Med förra höstens nya operativsystem från Apple ingår en ny funktion för att skydda användares integritet på nätet. Den kallas privat reläservice eller Icloud Private Relay, och trots att det har gått många månader sedan IOS 15 och Mac OS Monterey släpptes i skarp version är funktionen fortfarande klassad som beta. Men vad är det egentligen och hur fungerar det?

Privat reläservice är något som ingen tidigare har gjort, en kombination av beprövade och splitternya tekniker som tillsammans åstadkommer något slags mellanting mellan en vpn-tjänst och proxyserver.

Inställningar för privat reläservice

Så använder du privat reläservice

Du hittar privat reläservice i Icloud-inställningarna både på IOS och Mac. Apple påpekar flera gånger att det är en beta och att det kan förekomma buggar. När du har aktiverat den kan det ta en stund innan funktionen är igång, och det kan dyka upp felmeddelanden om den misslyckas att ansluta sig. Det kan bland annat hända om du använder Pi-Hole eller en annan reklam- och spårningsblockerare på nätverksnivå.

Felmeddelande
Felmeddelandet du får upp om nätverket blockerar privat reläservice (i det här fallet på grund av Pi-Hole).

På nätverk där privat reläservice inte fungerar stängs ”begränsa ip-adresspårning” av i nätverksinställningarna: Systeminställningar -> Nätverk på Mac och Inställningar -> Wi-fi -> (i-knappen) på IOS. Du kan också stänga av det manuellt för ett visst nätverk för att avaktivera privat reläservice enbart när du är ansluten till det nätverket.

Så fungerar det

Privat reläservice är en form av dubbel eller delad proxy, där dina anslutningar till webbservrar delas upp i två delar. Servern du vill ansluta till krypteras och skickas till en inkommande reläserver (relä 1). Den krypterar sedan din ip-adress och skickar meddelandet vidare till en utgående reläserver (relä 2) inklusive en ”geohash” som ger relä 2 en ungefärlig geografisk placering av dig – så att servern du ansluter till kan ge dig rätt innehåll för din region utan att veta exakt var du befinner dig.

Diagram över privat reläservice
Apple

Relä 2 har nycklarna som kan dekryptera webbplatsnamnet du ansluter till, men inte din ip-adress. Svaret från webbplatsen du ska ansluta till slussas tillbaka i motsatt riktning. Relä 2 får svaret men vet inte exakt vart det ska, och skickar det vidare krypterat till relä 1, som kan dekryptera din ip-adress men inte svaret.

Resultatet blir att din ip-adress bara är känd för nätverket du är ansluten till, din internetoperatör och de inkommande reläservrarna. Sajterna du besöker är kända för de utgående reläservrarna och sajterna själva, men de kan alltså inte koppla anslutningen till just dig (eller rättare sagt din ip-adress).

Dns

När din dator eller mobil ska ansluta till en webbplats och slår upp ip-adressen till servern via dns-systemet avslöjas traditionellt mycket information om dina surfvanor för både dns-servern och din internetoperatör.

Det här kan du bland annat åtgärda genom att använda krypterad dns (dns över https eller dns över tls). Privat reläservice tar det ett steg längre och använder något som kallas oblivious dns over https (odoh). Det innebär att innehållet i förfrågan är krypterat och enbart kan läsas av dns-servern, som i sin tur inte vet vem som skickade det eftersom den går via den ingående reläservern. Det ger alltså samma skydd för dns som för själva anslutningarna till servrar.

Om du har ställt in en egen säker dns fortsätter systemet använda den.

Inte en vpn

Privat reläservice kan, när det fungerar, göra dig mer anonym på webbplatserna du besöker. Men det är inte en vpn-tjänst och skickar inte precis all data krypterat. Som det fungerar idag gäller privat reläservice enbart Safari och alltså varken andra webbläsare eller andra programs internettrafik, medan vpn-tjänster till och med kan förhindra anslutningar till det lokala nätverket och enbart tillåta trafik via den krypterade anslutningen till vpn-servern.

Privat reläservice försöker heller inte dölja att det är en typ av proxy, och kommer alltid avslöja i vilket land du befinner dig, så den kan inte användas för att komma åt innehåll som inte är tillgängligt normalt. Eftersom det alltid framgår att du ansluter via privat reläservice kan internetoperatörer och nätverksadministratörer välja att blockera dig och tvinga dig att stänga av funktionen. Företag kan till exempel ha regler om att all trafik måste loggas för att senare kunna spåras.

Kontentan är att privat reläservice idag kan ses som ett sätt att göra vanligt surf säkrare och mindre spårbart, men inte något du bör förlita dig på som ett absolut skydd mot spårning. Under de senaste månaderna har dessutom flera brister och buggar i privat reläservice avslöjats. Apple kommer förmodligen fortsätta klassa det som en betafunktion tills problemen har avhjälpts. Om du är nyfiken och vill veta mer har Apple en ingående teknisk genomgång av privat reläservice.