Vor einiger Zeit beschrieb ich die sichere Kommunikation untereinander. Ein kleines Einfallstor bleibt dazu aber immer noch, über DNS-Anfragen ist es zumindest dem Provider möglich eure angesteuerten Server mitzuprotokollieren. Es ist zwar dem Provider auch anders möglich mitzuprotokollieren, aber eine Kontrolle des DNS-Servers ist hier die einfachste und günstigste Methode.
Alle bisherigen Konzepte zur deutschen Internetzensur bzw. dem genialen Wort „Zugangserschwerungsgesetz“ basierten auf einen Eingriff in die DNS-Anfragen der Kunden. Dass diese aber von den Kunden frei gewählt werden können bzw. Windows schon von vornherein sich Anfragen speichert um diese nicht erneut stellen zu müssen fiel keinem auf.
Genau hier setzen wir also an. Es gibt unzählige andere DNS-Server im Netz, der bekannteste und am einfachsten zu merkende wird wohl Google Public DNS sein. Mit den IPs 8.8.8.8 und 8.8.4.4 als DNS könnt Ihr völlig freiwillig Google das geben was der deutsche Staat gerne von den Providern haben möchte. Das einzige Problem dabei, diese Anfragen sind nicht verschlüsselt. Euer Provider erkennt also dass ihr diese Daten freiwillig an Google gebt und kann diese genau so mitprotokollieren wie eigene.
Hier kommt dann DNScrypt ins Spiel. Dies verschlüsselt eure DNS-Anfragen so, dass ihr aus Sicht des Providers gar keine DNS-Anfragen mehr macht. Verschlüsselt laufen diese dann in UDP-Paketen zum DNS-Server, der sie dann entschlüsseln und beantworten kann.
Realisieren kann man das ganz einfach, zuerst muss hier das aktuelle Archiv für Windows (erkennbar an win32 und dem .zip am Ende) heruntergeladen werden. Danach noch den Windows Servicemanager für DNScrypt.
Beides in einem Ordner entpackt kann dann dnscrypt-winservicemgr.exe gestartet werden. Nach Auswahl der Netzwerkkarte (meist wird nur die verwendete angezeigt) muss ein Server ausgewählt werden.
Hier sollte dann darauf geachtet werden, dass die ausgewählten Server nichts protokollieren. OpenDNS tut dies ganz öffentlich und bietet das auch als Feature an. Aber auch Cisco oder „Nawala“ wird nachgesagt klammheimlich doch zu protokollieren. Die DNScrypt.eu Server sollten allerdings in Ordnung sein, da dies DNS-Server sind die extra für DNScrypt geschaffen worden sind.
Nach einem klick auf „Enable“ habt ihr die Verschlüsselung dann aktiviert und der lokal eingestellte DNS-Server sollte sich auf 127.0.0.1 geändert haben, da ab sofort die DNScrypt-Prozesse das Ansteuern der Server übernehmen.