Компания OpenDNS анонсировала проект DNSCrypt, в рамках которого продвигается новый способ защиты от атак, связанных с модификацией и манипулированием транзитным трафиком DNS. Основная задача DNSCrypt - полное шифрование всего канала связи между клиентом и сервером DNS, примерно как SSL используется для шифрования HTTP-трафика. Шифрование DNS-трафика позволит защитить клиента от атак "человек посередине", при которых злоумышленник вклинивается в канал связи и притворяется DNS-сервером. Кроме того, шифрование предотвращает наблюдение за трафиком и блокирует активность злоумышленников, связанную с подбором идентификаторов пакетов или отправкой фиктивных DNS-ответов. DNSCrypt дополняет собой технологию DNSSEC, которая в первую очередь нацелена на обеспечение аутентификации, верификации и гарантирования получения исходных данных, но не предоставляет средств для шифрования передаваемых данных. От проекта DNSCurv, осуществляющего полный цикл шифрования всех запросов DNS, DNSCrypt отличается значительным упрощением как реализации, так и конфигурации. DNSCrypt ориентирован только на шифрование канала связи между пользователем и резолвером DNS, не затрагивая при этом шифрование данных между DNS серверами. Вместо RSA DNSCrypt использует реализацию алгоритма Curve25519 (шифрование по эллиптическим кривым). Серверная часть DNSCrypt выполнена в виде прокси, поддерживающего работу на большинстве серверных систем, включая OpenBSD, NetBSD, Dragonfly BSD, FreeBSD, Linux и Mac OS X. DNSCrypt не поддерживает кэширование, поэтому разработчики рекомендуют использовать его в сочетании с поддерживающими кэширование резолверами, такими как Unbound, PowerDNS и dnscache. Для обхода фильтров DNSCrypt может организовать канал связи с клиентом поверх TCP, используя порт 443, обычно используемый для HTTPS. Клиентская часть пока поддерживает только Mac OS X. Код всех компонентов открыт под ISC-подобной лицензией, используемой в таких продуктах как DNS-сервер BIND.
Источник