原理
DNSCrypt將未修改的DNS查詢與回響以密碼學結構打包來檢測是否被偽造。它儘管未使用端對端加密,但也足夠抵禦針對DNS的中間人攻擊、DNS快取投毒攻擊、DNS劫持等,尤其是在區域網路中。除此以外還緩解了基於UDP的請求查詢至少與回應一樣大的放大攻擊。DNSCrypt也可以用於訪問控制。
儘管已有數個客戶端及伺服器實現,這一協定從未以徵求意見稿(RFC)形式提交到網際網路工程任務組(IETF)。目前DNSCrypt協定已發展至第二個版本。
協定概略
DNSCrypt可以使用UDP連線埠或TCP連線埠。儘管與HTTPS完全不同,但兩種情況下的默認連線埠號均為443。
DNSCrypt客戶端必須明確信任所選提供者的公鑰,而不依賴於常規瀏覽器中使用的證書頒發機構。
公鑰將用於驗證一整套以傳統DNS查詢接收的證書。這些證書包含用於密鑰交換的短期公鑰,以及即將使用的密碼本標識符。客戶端被鼓勵為每次查詢新建密鑰,而伺服器被鼓勵為每24小時更換短期密鑰對。
查詢與回應都使用同一算法加密,並使用64位元組的倍數填充來防止泄漏數據包大小。當使用UDP連線埠且回應多於查詢產生的數據量時,伺服器可以使用標記TC(英語:truncated,截短)比特的短數據包回應。客戶端此時應使用TCP連線埠重試,並增加後續查詢的填充量。
該協定的第一、第二版採用X25519算法(Curve25519)進行密鑰交換,EdDSA算法進行簽名,以及使用XSalsa20-Poly1305或XChaCha20-Poly1305算法認證加密。
基於公鑰的客戶端認證
DNSCrypt協定也可以用於訪問控制與審計,方法是僅接受一組預先定義的公鑰。這可在商用DNS服務中辨識客戶而不必依賴於其IP位址。
部署實現
伺服器端
DNSCrypt-Wrapper是伺服器端程式,需要搭配BIND、unbound等DNS系統方可運行。
除了私有部署,DNSCrypt協定已經被數個公共DNS解析伺服器接納,現存最大的成員是OpenNIC網路,它同時提供虛擬專用網(VPN)服務。
OpenDNS(現思科系統的子公司)在2011年12月宣布其公共DNS服務部署DNSCrypt,緊接著奧地利的CloudNS也宣布部署。
2016年3月29日,Yandex宣布在其公共DNS伺服器及網路瀏覽器上支持DNSCrypt協定。隨後,Infoblox宣布旗下的ActiveTrust Cloud將部署DNSCrypt服務。
2016年10月,AdGuard宣布為其提供阻擋電信運營商追蹤廣告推送服務的公共DNS伺服器部署了DNSCrypt。
2017年DNSCrypt v2協定公布,隨後相關的開放原始碼實現項目相繼出現,同時也有更多的公共DNS伺服器加入(包括Google Public DNS),所有部署DNSCrypt的DNS伺服器清單可在DNSCrypt的GitHub、Bitbucket等原始碼託管站上找到。
客戶端
DNSCrypt-Proxy v1/v2、Pcap_DNSProxy、YourFriendlyDNS是跨平台、命令行界面的客戶端程式,起到將本機或區域網路內的DNS請求加密轉發至部署了DNSCrypt的伺服器之功用。其中DNSCrypt-Proxy的v2版還支持DoH、DoT,還可以實現類似dnsmasq的DNS指定轉發、黑名單及白名單、hosts特性;Pcap_DNSProxy額外支持DNSSEC。
Simple DNSCrypt是一個圖形界面、基建於DNSCrypt-Proxy的前端,運行於Windows作業系統。也有類似的實現項目,如macOS的dnscrypt-osx-client等。
Yandex則在其自家的瀏覽器產品上內置了自有的DNSCrypt客戶端支持。