Вітаю!
Напэўна, для вас не будзе вялікай навіной тое, што не за гарамі - закон уступае ў сілу ўжо 1 лістапада гэтага года.
На жаль, як ён будзе (і ці будзе?) працаваць – не зусім зразумела: дакладных інструкцый для аператараў сувязі пакуль што ў адкрытым доступе няма. Таксама няма і метадаў, штрафаў, планаў, размеркавання абавязкаў і адказных - ёсць проста дэклараванне.
Падобная сітуацыя назіралася і ў дачыненні да рэалізацыі планаў «закону Яравы» - абсталяванне для закона не паспелі распрацаваць у тэрмін і вядучыя аператары сувязі краіны былі вымушаныя неаднаразова звяртацца да патэнцыйных вытворцаў спецыялізаванага абсталявання з адпаведнымі пытаннямі. Аднак і тыя не атрымалі адказу ні аб звестках аб абсталяванні, ні саміх узораў.
Але галоўнае - не тое, як хутка ўступіць у сілу закон і якія нас чакаюць змены. Галоўнае - гэта тое, што дзякуючы ўвядзенню дадзенага законапраекта супольнасць энтузіястаў пачало разгортванне незалежнага тэлекамунікацыйнага асяроддзя ў нашай краіне.
Сёння я раскажу аб тым, што мы ўжо паспелі зрабіць, што збіраемся зрабіць у найбліжэйшай будучыні і з якімі цяжкасцямі і праблемамі нам давялося сутыкнуцца на шляху развіцця праекта.
Аб чым закон?
Перш чым прыступіць да тэхнічнай часткі нашага праекта, мне неабходна абмовіцца аб тым, што ж з сябе ўяўляе закон «Аб суверэнным Рунэце».
Сцісла: улады хочуць "засцерагчы" расейскі сегмент Інтэрнэту на выпадак, калі ўмоўныя ворагі захочуць нам яго адключыць. Але "добрымі намерамі выбрукаваная дарога ў пекла" - не зусім зразумела, ад каго нас збіраюцца абараняць і якім чынам "ворагі" ў прынцыпе могуць парушыць працу расійскага сегмента Інтэрнэту.
Для рэалізацыі гэтага сцэнарыя атакі павінны змовіцца ўсе краіны свету, перарэзаць усе трансгранічныя кабелі, збіць айчынныя спадарожнікі і стварыць пастаянныя радыёперашкоды.
Гучыць не вельмі праўдападобна.
Што такое "Medium"?
серада (Па-ангельску серада - «пасярэднік», арыгінальны слоган - Памятаеце, што ваша прывабасць. Take it back; таксама ў англійскай слова серада значыць «прамежкавы») - расійскі дэцэнтралізаваны інтэрнэт-правайдэр, які прадстаўляе паслугі доступу да сеткі на бязвыплатнай аснове.
Калі, дзе і навошта быў створаны "Medium"?
Першапачаткова праект задумваўся як в .
«Medium» утвораны ў красавіку 2019 года ў рамках стварэння незалежнага тэлекамунікацыйнага асяроддзя шляхам прадастаўлення канчатковым карыстальнікам доступу да рэсурсаў сеткі Yggdrasil праз выкарыстанне тэхналогіі бесправадной перадачы даных Wi-Fi.
Дзе я магу знайсці поўны пералік усіх кропак сеткі?Вы можаце знайсці яго ў .
Што такое Yggdrasil і чаму "Medium" выкарыстоўвае яго ў якасці асноўнага транспарту?
- Гэта самаарганізавальная , якая мае магчымасць падключэння роўтэраў як у рэжыме оверлея (па-над сеткай Інтэрнэт), так і непасрэдна адзін да аднаго праз правадное або бесправадное злучэнне.
Yggdrasil з'яўляецца працягам праекта . Галоўным адрозненнем Yggdrasil ад CjDNS з'яўляецца выкарыстанне пратакола (spanning tree protocol).
Па змаўчанні ўсе роўтэры сеткі выкарыстоўваюць для перадачы даных паміж іншымі ўдзельнікамі.
Выбар сеткі Yggdrasil як асноўнага транспарту быў абумоўлены патрэбай у павелічэнні хуткасці злучэння (да жніўня 2019 года «Medium» выкарыстоўваў ).
Пераход на Yggdrasil таксама даў удзельнікам праекта магчымасць пачаць разгортванне Mesh-сеткі з тапалогіяй Full-Mesh. Такая арганізацыя сеткі - самы дзейсны антыдот супраць цэнзуры.
Разбор палётаў: на якія граблі мы ўжо паспелі наступіць
«Вопыт - сын памылак цяжкіх». За час распрацоўкі "Medium" мы паспелі вырашыць мноства праблем, якія ўзнікалі на нашым шляху.
Памылка №1: інфраструктура адчыненых ключоў
Адной з галоўных праблем на момант праектавання сеткі была магчымасць правядзення . Трафік паміж роўтэрам аператара і прыладай кліента ніякім чынам не шыфраваўся, таму як расшыфроўка асноўнага трафіку рабілася непасрэдна на роўтары аператара.
Праблема заключалася ў тым, што за роўтэрам мог быць хто заўгодна - і нам вельмі не хацелася, каб гэты "нехта" мог слухаць усё, што атрымліваюць кліенты.
Першай нашай памылкай было ўвядзенне ў дзеянне (PKI).
Дзякуючы выкарыстанню 7 ўзроўню мы пазбавіліся ад нападаў тыпу MITM, але абзавяліся новай праблемай - неабходнасцю ўсталёўкі сертыфікатаў каранёвых якія сведчаць цэнтраў. А якія сведчаць цэнтры - гэта яшчэ адна лішняя праблема. Ключавое слова тут - "давер".
Ізноў трэба камусьці давяраць! А раптам цэнтр сертыфікацыі будзе скампраметаваны? Як нам падказвае таварыш Мэрфі, - рана ці позна які сведчыць цэнтр сапраўды скампраметуюць. І гэта - горкая праўда.
Мы доўга думалі над вырашэннем і гэтай праблемы і ў канчатковым выніку прыйшлі да высновы, што неабходнасці ў выкарыстанні PKI няма – дастаткова выкарыстоўваць .
Пасля ўнясення адпаведных карэктываў тапалогія сеткі "Medium" прыняла наступны выгляд:
Памылка №2: цэнтралізаваны DNS
Сістэма даменных імёнаў нам была неабходна з самага пачатку, таму як грувасткія IPv6-адрасы не тое, каб глядзеліся не вельмі - было няёмка іх выкарыстоўваць у гіперспасылках, ды і адсутнасць семантычнай складніку з'яўлялася вялікім нязручнасцю.
Мы стварылі некалькі каранёвых DNS-сервераў, якія захоўвалі ў сабе копію пераліку. , размешчанага ў .
Аднак праблема даверу нікуды не падзелася – падмену IPv6-адрасы на DNS-серверы яго аператар мог ажыццявіць у імгненне вока. Пры наяўнасці вызначанага спрыту - нават амаль неўзаметку для іншых.
Так як мы не выкарыстоўваем HTTPS і, у прыватнасці, тэхналогію , пры падмене адраса ў DNS можна было правесці напад падменай IPv6-адрасы канчатковага сервера без якіх-небудзь праблем.
Рашэнне не прымусіла сябе чакаць: мы вырашылі звярнуцца да выкарыстання тэхналогіі - Дэцэнтралізаванага DNS.
У нейкім сэнсе, EmerDNS падобны да файла hosts, дзе прысутнічаюць запісы аб усіх вядомых сайтах. Але ў адрозненне ад hosts:
- Кожны радок у EmerDNS можа мадыфікаваць толькі яе ўладальнік, і ніхто іншы
- Немагчымасць «умяшання бога (супер-адміна)» забяспечваецца кансенсусам майнераў
- Гэты файл ва ўсіх аднолькавы, што забяспечваецца механізмам рэплікацыі блокчейна.
- Да файла прыкладзены хуткі пошукавік
Крыніца:
Памылка №3: цэнтралізаванае ўсё
Першапачаткова слова «Інтэрнэт» мела на ўвазе пад сабой не што іншае, як interconnected networks або сетка сетак.
З часам Інтэрнэт перастаў асацыявацца ў людзей з нечым акадэмічным і стаў больш штодзённым паняццем, бо яго ўплыў шырока распаўсюдзіўся на жыццё звычайных людзей.
Гэта значыць, першапачаткова Інтэрнэт быў дэцэнтралізаваны. Цяпер гэта ўжо цяжка назваць дэцэнтралізацыяй, нягледзячы на тое, што канцэпцыя захавалася і па наш час - вось толькі самыя вялікія вузлы абмену трафікам кантралююць вялікія кампаніі. А вялікія кампаніі, у сваю чаргу, кантралюе дзяржаву.
Але вернемся да нашай праблемы - тэндэнцыю да цэнтралізацыі задаюць аператары асобных сэрвісаў накшталт сацыяльных сетак, сервераў электроннай пошты, месэнджараў і гэтак далей.
"Medium" у гэтым плане практычна нічым ад вялікага Інтэрнэту не адрозніваўся да цяперашняга часу – большасць сэрвісаў былі цэнтралізаваны і кантраляваліся асобнымі аператарамі.
Цяпер жа мы вырашылі ўзяць курс на поўную дэцэнтралізацыю – каб жыццёва важныя сэрвісы маглі працягваць працу па-за залежнасцю ад таго, ці давялося здарыцца збою на цэнтральным серверы аператара ці не.
У якасці сістэмы для імгненнага абмену паведамленнямі мы выкарыстоўваем . У якасці сацыяльных сетак - и . Для відэахостынгу .
Вядома, большасць сэрвісаў усё яшчэ цэнтралізаваны і па-ранейшаму кантралююцца асобнымі аператарамі, але галоўнае - гэта тое, што рух у бок поўнай дэцэнтралізацыі ёсць і яно адчуваецца ўсімі ўдзельнікамі супольнасці.
Свабодны Інтэрнэт у Расіі пачынаецца з Вас
Вы можаце аказаць пасільную дапамогу станаўленню вольнага Інтэрнэту ў Расіі ўжо сёння. Мы склалі вычарпальны пералік таго, чым менавіта вы можаце дапамагчы сеткі:
Раскажыце аб сетцы «Medium» сваім сябрам і калегам
Падзяліцеся на гэты артыкул у сацыяльных сетках або персанальным блогу
Прыміце ўдзел у абмеркаванні тэхнічных пытанняў сеткі "Medium"
Стварыце свой вэб-сэрвіс у сетцы
Падніміце сваю да сеткі "Medium"
Чытайце таксама:
Ёсць пытанні? Далучайцеся да абмеркавання ў Telegram: .
Невялікі прэзент для тых, хто дачытаў да канца
Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. , Калі ласка.
Альтэрнатыўнае галасаванне: нам важна ведаць меркаванне тых, хто не мае паўнапраўнага акаўнта на Хабры
-
↑
-
↓
Прагаласавалі 68 карыстальнікаў. Устрымаліся 16 карыстальнікаў.
Крыніца: habr.com