Dnscrypt – wikipedia wiki

Protocole pour chiffrer les requêtes DNS

Dnscrypt est un protocole réseau qui authentifie et chiffre le trafic du système de noms de domaine (DNS) entre l’ordinateur de l’utilisateur et les serveurs de noms récursifs. Il a été initialement conçu par Frank Denis et Yecheng Fu.

Il existe des implémentations de logiciels gratuites et open source. Il est disponible pour une variété de systèmes d’exploitation, notamment Unix, Apple iOS, Linux, Android et Microsoft Windows.

DNSCrypt enveloppe le trafic DNS non modifié entre un client et un résolveur DNS dans une construction cryptographique afin de détecter la contrefaçon. Bien qu’il n’offre pas de sécurité de bout en bout, il protège le réseau local contre les attaques d’homme dans le milieu. ^[d’abord] L’implémentation de logiciels gratuite et open source Dnscrypt-Proxy intègre en outre ODOH. ^{[d’abord] [2]}

Il atténue également les attaques d’amplification basées sur l’UDP en nécessitant une question au moins aussi grande que la réponse correspondante. Ainsi, le DNScrypt aide à prévenir les attaques d’amplification DNS.

Déploiement [ modifier ]]

after-content-x4

dnscrypt-proxy, un client dnscrypt fonctionnant sur Linux

En plus des déploiements privés, le protocole DNSCrypt a été adopté par plusieurs résolveurs DNS publics, la grande majorité étant membres du réseau OpenNIC, ainsi que les services de réseau privé virtuel (VPN).

OpenDNS (maintenant une partie de Cisco) a annoncé le premier service DNS public soutenant le DNSCrypt le 6 décembre 2011, suivi par Cloudns Australia. ^[3]

Le 29 mars 2016, Yandex a annoncé le soutien du protocole DNSCrypt sur leurs serveurs DNS publics, ainsi que dans le navigateur Yandex. ^{[ citation requise ]]}

Le 14 octobre 2016, Adguard a ajouté DNSCrypt à leur module de filtrage DNS afin que les utilisateurs puissent passer de leurs FAI vers les serveurs DNS personnalisés ou Adguard pour la confidentialité en ligne et le blocage des publicités. ^{[4] [5]}

Le 10 septembre 2018, le service de résolveur récursif public à but non lucratif Quad9 a annoncé le support de Dnscrypt. ^[6]

Les autres serveurs qui prennent en charge le protocole sécurisé sont mentionnés dans la liste des créateurs Dnscrypt. ^[7]

Protocole [ modifier ]]

Dnscrypt peut être utilisé sur UDP ou sur TCP. Dans les deux cas, son port par défaut est 443. Même si le protocole diffère radicalement de HTTPS, les deux types de services utilisent le même port. Cependant, même si les DN sur HTTPS et Dnscrypt sont possibles sur le même port, ils doivent toujours s’exécuter séparément sur différents serveurs. Deux applications de serveur ne peuvent pas s’exécuter simultanément sur le même serveur si les deux utilisent le même port pour la communication; Bien qu’une approche de multiplexage soit théoriquement possible.

Au lieu de s’appuyer sur les autorités de certificat de confiance couramment trouvées dans les navigateurs Web, le client doit explicitement faire confiance à la clé de signature publique du fournisseur choisi. Cette clé publique est utilisée pour vérifier un ensemble de certificats, récupérée à l’aide de requêtes DNS conventionnelles. Ces certificats contiennent des clés publiques à court terme utilisées pour l’échange de clés, ainsi qu’un identifiant de la suite Cipher à utiliser. Les clients sont encouragés à générer une nouvelle clé pour chaque requête, tandis que les serveurs sont encouragés à faire tourner les paires de clés à court terme toutes les 24 heures.

Le protocole Dnscrypt peut également être utilisé pour le contrôle d’accès ou la comptabilité, en n’acceptant qu’un ensemble prédéfini de clés publiques. Cela peut être utilisé par les services DNS commerciaux pour identifier les clients sans avoir à compter sur les adresses IP. ^{[ citation requise ]]}

Les requêtes et les réponses sont cryptées en utilisant le même algorithme et rembourrées à un multiple de 64 octets afin d’éviter de fuiter les tailles de paquets. Sur UDP, lorsqu’une réponse serait plus grande que la question qui y mène, un serveur peut répondre avec un court paquet dont le bit TC (tronqué) a été défini. Le client doit ensuite réessayer à l’aide de TCP et augmenter le rembourrage des requêtes suivantes.

Les versions 1 et 2 du protocole utilisent l’algorithme X25519 pour l’échange de clés, Eddsa pour les signatures, ainsi que XSALSA20-POLY1305 ou XCHACHA20-POLY1305 pour un cryptage authentifié.

En 2023, il n’y a pas de vulnérabilités connues dans le protocole Dnscrypt ni d’attaques pratiques contre ses constructions cryptographiques sous-jacentes.

Dnscrypt anonymisé [ modifier ]]

Le DNScrypt anonymisée est une extension de protocole proposée en 2019 pour améliorer encore la confidentialité du DNS. ^[8]

Au lieu de répondre directement aux clients, un résolveur peut agir comme un proxy transparent à un autre résolveur, cachant le véritable IP du client vers ce dernier. Le DNScrypt anonymisée est une alternative légère aux proxys Tor et Socks, spécialement conçue pour le trafic DNS. ^[8]

Le déploiement de DNScrypt anonymisée a commencé en octobre 2019, et l’adoption du protocole a été rapide, 40 relais DNS étant mis en place seulement deux semaines après la disponibilité publique des implémentations du client et du serveur. ^[9]

Voir également [ modifier ]]

Les références [ modifier ]]

Liens externes [ modifier ]]