IPv6 address2001:db8:1234::a3f2:b85e:9c1dnetwork prefixrandom, rotates dailyRFC 4941: temporary interface IDdefeats long-term IP-based tracking

IPv6-privatlivsudvidelser

10 min læstPrivatliv

IPv6 blev oprindeligt designet, så hver enhed ville have én stabil globalt dirigerbar adresse - afledt af enhedens MAC-adresse, hvilket gør den til en permanent unik identifikator. Privatlivsfællesskabet pressede hårdt tilbage; svaret var Privacy Extensions, som giver din enhed roterende midlertidige adresser, der skifter dagligt. At forstå, hvordan dette virker, tydeliggør, hvad IPv6 gør og ikke afslører om dig.

Hele artiklens krop findes på engelsk nedenfor.

IPv6 Privacy Extensions (RFC 4941, opdateret i RFC 8981) genererer randomiserede, tidsbegrænsede IPv6-adresser for at forhindre sporing via en stabil adresse. Uden dem ville IPv6 have gjort enhver internetforbundet enhed permanent og unik adresserbar på tværs af alle netværk, den nogensinde har tilsluttet sig - et sporingsmareridt. Hos dem er IPv6 nogenlunde lige så privat som IPv4 + NAT-standarden, med nogle fordele og nogle advarsler.

Det oprindelige problem

IPv6-adresser er 128 bit - 64 bit repræsenterer typisk netværkspræfikset, 64 bit interface-id'en. Den originale SLAAC-standard (Stateless Address Autoconfiguration) afledte interface-id'en fra enhedens MAC-adresse ved hjælp af EUI-64-formatet. Hver enhed havde:

  • Den samme grænsefladeidentifikator på hvert netværk, den sluttede sig til
  • En adresse, der var permanent knyttet til netværkskortets MAC
  • A globalt unikke signatur, som er synlig for hvert websted, den tilsluttede sig

. Dette var det permanente enhedsnummer, der var forbundet med et permanent internet. Trackere kunne fingeraftrykke enheder på tværs af netværk uden andre værktøjer. Privatlivskatastrofen var tidligt klar.

Sådan fungerer privatlivsudvidelser

Rettelsen er ligetil:

  1. Enheden genererer en tilfældig 64-bit grænsefladeidentifikator i stedet for at bruge EUI-64.
    2. XPLZ2 til at kombinere dette IP-præfiks med et temporært netværk med IPX24XXPLZ2. adresse.
  2. Den midlertidige adresse bruges til udgående forbindelser.
  3. En ny tilfældig grænsefladeidentifikator genereres med jævne mellemrum - typisk dagligt - og den gamle udfases.
  4. Den gamle adresse holdes i live kortvarigt for igangværende trafikforbindelser, før den fjernes32XXPLZXPL32XXPLZXPL32XXPL332XXPLZXPL332XXPLZXPL32XXPLZ: Resultatet bliver fjernet. bruger en anden IPv6-adresse fra den ene dag til den anden. Websteder, der sporer efter IP, ser en roterende identifikator, der ligner en typisk IPv4 dynamisk adresse.

    OS understøtter

    • Windows — aktiveret som standard siden Windows 7 i 2009.

    • 4 år som standard for iOS; iOS bruger midlertidige adresser til udgående trafik som standard.

    • Linux — understøttet i kernen; distro-afhængig, om den er aktiveret som standard. De fleste moderne distributioner muliggør det.
    • Android — bruger MAC-randomisering på Wi-Fi-niveau, separat, men relateret til IPv6-privatliv.

    For de fleste brugere på moderne operativsystemer er privatlivsudvidelser allerede aktiveret.XL-adressen er stadig tilgængelig. exists

    Devices opretholder typisk både en stabil adresse (til indgående forbindelser, servicehosting) og en midlertidig adresse (for udgående). Når du starter en forbindelse, er den midlertidige adresse kilden. Når nogen opretter forbindelse til dig (eller din enhed fungerer som en server), er den stabile adresse målet.

    Den stabile adresse kan stadig være EUI-64-baseret (afledt af MAC) eller RFC 7217-genereret (en stabil pseudo-tilfældig værdi pr. netværk, anbefalet af moderne stakke). RFC 7217-stabile adresser er unikke pr. netværk, som enheden tilslutter sig — dit hjemmenetværk ser én stabil adresse, dit kontornetværk ser en anden.

    Hvad privatlivsudvidelser ikke beskytter

    • Indenfor sessionssporing.r midlertidig-sessions-sporing. websteder kan korrelere aktivitet over timer.
    • Application-niveau identifikatorer. Cookies, konti, fingeraftryk fortsætter på tværs af adresserotationer.
    • Netværkspræfiks linkage. Alle adresser fra dit netværk deler det samme /64 præfiks; websteder kan identificere dit netværk, selv når individuelle adresser roterer.
    • Reverse DNS. Hvis en enhed har omvendt DNS konfigureret mod dens stabile adresse, kan den stabile adresse stadig vises i nogle sammenhænge.

    CGNAT-sammenligningenXvZPLZ8XXXAT er offentligt IPvZPLZ8XXXAT IPvZPLZ85For med tusindvis af andre brugere — websteder kan ikke nemt skelne dig fra nogen andre på samme udgang. For IPv6 med privatlivsudvidelser får hver enhed sine egne unikke adresser, men de roterer. Forskellige privatlivsegenskaber:

    • CGNAT IPv4: dårlig IP-baseret sporing fra websteder; du blander dig i en crowd
    • IPv6 privatliv: individuel enhedsidentifikation inden for korte vinduer; rotation besejrer langsigtet sporing

    Ingen er ensartet bedre; de er forskellige afvejninger.

    Tjekker din IPv6-privatlivsstilling

    Hurtige kontroller:

    • Besøg vores hjemmeside eller et hvilket som helst IP-opslagssted – ændres IPv6-adressen den viser dagligt?
    • Hvis din IPv6-adresse ender med bytes, der ligner din MAC-adresse (med FF:FE indsat i midten), er privatlivsudvidelser slået fra. fungerer.

    Deaktiverer IPv6 helt

    Nogle brugere deaktiverer IPv6 for at undgå VPN-lækager eller andre problemer. Afvejningen:

    • Eliminerer IPv6-specifikke sporingsrisici
    • Tvinger al trafik gennem IPv4 (ofte CGNAT for mobilbrugere)
    • Nogle tjenester kan forringes eller mislykkes, hvis de kræver IPv6 i nogle konfigurationerXPLZPLX8For de fleste brugere IPv6 aktiveret med Privacy Extensions er den rigtige standard. For brugere med problemer med VPN-lækage skal du sikre dig, at din VPN tunnelerer IPv6 korrekt i stedet for at deaktivere protokollen.

Ofte stillede spørgsmål

Er privatlivsudvidelser slået til som standard?
Ja på Windows, macOS, iOS og de fleste moderne Linux-distributioner. Ældre systemer eller specifikke serverkonfigurationer har dem muligvis ikke aktiveret. Tjek ved at se på din IPv6-adresse – hvis den ændrer sig fra dag til dag, virker de.
Hvorfor har min IPv6-adresse flere adresser på listen?
Moderne stakke opretholder en stabil adresse for indgående forbindelser plus en eller flere midlertidige adresser til udgående. <code>ip -6 addr show</code> på Linux eller Systemindstillinger på macOS viser begge. Begge er normale.
Gør brugen af ​​en VPN IPv6-privatlivsproblemer?
VPN-udgangens IPv6-adresse (hvis nogen) er, hvad destinationen ser. Men mange VPN'er tunnelerer kun IPv4 og lækker IPv6 direkte, hvilket afslører din rigtige adresse. Tjek, at din VPN faktisk håndterer IPv6 - se vores <a href="/vpn-leak-test">VPN-lækagetest</a>.
Kan jeg få min IPv6-adresse til at ændre sig hurtigere end dagligt?
På Linux: <code>sysctl net.ipv6.conf.all.temp_prefered_lft</code> styrer levetiden. Reduktion af den roterer oftere på bekostning af lidt mere forbindelsesomsætning. De fleste brugere får tilstrækkeligt privatliv fra den daglige standardrotation.
Afslører IPv6 min MAC-adresse?
Kun hvis privatlivsudvidelser er slået fra, og EUI-64-adressering er i brug. Moderne systemer har som standard enten Privacy Extensions eller RFC 7217 stabile adresser - både tilfældige snarere end MAC-afledte. Din MAC bør ikke udledes af din IPv6-trafik i en moderne standardkonfiguration.
Forklaring af IPv6-privatlivsudvidelser: Hvorfor din IPv6-adresse ændres dagligt