匿名化Domain Name Systemの実効性評価と高度匿名化手法の研究

匿名域名系统有效性评估及先进匿名方法研究

基本信息

批准号：
22K11994
负责人：
栗原淳
金额：
$ 2.75万
依托单位：
University of Hyogo
依托单位国家：
日本
项目类别：
Grant-in-Aid for Scientific Research (C)
财政年份：
2022
资助国家：
日本
起止时间：
2022-04-01 至 2025-03-31
项目状态：
未结题

来源：
https://kaken.nii.ac.jp/grant/KAKENHI-PROJECT-22K11994/
关键词：
DNS 匿名化結託耐性インターネットプライバシ

项目摘要

当初目的として挙げていた以下の目標：【既存の匿名DNSについて、そのDNSトラヒックの「ユーザ単位での分類推定」を可能とする、フィンガープリント攻撃手法を確立する。これを応用し、より高度な匿名化を可能とする新たな匿名DNS手法を確立する。】について、まずユーザ分類推定手法の検討・解析を行った。この際、既存の匿名化DNSにおける匿名化プロキシをNATと見立て、インターネットにおけるNAT内ユーザの分類推定手法を応用するアプローチにより、解析を試みた。しかしながら、既存の匿名化DNSプロトコルにおいては、NAT内ユーザの分類推定手法とは異なり「NetFlowなどルータにおける付加情報が利用できない」「特定機器の通信とは異なりトラヒックパターンが不均一」などに起因し、現在のところフィンガープリント攻撃は、実用的な攻撃手法となりえないと判断した。一方、既存の匿名DNSでは、匿名化プロキシとターゲットリゾルバの結託に対して、脆弱であるため、2022年度は、上記の課題を解決する新たな匿名DNS手法の設計、実装、OSSとしての公開、および評価を実施することに方針を切り替えた。このため、2022年6月にIETF RFC 9230で標準化され、Apple Private Relayとしても実装された「Oblivious DNS over HTTPS (ODoH)」を拡張したプロトコルを新たに考案・設計し、ソフトウェアを開発した。本プロトコルの構成要素（クライアント、匿名化プロキシ、ターゲットリゾルバ）は、全てオープンソースソフトウェアとして実装し、GitHub上にて公開した（継続開発中）。加えて、これらDNSメッセージをネットワーク上で効率的に転送するための、Generalized Deduplicationを応用した新たなデータ圧縮手法を提案し、国際学術会議へ投稿・採録された。

最初提出了以下目标： [为现有匿名 DNS 建立指纹攻击方法，以实现 DNS 流量的“逐个用户的分类估计”。通过应用这一点，我们将建立一种新的匿名 DNS 方法，以实现更高级的匿名化。 ]，我们首先研究分析了用户分类估计方法。此时，我们将现有匿名DNS中的匿名代理视为NAT，并尝试使用互联网上NAT中用户的分类估计方法进行分析。然而，与NAT内部用户的分类估计方法不同，现有的匿名DNS协议由于“无法使用NetFlow等路由器中的附加信息”和“与特定设备之间的通信不同，流量模式不均匀”等因素而存在问题。 ”，确定指纹攻击目前还不是一种实用的攻击方式。另一方面，现有的匿名DNS很容易受到匿名代理和目标解析器之间串通的影响，因此在2022财年，我们将设计并实现一种新的匿名DNS方法来解决上述问题，并将其发布为OSS并将其策略更改为OSS。进行评估。为此，我们设计并设计了一种新协议，通过 HTTPS (ODoH) 扩展 Oblivious DNS，该协议于 2022 年 6 月在 IETF RFC 9230 中标准化，也作为 Apple Private Relay 实现，并开发了软件。该协议的所有组件（客户端、匿名代理、目标解析器）均已作为开源软件实现并发布在 GitHub 上（目前正在持续开发中）。此外，我们提出了一种新的数据压缩方法，应用通用重复数据删除来有效地通过网络传输这些DNS消息，并在国际学术会议上提交并接受。