DNSCrypt服务器与隐私+安全性

Question

我正在使用开源路由器固件，这也提供了我的DNS和包括DNSCrypt功能的DNS解析。作为一个热衷于网络秒的人，我喜欢这个特性，我使用它已经有一段时间了，我尝试过各种免费和开放的DNSCrypt服务器。

然而，我不得不不时地更改我的DNSCrypt解析器，因为其中许多问题似乎有很多停机问题，这自然影响了我的网络使用。在进行了一些研究之后，似乎很多DNSCrypt服务器都是由个人、社区以及一些公司(例如思科OpenDNS、AdGuard DNS等)维护的。

我一直试图找到最容错的、免费的、开放的DNSCrypt服务器，它也支持DNSSec，具有低停机时间，没有“超过偏执的DNS查询过滤”(如AdGuard)，也没有日志记录功能。我找到了一些，但其中大多数似乎都有停机问题。

我不是DNSCrypt专家，我只熟悉DNSCrypt的基本概念，所以我的问题是，这些开放的DNSCrypt服务器提供者是否能够检查我的DNS查询并将它们追溯到我的公共IP？毕竟，所有查询都要通过它们的DNSCrypt服务器。还是在DNSCrypt进程本身中对查询进行加密，从而无法在其服务器中检查查询？

Answer 1

如项目主页所述：

DNSCrypt是一种协议，用于加密、身份验证并可选择匿名地对DNS客户端和DNS解析器之间的通信进行匿名。它可以防止DNS欺骗。它使用加密签名来验证响应是否来自选择的DNS解析器，并且没有被篡改。

因此，这种技术保护您和您选择的解析器之间的路径。但是，解析器可以做它想做的任何事情，既可以检查发送给它的数据，也可以发送伪造的数据。这个协议就像DoH/DoT的竞争对手，它“只是”保护DNS解析路径的一部分，它不是端到端(相反，DNSSEC是端到端，而是只保证完整性，而不是保密性)。

FWIW协议的要点是以下内容，可以看作是TLS的轻量级版本：

客户端和解析器最初为每个支持的加密系统生成一个短期密钥对。从客户端的角度来看，DNSCrypt会话开始于客户端向启用DNS的解析器发送未经身份验证的DNS查询。此DNS查询编码客户端支持的证书版本，以及客户端请求的提供程序的公共标识符。解析器使用一组公共签名证书进行响应，这些证书必须由客户端使用以前分发的公钥(称为提供程序公钥)进行验证。

如果客户端也不检查服务器证书，很容易劫持此通信量，因此您将获得完全的机密性.而不知道你到底是向谁发送的流量，这有点类似于纯文本。

还请注意，“匿名”只是最近的一种选择。它使用了使用中继的经典技巧:中继将知道您的客户端IP，但真正的名称服务器只知道中继的IP地址。