Pages

Saturday, 26 December 2020

Cloudflare/苹果联手推出ODoH 解决DNS污染,帮助翻墙

 问:DNS over HTTPS(简称DoH)这种技术,之前翻墙问答都介绍过。而最近,知名的云安全服务商Cloudflare联同苹果电脑推出了新的Oblivious DNS-over-HTTPS(简称ODoH)技术,进一步强化私隐保障,甚至加强未来的翻墙能力,不知能否介绍一下这项新技术?

李建军:DoH这种技术,大致上解决了DNS查询资料被大部分第三者拦截的问题,只不过,DoH在解决由互联网服务供应商所进行的DNS篡改或资料拦截,是完全的无能为力;而很不幸,由互联网服务供应商故意搞出来的DNS污染,正正是大部分中国网民每日都必须要面对的难题。

而ODoH技术,正正为解决这个问题而来。它的原理是:任何的DNS查询,都是先加密发到一个中介代理主机,代理主机代为向有权威的DNS作出提问,而DNS向代理主机以加密方式回覆后,代理主机再用加密方式回覆用户。这个新方式,某程度上避免了互联网服务供应商故意污染的问题。基本上,如果你对你使用的代理主机有怀疑,只要跳转到另一个代理主机,就很大机会得到准确答案。而且整个查询过程已经加密,并使用最常见的HTTPS加密协定,令到中国当局亦不能够透过互联网服务供应商DNS的通讯纪录,得知目标监控对象的生活习惯或浏览过的网站,因为这些纪录都是加密,而只有代理主机,知道个别匿名用户的查询实况。基本上,在这项新技术下,中国当局要再搞DNS污染,难度将会大为增加。

问:如果照这样看,除了VPN,未来其他类型的翻墙软件,亦可以透过不同的代理DNS主机,去实现翻墙上网的目标?

李建军:可以这样说。至少日后负责翻墙软件的公司,要部署DNS的压力大减,因为要自建DNS主机是很昂贵,但建设代理主机难度大为减低,因为代理主机扮演的角色,只不过将查询代为转达,而不用将所有DNS资讯都储入代理主机。在原本的情况下,DNS要扮演类似电话簿的角色,自行建立DNS主机不但成本非常昂贵,而且很容易被中共攻击。但新技术借助散布全球的代理主机,而且随时每日都可以有新的代理主机出现,解决被攻击或封锁的问题。中共要对全世界众多代理主机进行封锁,这几乎变成一个不可能的事。

问:ODoH的代理主机夥伴之中,包括了电讯盈科旗下的PCCW Global。由电讯盈科旗下公司所营运的代理主机,又是否可信?

李建军:以电讯盈科旗下媒体在香港的表现,听众对由PCCW Global营运的主机,应保持一定警觉。虽然PCCW Global主要在美国营运,只不过,由于受到「港版国安法」影响,而电讯盈科始终是一间以香港为总部的公司,有可能受到「港版国安法」所影响,因此,我个人并不建议使用由PCCW Global负责营运的代理DNS主机,如果可以的话,应尽量使用由其他公司,例如Cloudflare自己营运的代理主机,以策安全。

问:苹果本身是ODoH这项新技术的推导者之一,这是否代表新技术很快会应用到苹果自家的iOS设备之上?

李建军:这点是肯定的,苹果一向都会大力在自己的作业系统上,使用本身有份制订的技术,甚至有些通用技术,根本就是苹果定。举个例子,好像最流行的视讯档案格式 h.264,就是以苹果公司QuickTime技术做基础,因此,你将QuickTime档案的mov字尾改为mp4,只要相关档案是使用新版QuickTime建立,都可以顺利当成mp4播放,因为H.264本来就是苹果主力推导的标准。

因此,相信在未来的iOS和Mac作业系统,都会支援ODoH。只不过,届时在国情特别的中国地区,情况有可能是例外——一如App Store对软件的私隐保障要求都不适用于中国,有可能在中国出售的iOS设备,甚至Mac设备,都可能应中国政府要求,特别不支援ODoH。在iOS的eSIM支援上,都出现过类似情况。因此,如果想利用新技术协助翻墙,你的苹果设备,就不应该在中国买,甚至香港买都未必适合,而要在美国、台湾、日本或其他西方民主国家购买。

No comments:

Post a Comment