おうとうできる。その後ご、クライアントはTCPをって再さい試行しこうし、後続こうぞくのクエリのパディングを増ふやす必要ひつようがある。

バージョン1および2のプロトコルでは、鍵かぎ交換こうかんにX25519アルゴリズム、署名しょめいにEdDSA、認証にんしょう付つき暗号あんごう化かにXSalsa20-Poly1305またはXChaCha20-Poly1305を使用しようしている。

2020年ねんの時点じてんで、DNSCryptプロトコルに既知きちの脆弱ぜいじゃく性せいはなく、基盤きばんとなる暗号あんごう構造こうぞうに対たいする実際じっさい的てきな攻撃こうげきもない。

匿名とくめいDNSCrypt

匿名とくめいDNSCryptは、DNSのプライバシーをさらに改善かいぜんするために2019年ねんに提案ていあんされたプロトコル拡張かくちょうである^[8]。

リゾルバは、クライアントに直接ちょくせつ応答おうとうする代かわりに、別べつのリゾルバへの透過とうかプロキシとして機能きのうし、実際じっさいのクライアントIPを後者こうしゃに隠かくすことができる。匿名とくめいDNSCryptは、TorおよびSOCKSプロキシの軽量けいりょうな代替だいたい手段しゅだんであり、DNSトラフィック用ように特別とくべつに設計せっけいされている^[8]。

匿名とくめいDNSCryptの展開てんかいは2019年ねん10月がつに開始かいしされ、クライアントとサーバの実装じっそうが公開こうかいされてからわずか2週間しゅうかんで40台だいのDNSリレーが設置せっちされるなど、プロトコルの採用さいようは迅速じんそくに行おこなわれた^[9]。

脚注きゃくちゅう

^ “DNSCrypt/dnscrypt-proxy: dnscrypt-proxy 2 - A flexible DNS proxy, with support for encrypted DNS protocols.”. GitHub. DNSCrypt. 20 January 2016時じ点てんのオリジナルよりアーカイブ。29 January 2016閲覧えつらん。
^ Ulevitch (6 December 2011). “DNSCrypt – Critical, fundamental, and about time.” (英語えいご). Cisco Umbrella. 1 July 2020時じ点てんのオリジナルよりアーカイブ。1 July 2020閲覧えつらん。
^ “Yandex.DNS”. dns.yandex.com. 2021年ねん6月がつ7日にち閲覧えつらん。
^ “Protect: secure DNS requests. Reference information” (英語えいご). browser.yandex.com. 2021年ねん6月がつ7日にち閲覧えつらん。
^ “AdGuard DNS Now Supports DNSCrypt”. AdGuard Blog. 12 September 2017時じ点てんのオリジナルよりアーカイブ。11 September 2017閲覧えつらん。
^ “DNS filtering”. AdGuard Knowledgebase. 11 September 2017時じ点てんのオリジナルよりアーカイブ。11 September 2017閲覧えつらん。
^ “DNSCrypt Now in Testing”. Quad9 Blog. 28 December 2019時じ点てんのオリジナルよりアーカイブ。1 July 2020閲覧えつらん。
^ ^a ^b “Anonymized DNSCrypt specification”. GitHub. DNSCrypt. 25 October 2019時じ点てんのオリジナルよりアーカイブ。1 July 2020閲覧えつらん。
^ “Anonymized DNS relays”. GitHub. DNSCrypt (1 November 2019). 1 July 2020時じ点てんのオリジナルよりアーカイブ。1 July 2020閲覧えつらん。

外部がいぶリンク

[1] “DNSCrypt/dnscrypt-proxy: dnscrypt-proxy 2 - A flexible DNS proxy, with support for encrypted DNS protocols.”. GitHub. DNSCrypt. 20 January 2016時じ点てんのオリジナルよりアーカイブ。29 January 2016閲覧えつらん。

[2] Ulevitch (6 December 2011). “DNSCrypt – Critical, fundamental, and about time.” (英語えいご). Cisco Umbrella. 1 July 2020時じ点てんのオリジナルよりアーカイブ。1 July 2020閲覧えつらん。

[3] “Yandex.DNS”. dns.yandex.com. 2021年ねん6月がつ7日にち閲覧えつらん。

[4] “Protect: secure DNS requests. Reference information” (英語えいご). browser.yandex.com. 2021年ねん6月がつ7日にち閲覧えつらん。

[5] “AdGuard DNS Now Supports DNSCrypt”. AdGuard Blog. 12 September 2017時じ点てんのオリジナルよりアーカイブ。11 September 2017閲覧えつらん。

[6] “DNS filtering”. AdGuard Knowledgebase. 11 September 2017時じ点てんのオリジナルよりアーカイブ。11 September 2017閲覧えつらん。

[7] “DNSCrypt Now in Testing”. Quad9 Blog. 28 December 2019時じ点てんのオリジナルよりアーカイブ。1 July 2020閲覧えつらん。

[Anonymized_DNSCrypt_specification-8] “Anonymized DNSCrypt specification”. GitHub. DNSCrypt. 25 October 2019時じ点てんのオリジナルよりアーカイブ。1 July 2020閲覧えつらん。

[9] “Anonymized DNS relays”. GitHub. DNSCrypt (1 November 2019). 1 July 2020時じ点てんのオリジナルよりアーカイブ。1 July 2020閲覧えつらん。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

プロトコル

匿名とくめいDNSCrypt

脚注きゃくちゅう

関連かんれん項目こうもく

外部がいぶリンク