Auskunft anonym
Wie ODoH und DNSCrypt Ihre Privatsphäre schützen
Apple hat im Sommer mit der Ankündigung seines kommerziellen „Private Relay“ Aufmerksamkeit erregt: Damit sollen Mac- und iPhone-User ihre IP-Adresse bei essenziellen Internetzugriffen verbergen können. Dahinter steckt eine Methode zur DNS-Anonymisierung. In dieser Artikelreihe lesen Sie, wie die Technik funktioniert und warum man sie auf allen Betriebssystemen haben möchte.
Netzwerkgeräte senden zur Auflösung von Domainnamen in IP-Adressen laufend DNS-Anfragen ins Internet. Doch damit liegen die Surfgewohnheiten der Nutzer auch für Dritte offen. Jeder, der die DNS-Anfragen und -Antworten im lokalen Netz, in der Firma, beim Provider oder an Internetknoten wie dem DE-CIX mitliest, kann anhand der Quell-IP-Adressen erkennen, welche User welche Webseiten oder Dienste im Internet nutzen. Apple macht sich nun stark, um die DNS-Anfragen gegen unerwünschte Protokollierung abzusichern. Ab dem Herbst sollen Apples iCloud+-Abonnenten diese (und andere Schutzfunktionen) als „Private Relay“ aktivieren können.
Der Plan passt gut zu Apples Aktivitäten rund um den Privatsphärenschutz, denn alle für die Internetkommunikation ausgelegten Geräte müssen das Domain Name System (DNS) befragen, um Verbindungen zu den Zielservern aufbauen zu können. Das DNS übersetzt menschenlesbare Domainnamen wie ct.de in maschinenlesbare IP-Adressen (z. B. 193.99.144.80 und 2a02:2e0:3fe:1001:302::). Die allermeisten Geräte – PCs, Smartphones, Smart-TVs, Router – befragen das DNS aber so wie 1987 spezifiziert, nämlich unverschlüsselt. Darauf antwortet das DNS ebenfalls im Klartext. Deshalb sind DNS-Anfragen und -Antworten für Lauscher und Werbetreibende eine leicht zugängliche Quelle zum Erstellen von Nutzerprofilen. Den Ablauf der DNS-Kommunikation und auch die Stellen, an denen DNS-Daten abgefischt werden, zeigt die Infografik „Übliche DNS-Hierarchie“.