問:DNS over HTTPS(簡稱DoH)這種技術,之前翻牆問答都介紹過。而最近,知名的雲安全服務商Cloudflare聯同蘋果電腦推出了新的Oblivious DNS-over-HTTPS(簡稱ODoH)技術,進一步強化私隱保障,甚至加強未來的翻牆能力,不知能否介紹一下這項新技術?
李建軍:DoH這種技術,大致上解決了DNS查詢資料被大部分第三者攔截的問題,只不過,DoH在解決由互聯網服務供應商所進行的DNS篡改或資料攔截,是完全的無能為力;而很不幸,由互聯網服務供應商故意搞出來的DNS污染,正正是大部分中國網民每日都必須要面對的難題。
而ODoH技術,正正為解決這個問題而來。它的原理是:任何的DNS查詢,都是先加密發到一個中介代理主機,代理主機代為向有權威的DNS作出提問,而DNS向代理主機以加密方式回覆後,代理主機再用加密方式回覆用戶。這個新方式,某程度上避免了互聯網服務供應商故意污染的問題。基本上,如果你對你使用的代理主機有懷疑,只要跳轉到另一個代理主機,就很大機會得到準確答案。而且整個查詢過程已經加密,並使用最常見的HTTPS加密協定,令到中國當局亦不能夠透過互聯網服務供應商DNS的通訊紀錄,得知目標監控對象的生活習慣或瀏覽過的網站,因為這些紀錄都是加密,而只有代理主機,知道個別匿名用戶的查詢實況。基本上,在這項新技術下,中國當局要再搞DNS污染,難度將會大為增加。
問:如果照這樣看,除了VPN,未來其他類型的翻牆軟件,亦可以透過不同的代理DNS主機,去實現翻牆上網的目標?
李建軍:可以這樣說。至少日後負責翻牆軟件的公司,要部署DNS的壓力大減,因為要自建DNS主機是很昂貴,但建設代理主機難度大為減低,因為代理主機扮演的角色,只不過將查詢代為轉達,而不用將所有DNS資訊都儲入代理主機。在原本的情況下,DNS要扮演類似電話簿的角色,自行建立DNS主機不但成本非常昂貴,而且很容易被中共攻擊。但新技術借助散布全球的代理主機,而且隨時每日都可以有新的代理主機出現,解決被攻擊或封鎖的問題。中共要對全世界眾多代理主機進行封鎖,這幾乎變成一個不可能的事。
問:ODoH的代理主機夥伴之中,包括了電訊盈科旗下的PCCW Global。由電訊盈科旗下公司所營運的代理主機,又是否可信?
李建軍:以電訊盈科旗下媒體在香港的表現,聽眾對由PCCW Global營運的主機,應保持一定警覺。雖然PCCW Global主要在美國營運,只不過,由於受到「港版國安法」影響,而電訊盈科始終是一間以香港為總部的公司,有可能受到「港版國安法」所影響,因此,我個人並不建議使用由PCCW Global負責營運的代理DNS主機,如果可以的話,應盡量使用由其他公司,例如Cloudflare自己營運的代理主機,以策安全。
問:蘋果本身是ODoH這項新技術的推導者之一,這是否代表新技術很快會應用到蘋果自家的iOS設備之上?
李建軍:這點是肯定的,蘋果一向都會大力在自己的作業系統上,使用本身有份制訂的技術,甚至有些通用技術,根本就是蘋果定。舉個例子,好像最流行的視訊檔案格式 h.264,就是以蘋果公司QuickTime技術做基礎,因此,你將QuickTime檔案的mov字尾改為mp4,只要相關檔案是使用新版QuickTime建立,都可以順利當成mp4播放,因為H.264本來就是蘋果主力推導的標準。
因此,相信在未來的iOS和Mac作業系統,都會支援ODoH。只不過,屆時在國情特別的中國地區,情況有可能是例外——一如App Store對軟件的私隱保障要求都不適用於中國,有可能在中國出售的iOS設備,甚至Mac設備,都可能應中國政府要求,特別不支援ODoH。在iOS的eSIM支援上,都出現過類似情況。因此,如果想利用新技術協助翻牆,你的蘋果設備,就不應該在中國買,甚至香港買都未必適合,而要在美國、台灣、日本或其他西方民主國家購買。