IPv6 address2001:db8:1234::a3f2:b85e:9c1dnetwork prefixrandom, rotates dailyRFC 4941: temporary interface IDdefeats long-term IP-based tracking

Extensii de confidențialitate IPv6

10 min citireConfidențialitate

IPv6 a fost conceput inițial astfel încât fiecare dispozitiv să aibă o adresă stabilă de rutare globală - derivată din adresa MAC a dispozitivului, făcându-l un identificator unic permanent. Comunitatea de confidențialitate a respins cu greu; răspunsul a fost Extensiile de confidențialitate, care oferă dispozitivului tău adrese temporare rotative care se schimbă zilnic. Înțelegerea modului în care funcționează clarifică ceea ce IPv6 face și ce nu dezvăluie despre tine.

Întregul articol al articolului este oferit în limba engleză mai jos.

Extensiile de confidențialitate

IPv6 (RFC 4941, actualizat în RFC 8981) generează adrese IPv6 aleatorii, limitate în timp, pentru a preveni urmărirea printr-o adresă stabilă. Fără ele, IPv6 ar fi făcut ca fiecare dispozitiv conectat la internet să fie adresat în mod permanent și unic în toate rețelele la care s-a alăturat vreodată - un coșmar de urmărire. Cu ele, IPv6 este aproximativ la fel de privat ca IPv4 + NAT implicit, cu unele avantaje și unele avertismente.

Problema originală

IPv6 adresele sunt de 128 de biți — 64 de biți reprezentând de obicei prefixul rețelei, 64 de biți identificatorul de interfață. Standardul original de configurare automată a adresei fără stat (SLAAC) a derivat identificatorul de interfață din adresa MAC a dispozitivului folosind formatul EUI-64. Fiecare dispozitiv avea:

  • Același identificator de interfață pe fiecare rețea la care s-a alăturat
  • O adresă legată permanent de MAC
  • A semnătură unică la nivel global a plăcii de rețea vizibilă pentru fiecare site la care s-a conectat

Acest număr de serie vizibil pentru fiecare dispozitiv de conexiune permanentă era echivalentul permanent la internet. Trackerii ar putea da amprenta dispozitivelor prin rețele fără alte instrumente. Dezastrul de confidențialitate a fost clar devreme.

Cum funcționează Extensiile de confidențialitate

Remedierea este simplă:

  1. Dispozitivul generează un identificator aleatoriu de interfață pe 64 de biți în loc să folosească EUI-64.

    2. pentru a remedia această rețea temporară cu prefixul IP26. adresa.

  2. Adresa temporară este folosită pentru conexiunile de ieșire.
  3. Un nou identificator de interfață aleatoriu este generat periodic – de obicei zilnic – iar cel vechi este depreciat.
  4. Vechea adresă este păstrată în viață pentru scurt timp pentru conexiunile în curs înainte de a fi eliminată:X
XPLZ32Rezultatul de ieșire. traficul folosește o adresă IPv6 diferită de la o zi la alta. Site-urile care urmăresc după IP văd un identificator rotativ, similar cu o adresă dinamică IPv4 tipică.

OS suportă

  • Windows — activat implicit din Windows 7 în 2009.

    • OS — activat implicit pentru iOS4
  • XPLZ4 — activat implicit pentru iOS4Z43XXPLZ4 ani; iOS utilizează în mod implicit adrese temporare pentru traficul de ieșire.
  • Linux — acceptat în kernel; depinde de distro dacă este activat implicit. Cele mai multe distribuții moderne o permit.
  • Android — folosește randomizarea MAC la nivel Wi-Fi, separat, dar legat de confidențialitatea IPv6.

Pentru majoritatea utilizatorilor cu sisteme de operare moderne, Extensiile de confidențialitate sunt deja activate.

exists

Dispozitivele păstrează de obicei atât o adresă stabilă (pentru conexiuni de intrare, servicii de găzduire) cât și o adresă temporară (pentru ieșire). Când inițiezi o conexiune, adresa temporară este sursa. Când cineva se conectează la dvs. (sau dispozitivul dvs. acționează ca un server), adresa stabilă este ținta.

Adresa stabilă poate fi în continuare bazată pe EUI-64 (derivată din MAC) sau generată de RFC 7217 (o valoare stabilă pseudo-aleatorie pe rețea, recomandată de stivele moderne). Adresele stabile RFC 7217 sunt unice pentru fiecare rețea la care se conectează dispozitivul — rețeaua dvs. de domiciliu vede o adresă stabilă, rețeaua de birou vede una diferită.

Ce nu protejează Extensiile de confidențialitate

  • Urmărirea în cadrul unei sesiuni. Utilizați o singură sesiune de urmărire temporară. site-urile pot corela activitatea de-a lungul orelor.
  • Identificatori la nivel de aplicație. Cookie-urile, conturile, amprentele persistă în timpul rotațiilor de adrese.
  • Conexiune prefix de rețea. Toate adresele din rețea partajează același prefix /64; site-urile vă pot identifica rețeaua chiar și atunci când adresele individuale se rotesc.
  • Reverse DNS. Dacă un dispozitiv are DNS invers configurat în raport cu adresa sa stabilă, adresa stabilă poate apărea totuși în anumite contexte.

Comparația CGNATXPLZ86CXGNXXPL este partajată cu IPZ86 CXXNXXPL4 cu IP-ul public mii de alți utilizatori — site-urile nu vă pot distinge cu ușurință de oricine altcineva pe aceeași ieșire. Pentru IPv6 cu extensii de confidențialitate, fiecare dispozitiv primește propriile adrese unice, dar acestea se rotesc. Diferite proprietăți de confidențialitate:

  • CGNAT IPv4: urmărire slabă bazată pe IP de pe site-uri; te amesteci într-un crowd
  • IPv6 confidențialitate: identificarea individuală a dispozitivului în ferestre scurte; rotația înfrânge urmărirea pe termen lung

Nici unul nu este uniform mai bun; sunt compromisuri diferite.

Verificarea poziției de confidențialitate IPv6

Verificări rapide:

  • Vizitați pagina noastră de pornire sau orice site de căutare IP - se schimbă zilnic adresa IPv6 pe care o arată?
  • IDacă adresa dvs. IPv6 se termină cu octeți care arată ca adresa dvs. MAC (cu FF:FE inserat în mijloc), Extensiile de confidențialitate sunt dezactivate. funcționează.

Dezactivarea completă a IPv6

Unii utilizatori dezactivează IPv6 pentru a evita scurgerile VPN sau alte probleme. Compartimentul:

  • Eliminează riscurile de urmărire specifice IPv6
  • Forțează tot traficul prin IPv4 (adesea CGNAT pentru utilizatorii de telefonie mobilă)
  • Unele servicii se pot degrada sau eșua dacă necesită IPv6 în unele configurații
Xv, pentru majoritatea utilizatorilor Xv activat cu Extensiile de confidențialitate este implicit corect. Pentru utilizatorii cu probleme legate de scurgerile VPN, asigurați-vă că VPN-ul dvs. face tuneluri IPv6 corect, în loc să dezactivați protocolul.

Întrebări frecvente

Extensiile de confidențialitate sunt activate în mod prestabilit?
Da pe Windows, macOS, iOS și majoritatea distribuțiilor Linux moderne. Este posibil ca sistemele mai vechi sau anumite configurații de server să nu le aibă activate. Verificați uitându-vă la adresa dvs. IPv6 - dacă se schimbă de la zi la zi, acestea funcționează.
De ce adresa mea IPv6 are mai multe adrese enumerate?
Stivele moderne mențin o adresă stabilă pentru conexiunile de intrare plus una sau mai multe adrese temporare pentru conexiunile de ieșire. <code>ip -6 addr show</code> pe Linux sau Preferințe de sistem pe macOS le afișează pe ambele. Ambele sunt normale.
Utilizarea unui VPN face ca confidențialitatea IPv6 să fie discutabilă?
Adresa IPv6 a ieșirii VPN (dacă există) este ceea ce vede destinația. Dar multe VPN-uri doar tunelează IPv4 și scurg IPv6 direct, expunând adresa ta reală. Verificați că VPN-ul dvs. gestionează IPv6 - vedeți testul nostru de scurgeri <a href="/vpn-leak-test">VPN</a>.
Îmi pot schimba adresa IPv6 mai repede decât zilnic?
Pe Linux: <code>sysctl net.ipv6.conf.all.temp_prefered_lft</code> controlează durata de viață. Reducerea acestuia se rotește mai des cu prețul unei cifre de afaceri puțin mai mari a conexiunii. Majoritatea utilizatorilor beneficiază de suficientă confidențialitate din rotația zilnică implicită.
IPv6 dezvăluie adresa mea MAC?
Doar dacă Extensiile de confidențialitate sunt dezactivate și este utilizată adresarea EUI-64. Sistemele moderne folosesc implicit fie Extensii de confidențialitate, fie adrese stabile RFC 7217 - ambele, mai degrabă aleatorii decât derivate din MAC. MAC-ul dvs. nu ar trebui să fie dedus din traficul dvs. IPv6 într-o configurație modernă implicită.
Extensiile de confidențialitate IPv6 explicate: de ce adresa dvs. IPv6 se schimbă zilnic