暗号化DNSサーバーをRAM運用へ移行

 (mullvad.net)
2 ポイント 投稿者 GN⁺ 2023-11-11 | 1件のコメント | WhatsAppで共有

Mullvad VPNの暗号化DNSサーバーをRAMへ移行

  • Mullvad VPNは、自社のVPNインフラにおけるディスク使用の痕跡を排除する移行を完了したと発表した。
  • さらに最近、暗号化DNSサービスもRAM上で運用する方式へ切り替えたと発表した。
  • 暗号化DNSは、VPNサービスに接続していないときでも、DNSクエリを第三者の監視から保護する。

暗号化DNSサービスを無料で提供

  • 暗号化DNSサービスは、VPNサーバーに接続していない状態でも利用できるサービスで、誰でも無料で使える。
  • このサービスは世界中のサーバーで提供されており、選択的なコンテンツブロック機能を含む、信頼できる監査済みの暗号化DNSサービスである。
  • VPNサービスと併用することもできるが、VPNサーバーのDNSリゾルバを使うより遅くなる可能性があるため、推奨されない。

暗号化DNSサーバーのセキュリティとプライバシー保護

  • すべての暗号化DNSサーバーは、VPNインフラと同じLinuxカーネルを使って構成されており、同等のセキュリティおよびプライバシー保護水準を提供する。
  • こうしたDNSサーバー構成は、RAM上でステートレスなインフラを運用するための次の段階である。

GN⁺の見解

Mullvad VPNの今回の発表は、技術的に高度なセキュリティ対策の重要性を強調している。ディスクではなくRAM上で暗号化DNSサービスを運用することで、ユーザーのDNSクエリ保護を強化でき、これはデータセキュリティとプライバシー保護に対するユーザーの信頼向上につながる可能性がある。こうしたサービスが無料で提供される点は、ユーザーにとって非常に有益であり、Mullvad VPNの透明性とオープン性への取り組みを示す一例として、プライバシーに関心のある人々にとって興味深い内容だ。

関連記事

1件のコメント

 
GN⁺ 2023-11-11
Hacker Newsの意見
    • Mullvadの暗号化DNSサービスは、VPNサービスを購入していないユーザーにも提供されている。
    • さらに、任意のTLS/HTTPS DNSサーバーを設定することで、選択的なコンテンツブロックに対応するブロックリスト機能もある。
    • [1] Mullvad DNSブロックリスト GitHubリンク
    • Mullvadのサーバーが物理サーバーなのか仮想マシンなのか気になる。
    • 一部の仮想マシンでは、メモリ内容を含めてフリーズ/スナップショット/複製、またはライブレプリケーションが可能である。
    • 法的要請に応じて、一部のVPSプロバイダーはこのような作業を行う。
    • 物理サーバー構成の図があるのか、またMullvadのアーキテクトが理論上の仮定を避けられるよう助けられるのかを尋ねている。
    • 2023年現在、RAMがその内容をすべて暗号化するのか、RAMが内容を忘れられるのか気になる。
    • RAMに対するコールドブート攻撃を防ぐためにどのような対策が取られているのか、ハードウェアにどのような変化があるのかに興味を持っている。
    • RAM内容を暗号化する鍵がTPMに保存されているのか、といった質問。
    • CloudflareのDoH DNS(1.1.1.1)を使い、MullvadのVPN経由でトンネリングしている。
    • この方式では、Mullvadはアクセス先IPしか見えず、CloudflareはVPN IPから来るDNSリクエストしか見えず、ISPは何も見えない。
    • MullvadのDoH DNSも良いが、上記の方式よりプライバシー面で劣る可能性があるため使わないつもりだ。
    • Mullvadがポートフォワーディングの終了を発表するまでは非常に満足していた。
    • ポートフォワーディングは自分の構成の特定部分で重要であり、事情は理解するが、再導入されるなら喜んで再び顧客になるだろう。
    • Mullvadは、自社の暗号化DNSサービスをRAM上で動作するよう移行したと発表した。
    • サービスがRAM以外の場所で動作するとはどういう意味なのか、また「RAM上で動作する」とは具体的に何を意味するのかという説明がない。
    • 実行可能なすべてのバイナリは、標準的なOSの手順に従ってRAMにロードされる。
    • VPNプロバイダーのOVPN(ovpn.com)も同様のサービスを提供している。
    • 実際の統計はないが、SSDとECC RAMで読み書きの多いデータアプリケーションを運用した経験から、どちらも十分な頻度で故障するという印象がある。
    • 耐障害性の面では、この移行はそれほど改善になっていないかもしれないが、性能最大化への取り組みには拍手を送りたい。
    • これは面白いRedisプロジェクトになりそうだ。
    • Mullvad VPNのセキュリティがProton VPNと比べてどうなのか気になる。
    • [削除されたコメント]