DNSCrypt - DNS verschlüsseln - Forum

d3cod3

Legend
...

Registered: Aug 2002
Location: insert location ..
Posts: 15288

06.12.2011 - 16:01

http://www.opendns.com/technology/dnscrypt

schaut so aus als ob man sowas zum surfen verwenden sollte

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12100

06.12.2011 - 16:22

Eh? Was ist das fuer ein lustiges Hobbyprojektchen der OpenDNS-Scammer - und wie soll es sich auch nur im entferntesten gegen DNSSEC durchsetzen koennen?

DNSCrypt verschluesselt offenbar die Payload (also DNS-Requests und -Responses), wird aber - abseits der an sich mehr als fragwuerdigen OpenDNS-Server - wohl keinerlei Verbreitung finden und damit Bedeutung erlangen koennen. Aber ist eh sinnlos, weil:

Edit: Ah, ich hab mich jetzt durch das Marketinggesuelz auf der OpenDNS-Seite gequaelt. Was fuer ein SCHWACHSINN. Brr. Die reine Verschluesselung der DNS-Daten in-flight mit der Verschluesselung von via TLS geschuetztem Traffic ueber ein Socket zu vergleichen ist schon dreist - die Anzahl an DNS-Requests, die im Durchschnitt so ueber die Leitung gehen, sind lediglich ein geradezu winziger Bruchteil des Gesamttraffics (dank clientseitigem Caching und der Tatsache, dass die meisten Leute heute eh nur noch eine Hand voll TLDs resolven), und eigentlich so gut wie vollkommen irrelevant. Wenn man Angst hat, dass irgendjemand seine DNS-Requests mitliest, sollte man am besten gleich TOR verwenden, um die Gesamtheit des Traffics zu maskieren. Wenn naemlich jemand meinen Traffic mitliest, kann der - auch wenn ich "DNSCrypt" verwende - ohne weiteres korrelieren, dass mein verschluesselter DNS-Request X mit dem nachfolgenden TCP-Connect zu Host Y, Port Z in Zusammenhang steht.

d3cod3

Legend
...

Registered: Aug 2002
Location: insert location ..
Posts: 15288

06.12.2011 - 16:34

ich glaub nicht dass das sich gegen irgendwas durchsetzen will. verschlüsselt dnssec auch oder signiert das nur (das hab ich zumindest angenommen)?

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12100

06.12.2011 - 16:36

In ihrem FAQ stellen sie klar, dass sie DNSCrypt nicht gegen DNSSEC positionieren, sondern sich die beiden Verfahren ergaenzen. In meinen Augen ist DNSCrypt nur gaenzlich sinnlos, bzw. ein billiger Publicity-Stunt (ich wuerde mich schwer wundern, wenn man nicht ganz aehnliche Wrapper auf freshmeat/sf.net finden kann

) - Begruendung findet sich in meinem ersten Posting.

DNSSEC macht DNS "lediglich" tamper-proof. Das reicht aber.

d3cod3

Legend
...

Registered: Aug 2002
Location: insert location ..
Posts: 15288

06.12.2011 - 17:16

ist ja schön wenn dir das reicht

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16865

06.12.2011 - 18:36

das problem bei dieser methode ist einfach, dass wenn die payload unverschlüsselt ist und ua. deshalb das ganze wenig bringt für viel aufwand. wenn man die ip adresse des webservers hat, die ja trotzdem im klartext übertragen werden muss, kann ich per reverse-DNS/google wieder auf den genutzten service schließen.
bei größeren seiten ist das überhaupt kein gewinn an privacy, bei kleineren (die aber eher auf https verzichten), wirds wahrscheinlich aufwändiger rückzuverfolgen.

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6837

07.12.2011 - 09:20

Zitat von Smut
das problem bei dieser methode ist einfach, dass wenn die payload unverschlüsselt ist und ua. deshalb das ganze wenig bringt für viel aufwand. wenn man die ip adresse des webservers hat, die ja trotzdem im klartext übertragen werden muss, kann ich per reverse-DNS/google wieder auf den genutzten service schließen.

im falle von HTTP steht der gewünschte server sogar im request, da er für die vserver des webservers benötigt wird - das ist in dem fall dann noch genauer, weil man eben "www.overclockers.at" aus dem request erhält und nicht "ipXY.rev.nessus.at". also ohne den traffic gesamt zu verschlüsseln, was die DNS requests dann ohnehin miteinbeziehen würde, komplett sinnlos.

othan

Layer 8 Problem

Registered: Nov 2001
Location: Switzerland
Posts: 4231

09.12.2011 - 13:33

inzwischen auch bei heise angekommen, inkl comment von colo

http://www.heise.de/ix/meldung/DNSC...en-1392786.html

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12100

09.12.2011 - 13:37

Ich konnte mich nicht zurueckhalten!

Immerhin ist der Code jetzt mal auf github veroeffentlicht - schade halt, dass das ganze immer noch quasi sinnlos ist.

BiG_WEaSeL

Super Moderator
-

Registered: Jun 2000
Location: Wien
Posts: 8319

09.12.2011 - 19:38

Mal eine Frage: Inwiefern passt es ins Apple Subforum?

othan

Layer 8 Problem

Registered: Nov 2001
Location: Switzerland
Posts: 4231

09.12.2011 - 19:46

Die Software gibts vorerst nur für Äpfel

BiG_WEaSeL

Super Moderator
-

Registered: Jun 2000
Location: Wien
Posts: 8319

09.12.2011 - 19:50

Zitat von othan
Die Software gibts vorerst nur für Äpfel

Dabei hab ich noch extra die Website aufgerufen um mich zu vergewissern. *shameonme*

d3cod3 Legend ... Registered: Aug 2002 Location: insert location .. Posts: 15288	06.12.2011 - 16:01 http://www.opendns.com/technology/dnscrypt schaut so aus als ob man sowas zum surfen verwenden sollte
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12100	06.12.2011 - 16:22 Eh? Was ist das fuer ein lustiges Hobbyprojektchen der OpenDNS-Scammer - und wie soll es sich auch nur im entferntesten gegen DNSSEC durchsetzen koennen? DNSCrypt verschluesselt offenbar die Payload (also DNS-Requests und -Responses), wird aber - abseits der an sich mehr als fragwuerdigen OpenDNS-Server - wohl keinerlei Verbreitung finden und damit Bedeutung erlangen koennen. Aber ist eh sinnlos, weil: Edit: Ah, ich hab mich jetzt durch das Marketinggesuelz auf der OpenDNS-Seite gequaelt. Was fuer ein SCHWACHSINN. Brr. Die reine Verschluesselung der DNS-Daten in-flight mit der Verschluesselung von via TLS geschuetztem Traffic ueber ein Socket zu vergleichen ist schon dreist - die Anzahl an DNS-Requests, die im Durchschnitt so ueber die Leitung gehen, sind lediglich ein geradezu winziger Bruchteil des Gesamttraffics (dank clientseitigem Caching und der Tatsache, dass die meisten Leute heute eh nur noch eine Hand voll TLDs resolven), und eigentlich so gut wie vollkommen irrelevant. Wenn man Angst hat, dass irgendjemand seine DNS-Requests mitliest, sollte man am besten gleich TOR verwenden, um die Gesamtheit des Traffics zu maskieren. Wenn naemlich jemand meinen Traffic mitliest, kann der - auch wenn ich "DNSCrypt" verwende - ohne weiteres korrelieren, dass mein verschluesselter DNS-Request X mit dem nachfolgenden TCP-Connect zu Host Y, Port Z in Zusammenhang steht.
d3cod3 Legend ... Registered: Aug 2002 Location: insert location .. Posts: 15288	06.12.2011 - 16:34 ich glaub nicht dass das sich gegen irgendwas durchsetzen will. verschlüsselt dnssec auch oder signiert das nur (das hab ich zumindest angenommen)?
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12100	06.12.2011 - 16:36 In ihrem FAQ stellen sie klar, dass sie DNSCrypt nicht gegen DNSSEC positionieren, sondern sich die beiden Verfahren ergaenzen. In meinen Augen ist DNSCrypt nur gaenzlich sinnlos, bzw. ein billiger Publicity-Stunt (ich wuerde mich schwer wundern, wenn man nicht ganz aehnliche Wrapper auf freshmeat/sf.net finden kann ) - Begruendung findet sich in meinem ersten Posting. DNSSEC macht DNS "lediglich" tamper-proof. Das reicht aber.
d3cod3 Legend ... Registered: Aug 2002 Location: insert location .. Posts: 15288	06.12.2011 - 17:16 ist ja schön wenn dir das reicht
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16865	06.12.2011 - 18:36 das problem bei dieser methode ist einfach, dass wenn die payload unverschlüsselt ist und ua. deshalb das ganze wenig bringt für viel aufwand. wenn man die ip adresse des webservers hat, die ja trotzdem im klartext übertragen werden muss, kann ich per reverse-DNS/google wieder auf den genutzten service schließen. bei größeren seiten ist das überhaupt kein gewinn an privacy, bei kleineren (die aber eher auf https verzichten), wirds wahrscheinlich aufwändiger rückzuverfolgen.
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6837	07.12.2011 - 09:20 Zitat von Smut das problem bei dieser methode ist einfach, dass wenn die payload unverschlüsselt ist und ua. deshalb das ganze wenig bringt für viel aufwand. wenn man die ip adresse des webservers hat, die ja trotzdem im klartext übertragen werden muss, kann ich per reverse-DNS/google wieder auf den genutzten service schließen. im falle von HTTP steht der gewünschte server sogar im request, da er für die vserver des webservers benötigt wird - das ist in dem fall dann noch genauer, weil man eben "www.overclockers.at" aus dem request erhält und nicht "ipXY.rev.nessus.at". also ohne den traffic gesamt zu verschlüsseln, was die DNS requests dann ohnehin miteinbeziehen würde, komplett sinnlos.
othan Layer 8 Problem Registered: Nov 2001 Location: Switzerland Posts: 4231	09.12.2011 - 13:33 inzwischen auch bei heise angekommen, inkl comment von colo http://www.heise.de/ix/meldung/DNSC...en-1392786.html
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12100	09.12.2011 - 13:37 Ich konnte mich nicht zurueckhalten! Immerhin ist der Code jetzt mal auf github veroeffentlicht - schade halt, dass das ganze immer noch quasi sinnlos ist.
BiG_WEaSeL Super Moderator - Registered: Jun 2000 Location: Wien Posts: 8319	09.12.2011 - 19:38 Mal eine Frage: Inwiefern passt es ins Apple Subforum?
othan Layer 8 Problem Registered: Nov 2001 Location: Switzerland Posts: 4231	09.12.2011 - 19:46 Die Software gibts vorerst nur für Äpfel
BiG_WEaSeL Super Moderator - Registered: Jun 2000 Location: Wien Posts: 8319	09.12.2011 - 19:50 Zitat von othan Die Software gibts vorerst nur für Äpfel Dabei hab ich noch extra die Website aufgerufen um mich zu vergewissern. shameonme

DNSCrypt - DNS verschlüsseln

Forum Index > Hardware > Systeme > Apple

d3cod3

COLOSSUS

d3cod3

COLOSSUS

d3cod3

Smut

noledge

othan

COLOSSUS

BiG_WEaSeL

othan

BiG_WEaSeL