DNS-over-HTTPS 與網路治理 :隱私保護美意如何變成網路惡棍?

精彩回顧

活動資訊

日期:2020年7月2日(四)下午14:00-16:00

  • 專題報告 : DNS over Https 的治理課題 杜貞儀 博士後研究 ( 國防安全研究院 網路作戰與資訊安全研究所)

專家座談:

  • 主持人:黃勝雄 董事長(台灣網路資訊中心)

  • 與談人:杜貞儀 博士後研究(國防安全研究院)、林方傑 工程師(中華電信HiNet DNS小組)

專題報告:DNS over Https 的治理課題(杜貞儀博士)

杜貞儀博士首先簡述DoH運作原理,主要是將使用者的DNS解析請求透過HTTPS協定加密連線傳輸,以改善取代過往以明碼傳送可能遭到有心人士攔截與竄改的作法,因為當使用者收到受竄改解析資訊,可能會導致使用者連結到至惡意人士所設定的位址。倘若被竄改過的錯誤訊息被存在DNS伺服器上,將導致所有相同的查詢都被引導至惡意往址。近期類似這樣針對DNS的攻擊非常多,還可能用於大規模情報蒐集或針對關鍵基礎設施的攻擊等。Mozilla提出DoH作法,透過可信任的遞迴解析器(trusted recursive resolver)改善問題,相關規範也寫在IETF RFC 8384中。

DoH經常被提到的問題是其所形成的DNS 解析請求傳輸集中化,主要集中於少數網頁瀏覽器或是解析供應商,從使用者觀點,這些遞迴解析器是否都可以信任?有沒有可能這些提供商會把解析請求資料作為其他用途或拿來獲利?再者,這些遞迴解析器也受所在國的法律管轄,換言之,使用者的資料也將受他國的法律所管轄,而不是受到使用者所在國的法律保護。

其他的問題還包括,過往ISP可透過在地 DNS 過濾來阻擋 botnet等惡意軟體,並且藉由DNS異常紀錄來診斷網路問題;一旦DoH實施後,ISPs便無法描繪單一地區受到資安威脅的狀況。此外,未來使用者所掌握使用解析服務的選擇權也可能在DoH實施後,例如有些app會綁死特定的解析服務者,使用者也因此少了選擇權。另外,DoH可能會影響內容傳遞網路效率、讓ISPs 無法滿足如保存使用者資料或其他內容過濾法規的要求等。

杜博士於演講中提到近期Mozilla宣布Comcast加入其可信遞迴伺服器計畫,成為首個可信遞迴伺服器的ISP業者,Mozilla也承認ISP的路由或連線可能會因此無法最佳化。另外Mozilla近期也在美國調整了作法,當偵測到ISP有以兒少有害內容保護為目的之過濾服務時,就不會使用遞迴解析器的服務。

講者歸納其認為DoH治理議題包括,誰可以選擇DNS解析服務商?誰又有權決定網路使用的DNS政策?當廣泛使用DoH之後,又要由誰來負責管轄相關議題?以DNSSEC為例,其建構在對ICANN的信任下運作,而DoH也會改變相關的信任架構。去年ISOC發表報告也提出,當連線、應用服務與基礎建設融為一體時,使用者會變得沒有選擇,也可能演變成為所謂的圍牆花園現象,使網路變成數個分裂的網路提供商所形塑的網路生態。

回到台灣,台灣的解析器使用率以國內服務為主,大約一成使用Google解析器;而國內的ISP業者的DNS服務中,卻有七成左右是靠Google公共解析服務,似乎國內在DoH 開始探討前,就已經存在集中化問題了。

座談引言: DoH 議題理解脈絡(林方傑工程師)

為了與前位講者的簡報有所差異,林工程師的引言著墨於「用詞」、「反思」、「素材」三個面向,藉由引介原文的概念或技術指稱方式、摘要各界疑慮的核心想法、分享值得關注的統計資料與來源,並分享一種對DoH議題的認知與理解方式,希望有助於閱聽朋友後續對於議題的追蹤。

DoH至今衍生或累積的議題與討論甚多,講者的說明中以三個角度進行盤點與分類,包括:(1) 協定本身的特性、(2) 協定推廣狀況,以及(3) 如今發展趨勢所衍生的隱憂與衝擊。舉例來說,DoH所謂「client (stub resolver)」與「(recursive) resolver」間的加密通道,在必須處理TCP三方交握及憑證加解密的前提下,解析效能相比於傳統透過UDP傳遞的管道是否有落差,就可歸類於「(1) 協定本身」的相關議題;「公眾域名解析服務 (Public DNS)」的興起、與瀏覽器業者的合作是DoH發展不可被忽視的趨勢,市佔率的消長、當事業者的動機在「(2) 協定推廣狀況」有些摘要。

講者最末在簡報中摘錄有關前述龍頭業者如何輕易改變DNS生態的方式,且一旦成真,在技術面、市場面會產生的衝擊,例如增加trouble-shooting的複雜度、阻礙惡意軟體的分析與防治;形成壟斷、降低DNS軟體多樣性與DNS專業人才需求等。最後則以摘要各方建議作結,包括積極進行DoH相關測試、累積查測實務經驗等。

座談引言:Episode of DoH(黃勝雄董事長)

黃博士首先釐清DNS運作至今已33年,一直都是以明文進行傳輸,即便有DNSSEC部署的情況下也是如此;DoH是針對使用者與遞迴解析器之間進行加密,遞迴解析器之後的傳輸仍為明碼,只解決了last mile 的加密,並非全套,因為root server沒辦法辨認加密後的訊息。DNSSEC則是透過每一層的DNS解析中進行DNS Key比對,有沒有被竄改。DNS最大的問題就是中間人攻擊,現在唯一有可能解決這個方式就是DNSSEC,但是目前DNSSEC佈建率非常低。

許多人可能對DNS有一些錯誤的假設,講者因此再釐清有關DNS的基本特性,以及為何DNS與監控為何沒有關聯。黃博士提到,如前所述,DNS一直以來都是明碼傳輸,雖然有DNS資料探勘的實際應用案例,但比例非常低,除非該DNS服務提供者的商業模式就是以廣告行銷為目的,否則對於大部分DNS服務提供者而言,DNS是公共服務,而資料探勘工作都會是額外成本。再者,縱使目前也存在因為DNS明碼造成的網路安全問題,但比例非常低。講者進一步釐清隱私與安全兩者是獨立且可能還是互斥的概念,兩者的交疊處只有個資保護而已。

接續他提到,有人認為DNS被用來作為窺探使用者網路行為的工具,這是因為DNS目的本來就只是為了要能解析並把使用者帶到期望的網路端點,用明碼傳輸為必然的選系;在解析過程中,能讀取DNS資料者也相當多,包括作業系統供應商、瀏覽器提供商、ISP業者、遞迴伺服器、DNS根伺服器、域名註冊管理機構等,在這樣的情況下,黃博士認為DNS監控是沒有辦法杜絕的。過去IETF在討論標準時,並沒有納入隱私考量,近年來也漸漸開始考慮隱私問題;即便如此,大家仍應謹記安全與隱私是互斥的概念。

黃博士歸納的DoH潛在問題與前兩位講者所提到的類似,包括像是集中化、分裂、隱私、ISP無法透過DNS封鎖處理botnet等;但他也強調,DNS的發明本來就不是要用來做過濾等使用,也因此對DoH的質疑,其實是錯誤使用DNS工具的結果。他進一步分析DNS品質對安全的意涵,當愈來越多的安全功能加諸在DNS上時,其複雜度會越來越高,但是DNS的品質會因此越來越低。以國內DNSSEC佈建率非常低為例,是因為佈建後倘若發生效能不彰問題,是沒有辦法恢復原狀的,而無法復原是因為網路上有太多且無法掌握在ISP手上的因素,使ISP無法做有效的問題解決。

座談與問答

  • 過往有關DoH的探討大多集中在該技術阻撓了對訊務「封鎖」或「過濾」的需求,是否有替代方案可增強DNS訊務的機密性?

杜博士認為,除了DoH之外,還有一些如DoT的機制,但都只是針對某一部分進行加密,才不會影響功能;林工程師則認為,目前沒有替代方案。

  • DoH有沒有成為另外一種由私人公司所創建的網路分裂結果?

杜博士首先要強調應先定義網路分裂才能回答這個問題,如果以網路生態系作為基礎,目前已存在許多的網路生態,例如Google、Line等業者自成國度,她認為,DoH確實會強化這個網路生態系的分裂;林工程師則認為,倘若網路分裂是指相同的DNS解析出來會不同的結果,他認為技術上是有可能發生的。

現場與會者提出意見認為,這些被稱為壟斷的業者,都是遵照國際標準提供服務,又要責備業者的壟斷時,比較好的做法應該是,認為壟斷的人,可以嘗試要改變標準,而不是怪業者不認真。

  • DoH Resolver是否能自行管理?

可以喔!大部分的DNS軟體與應用都是open sources,是可以拿來應用的。但自行管理也可能衍伸資安問題。

  • DNS查詢服務集中化有沒有可能帶來的單點失效問題?

兩位與談人都認為單點失效問題是有可能發生的。杜博士引用APNIC統計,許多ISPs並沒有自己架設DNS,而是使用他人的DNS解析服務,這個已經存在單點失效的問題,這就回歸到ISP業者評估這是否要投資的服務。林工程師也認為是,如果全台灣的使用者都使用Google或Cloudflare 的公共解析服務時,是有可能有單點失效問題。

  • 倘若問題是出在標準,是不是需要新的標準?是不是應該要改變ICANN? IETF組織的決策流程都中立?

與談人提到國際標準是自願使用的,當使用率高的時候,就會變成普遍的標準。標準本身的討論是中性的,是整個技術社群共同討論出來,以解決問題為主。

現場與會者則提出看法認為,類似IETF或ICANN組織的標準流程都是透明公開的,倘若要說這些標準組織立場不中立,應當要有明確說明到底不中立處為何。再以ICANN為例,所有的政策都是社群主動提出,並非從上而下,也透過透明公開的程序進行成案與討論,形成最後的政策(標準)。