苹果公司(Apple)在其面向开发者的全球开发者大会(WWDC)在线活动上大力宣传其隐私保护工作。
苹果;截图来自Stephen Shankland/CNET当苹果公司宣布三款新产品iCloud Plus的隐私福利订阅服务星期一至苹果的WWDC事件,头条新闻是私人中继——一个基于浏览器的加密增强,旨在越来越多的人谁在转向虚拟专用网络为了更好地保护网络隐私。
尽管苹果高管已经开始将新的Safari加密服务定位为值得信赖的商业VPN的替代品严格来说,Private Relay不是VPN。我们仍在等待这项服务如何工作的细节,但将其混淆为VPN可能会证明对那些依赖VPN获取个人安全的人是危险的,对那些寻求绕过政府审查的人是无效的。
另一方面,私有中继可以与传统VPN一起使用。这样做理论上可以改善你的整体隐私一个潜在的可疑的VPN提供商从识别你.
由于其基础技术以加密为核心,私人中继不太可能在可能干扰国内监控或违反反加密法律的国家提供。苹果证实,Private Relay将不会在其最重要的市场之一中国推出。在白俄罗斯、哥伦比亚、埃及、哈萨克斯坦、沙特阿拉伯、南非、土库曼斯坦、乌干达和菲律宾也不能进行私人火炬传递。
苹果表示,它只会根据当地法律提供私人中继服务,但其他已宣布的iCloud Plus隐私功能,如“隐藏我的电子邮件”(Hide My Email),可能会在当地法律允许的限制区域使用。
为了普通的美国用户但是,私人中继除Safari的补充代表了如何突破性的转变浏览器可以从根本上重塑更好地保护你免受广告商的恶意跟踪。然而,除了提高浏览器隐私保护的门槛,Private Relay中的一项奇特的底层技术正准备为浏览器之战打开新的篇章。
Apple Private Relay vs.标准VPN
| VPN. | 私人中继 | |
| 您的公共IP(您是谁以及您是谁)是加密的,开始完成 | 是的 | 没有 |
| 当你连接时,分配你一个新的IP | 是的 | 是的 |
| 所有从你的设备传出的数据都是加密的 | 是的 | 没有 |
| 你可以克服地理位置障碍和审查来访问媒体 | 是的 | 没有 |
| 您的流量通过混淆与其他人混合在一起 | 是的 | 没有 |
私有中继与VPN有何不同
没有device-wide加密虽然许多VPN提供了一个次要的,只针对浏览器的插件,一个真正独立的VPN被设计用来加密你的设备的所有信息。然后,它会给你分配一个新的IP地址,在把你送到目的地网站之前,把你连接到它的一个服务器网络上。在其developer-focused演讲苹果公司表示,私人中继加密只覆盖Safari、你设备上与dns相关的流量,以及来自应用程序的一小部分流量。换句话说,如果你在iPhone上使用Chrome浏览器,不要期待任何私人中继保护或功能。
没有geo-blocking: VPN的一个关键特性是克服地理限制并访问打开的Web上的全局内容。有些人使用该功能在国外时访问流媒体服务,并观看归属国家的娱乐目录。但对于那些国家受到审查和压迫制度的负担的人,VPN提供了规避地理限制的能力,以安全地访问至关重要的信息和新闻。私人继电器明确旨在遵守地理阻止,并不会隐藏互联网提供商或当局的普通区域或城市。
没有网络流量混淆:使用VPN创建的加密Web流量看起来与非VPN流量不同,但最佳VPNS伪装本身在一个名为Somfuscation的过程中的正常流量显示。克服的地理阻塞依赖于出现在不同的位置;它依赖于您的流量看起来不明显。即使您使用私有继电器连接到本地Wi-Fi,私有中继的代理服务器也不努力混淆自己。
Split-tunneling差异:在大多数前导VPN中发现的一个方便的功能,拆分隧道是一种选择,允许您对设备进行放弃,支持设备上的一个或多个应用程序。因此,您创建了两个“隧道”的互联网流量。此功能在多种使用特定情况下有用,例如如果您想使用A.VPN以实现更快的torrent速度但是你想继续正常浏览。私人中继有一个类似的功能,但工作方式不同。例如,即使连接到工作场所的专用网络,您仍然可以使用专用中继。
多个跳架构许多vpn提供多跳(或“双跳”)的选择,在你登陆一个网站之前,通过连接一系列服务器,一个接着一个,让你更好地掩盖你的踪迹。私有中继提供了所谓的“双跳架构”,这与VPN的多跳不同。当使用私有中继时,你的两个“跳”首先给你一个新的、半匿名的IP地址,然后解密你所请求的网站的名称。
阅读更多:2021年最佳iPhone VPN
我们对私人接力队的了解
Private Relay有两个最终目标。第一个是限制广告公司和isp能看到的关于你浏览的数据。第二个目标是确保苹果只能看到你是谁,而不能看到你正在访问哪些网站,而把你带到这些网站的第三方服务器可以看到你要去哪里和你的大致位置,但不能看到你是谁。
这是它的所做。隐私继电器是即将推出的IOS和MacOS版本内置,但如果您是iCloud Plus订户,则只能工作,并且您已从ICLoud设置中启用它。
一旦它启用并且您打开Safari浏览,私有继电器将拆分两条信息 - 当作为正常交付到网站时 - 可以快速识别您。这些是您的IP地址(谁以及您是您所在的位置)以及您的DNS请求(以数字表格的网站的地址)。
一旦这两个信息被分割,Private Relay就会加密你的DNS请求,并将IP地址和现在加密的DNS请求发送给苹果代理服务器。在你看到一个网站之前,这是两个站点中的第一个。在这一点上,苹果已经把加密密钥交给了运行这两个站点中的第二个站点的第三方,所以苹果无法看到你试图通过加密的DNS请求访问哪个网站。苹果只能看到你的IP地址。
虽然它已经收到了你的IP地址和加密的DNS请求,苹果的服务器不会把你的原始IP地址发送到第二站。相反,它提供一个与您的一般地区或城市大致相关的匿名IP地址。
然而,这个近似位置在不同的地方可能意味着不同的事情。
苹果公司的一位发言人告诉科技资讯网说:“这显然是非常不同的技术,但总的来说,根据iPhone上的大致位置,区域大小会根据你所在的世界各地以及人口密度等因素而变化。”
以旧金山为例,这个近似位置的面积可能会缩小。
“根据大概的位置,我可能在旧金山半岛的任何地方。所以你可能会认为我在旧金山最北端的Ghirardelli广场附近,或者这个应用程序会得到信息说我在Cesar Chavez [Street]附近。它仍然会得到一个精确的位置。只是我的确切位置在这个范围内浮动,没人知道我到底在哪里。”
一旦它分配了新的IP地址,苹果代理服务器发送加密的DNS请求和新的IP地址到下一站。第二站是另一个代理服务器,它不是由苹果公司运行的,而是由一家目前不知名的第三方公司运行的,它可以解密你的DNS请求。
最后,第三方代理服务器解密您的DNS请求并将其发送到目标网站以及您的常规位置。虽然目的地网站无法确定确切的位置,因为它没有真实的IP地址,但它仍然可以看到您的设备所在的区域。
幕后的技术
通过第二个代理服务器看到您要求的网站以及您的普通城市,紧迫的问题迅速成为谁在运行第三方服务器,苹果公司到目前为止拒绝回答。
然而,在Private Relay宣布的几个小时内,应用研究员Jane Manchun Wong在Twitter上证实了这一点,很明显Cloudflare至少是苹果为Private Relay供电的合作伙伴之一她得到了一个属于Cloudflare的IP地址同时使用Private Relay当前可用的开发者版本。Wong的推文引发了一波其他用户关注同样的结果,并将Private Relay和代理应用Cloudflare Warp进行了比较。
Cloudflare是一个初选苹果的合作伙伴来标准化私有中继潜在的改变游戏规则的元素——它在浏览器中使用了一种叫做忘却dns -over https (ODoH)的东西。
iCloud Private Relay使用苹果帮助开发/带头的协议真是太棒了# ietf为标准化-使用MASQUE (https://t.co/nPBvN4vcoJ)和Oblivious DoHhttps://t.co/c3wQsExXAA)和HTTP/3
——Paul Wouters (@letoams)2021年6月8日
ooh有什么大不了的?它将回答自2018年以来困扰隐私倡导者的一个重大问题browser-encryption协作Cloudflare,Mozilla开创了一种从浏览器内部路由互联网流量的方法,称为DNS over HTTPS (DOH)。为了证明其反监视的有效性,这种新方法为Mozilla赢得了“搞笑奖”“年度互联网恶棍”这意味着,从本质上讲,隐私技术有可能打破互联网服务提供商的商业模式,即尽可能多地吸收、捆绑和出售用户的使用数据。
尽管被誉为隐私方面的突破,但这种新方法并非没有缺陷。
当Mozilla在2020年初为美国Firefox用户启用DOH时,CNET的Stephen Shankland挖掘那些缺陷.最紧迫的是,卫生部可以集中DNS活动它可以提供公司a在线追踪你的新方法.在国防部的批评中,也许最有先见之明的引用来自伯特休伯特,创造了PowerDNS软件.
“Mozilla代表所有它认为是美国的用户,认为这是个好主意,我感到非常失望,”休伯特在一封电子邮件中说。“虽然加密的DNS很好,但这对谁加密你的DNS很重要……例如,他们没有进行调查,调查人们对于将自己的所有互联网活动记录交给Cloudflare会作何感想。”
从理论上讲,与用户通过DOH看到的信息相比,ODoH将减少Cloudflare获得的关于用户的可识别信息数量。然而,Cloudflare并没有完全摆脱安全方面的担忧。2017年,一个缺陷被称为Cloudbleed影响了使用Cloudflare产品的网站。Cloudflare固定的问题,但曝光包括用户名,密码,消息和其他可能识别信息。
对ODoH协议的批评出现在今年1月,当数字隐私倡导者在电子前沿基金会他警告说,该协议最终可能会促成比克服的更多的审查。
“一种可能性令我们担忧:使用ODOH为软件开发人员提供一种简单的方法来遵守审查制度的需求,以便在不讲述他们被审查的用户的身份的情况下分发他们的软件,”eff说。
换句话说,通过选择一个声誉良好的ODoH代理机构,拒绝解决被审查的网站,软件公司可以在像中国和沙特阿拉伯这样被严格审查的国家发布软件,只要这种审查是存在的,比如发布经过审查的软件版本。
“这将消除软件开发人员将用户展示给可以将其放入危险的政府的任何潜在责任性,但它还有助于审查的行为。在传统的DOH中,这是不可能的。让开发人员容易给开发商通过促进“匿名”审查是一个令人担忧的前景,“eff说。
Cloudflare没有回复CNET的置评请求。
除了苹果不愿意为代理合作伙伴命名,私人继电器用户的另一个障碍可能是他们自己的个人学校或商业网络。大多数领先的VPN采取措施伪装自己并使用非VPN流量混合,但是通过大多数专用网络容易地识别并阻止代理服务器。这意味着它将取决于个别校园和公司,以允许来自Apple设备的代理流量。否则,Apple表示,您将无法使用该服务。
目前,关于“私人继电器”还有更多未知的信息。随着iOS 15和新的MacOS/iPad OS在秋季正式发布,我们预计会有更多关于Private Relay设备的细节和文档。因为对苹果来说,零散的合作伙伴关系的缓慢泄漏是意料之中的事——至少早在其Maps-TomTom协作——我们也期待更多关于其与第三方中介合作性质和范围的信息。
在那之前,苹果选择通过Private Relay对用户的DNS请求视而不见,这可能会让该公司与有争议的域名保持一定距离加密的争论更普遍地说,它最近陷入了困境。这个科技巨头使用新的DOH协议是否会推动其他浏览器采用他们自己的版本,以取代更广泛的DOH,这还有待观察。
但即使私人继电器不能作为一个成熟的VPN,苹果很可能认为这是一个双赢的局面:它被包装本身的隐私国旗(继续分化增销用户与谷歌和Facebook),即使它收集用户数据越来越少在默认情况下,潜在的私企传票当政府机构打来电话.