Důvěryhodnost šifrovaného DNS provozu

Abstract

Tématem diplomové práce je popis standardizovaných variant šifrovaného DNS, tedy DNS over TLS a DNS over HTTPS a jejich následná bezpečnostní analýza ve veřejně dostupných rekurzivních resolverech. Práce se zabývá detailním popisem protokulu DNS a protokolu TLS zapouzdřující výměnu zpráv. Zmíněny jsou jak aspekty zvýšené bezpečnosti, tak potenciální možnosti zneužití šifrovaného DNS, ať už z pohledu útočníka nebo z pohledu poskytovatele služby. Provedený průzkum poukazuje na nedostatky implementace tzv. paddingu zvyšující odolnost vůči analýzám šifrovaného provozu a možnosti identifikace verze softwaru systému skrze CHAOS třídu. Z pohledu vrstvy TLS je ve většině případů správně dodržen postup dohody kryptografických algoritmů. Výjimku tvoří certifikáty, které se pro koncové klienty mohou velmi často jevit jako nedůvěryhodné.

The master's thesis describes standardized encrypted DNS (DNS over TLS and DNS over HTTPS) and analyses their security implementation in open recursive resolvers. The detailed specification of DNS with its extension mechanism is introduced and TLS protocol encapsulating exchanged messages is examined. Multiple aspects of encrypted DNS such as increased security and potential misuse by cybercriminals or service providers are described. The performed survey showed that implementations lack of padding which makes encrypted traffic analysis more difficult. It was also discovered that reconnaissance attack and software version identification through CHAOS class was possible. In most of the cases was proved that TLS and its negotiated cryptography parameters sufficiently followed security recommendations. However in many cases the certificates showed poor quality to establish trust between a server and a client.