Oblivious DNS: Apple, Cloudflare und Fastly wollen Privatsphäre im Web steigern

Apple lässt seine Ingenieure zusammen mit Cloudflare und Fastly einen neuen DNS-Standard namens Oblivious DNS entwickeln. Der soll es erschweren, Nutzeraktivitäten im Web nachzuverfolgen.

Rechenzentrum, Foto: Alexander Trust

Apple möchte offenbar das Domain Name System (DNS) weniger nachverfolgbar machen. DNS ist eine Technologie zur Vereinfachung der Kommunikation von Menschen mit Servern im Internet. Im Hintergrund werden Netzwerk-IP-Adressen mehr oder weniger verlässlich mit Domainnamen verbunden. Wenn ein Nutzer macnotes.de aufruft, dann muss er sich dazu nicht die IP-Adresse des Servers merken.

Kommunikation lange Zeit unverschlüsselt

Die Kommunikation der Server fand allerdings und findet noch heute teilweise im Klartext statt. Übermittelte Informationen können so nachverfolgt werden und das machen sich nicht nur Firmen zu Werbezwecken zueigen.

Mittlerweile gibt es neben DNS aber auch „DNS over https“ (kurz DoH). Dabei wird zumindest die Kommunikation als solche verschlüsselt, nicht aber deren Inhalte. Das heißt, alle an der Kommunikation irgendwie Beteiligten können auf die Inhalte zugreifen. Angreifern wird es allerdings erschwert, die Inhalte abzufragen.

Oblivious DoH

Nun möchte Cloudflare, aber auch Apple, die Kommunikation zwischen den Webservern noch weiter absichern. Dies möchte man mittels „Oblivious DoH“ erreichen. Vereinfacht ausgedrückt wird die Kommunikation gleich doppelt aufgeteilt und einer der kommunizierenden Teilnehmer ist „ahnungslos“ (engl. oblivious).

Zum einen werden die IP-Adresse und die Abfrage voneinander getrennt. Letztere wird schon beim Abfragenden/Nutzer verschlüsselt. Diese verschlüsselte Abfrage wird zum anderen an einen Proxy übermittelt. Der Proxy ist neu in dieser Gleichung. Gab es vorher nur eine Kommunikation zwischen A und B kommt der Proxyserver nun dazu. Die verschlüsselte Abfrage kann auf dem DoH-Server entschlüsselt werden. Dieser wiederum gibt eine verschlüsselte Antwort an den Proxy zurück, der diese dann an den Abfragenden zurückgibt. Der DoH-Server kennt nur die IP vom Proxy, nicht aber diejenige des Ursprungs. Damit dies sinnvoll umgesetzt werden kann, sollen Proxy und DoH-Server nicht aus einer Hand stammen.

Kaum Geschwindigkeitseinbußen

Erste Tests von Cloudflare haben gezeigt, dass bei dem eingesetzten Verfahren bei rund 99 Prozent aller Abfragen weniger als eine Millisekunde zusätzlicher Bearbeitungszeit gegenüber dem gewöhnlichen DoH-Verfahren dazu kämen.

Schon jetzt können interessierte sich die Technik genauer ansehen. Ob sie irgendwann in iOS, macOS und Co. zum Einsatz kommt, bleibt abzuwarten. Selbst wenn die Technologie fertig entwickelt würde, muss sie dann noch von der „Internet Engineering Task Force“ (IETF) zertifiziert werden, damit auch Softwareentwickler das Gefühl bekommen, es lohnt sich, die Technologie in die eigenen Produkte einzubauen.