Цэнзура разглядае свет як семантычную сістэму, у якой інфармацыя - адзіная рэальнасць, і тое, пра што не напісана, таго і не існуе.
- Міхаіл Гелер
Дадзены дайджэст закліканы павысіць цікавасць Супольнасці да праблемы прыватнасці, якая ў святле становіцца як ніколі раней актуальнай.
На парадку дня:
- "Medium" цалкам пераходзіць на
- "Medium" стварае свой DNS ўнутры сеткі Yggdrasil
- "Medium" уводзіць магчымасць аўтаматычнай выдачы сертыфікатаў, падпісаных
Нагадайце мне - што такое "Medium"?
серада (Па-ангельску серада - «пасярэднік», арыгінальны слоган - Памятаеце, што ваша прывабасць. Take it back; таксама ў англійскай слова серада значыць «прамежкавы») - расійскі дэцэнтралізаваны інтэрнэт-правайдэр, які прадстаўляе паслугі доступу да сеткі на бязвыплатнай аснове.
Поўнае найменне - Medium Internet Service Provider. Першапачаткова праект задумваўся як в .
Утвораны ў красавіку 2019 года ў рамках стварэння незалежнага тэлекамунікацыйнага асяроддзя шляхам прадастаўлення канчатковым карыстальнікам доступу да рэсурсаў сеткі Yggdrasil праз выкарыстанне тэхналогіі бесправадной перадачы даных Wi-Fi.
"Medium" цалкам пераходзіць на Yggdrasil
- Гэта самаарганізавальная , якая мае магчымасць падключэння роўтэраў як у рэжыме оверлея (па-над сеткай Інтэрнэт), так і непасрэдна адзін да аднаго праз правадное або бесправадное злучэнне.
Yggdrasil з'яўляецца працягам праекта . Галоўным адрозненнем Yggdrasil ад CjDNS з'яўляецца выкарыстанне пратакола (spanning tree protocol).
Па змаўчанні ўсе роўтэры сеткі выкарыстоўваюць для перадачы даных паміж іншымі ўдзельнікамі.
Рашэнне пераходу ўсіх кропак доступу сеткі "Medium" з I2P на Yggdrasil было абумоўлена патрэбай у павелічэнні хуткасці злучэння і магчымасцю разгортвання Mesh-сеткі з тапалогіяй Full-Mesh.
"Medium" стварае свой DNS ўнутры сеткі Yggdrasil
Першапачаткова ў сетцы Yggdrasil не было цэнтралізаванага сервера даменных імёнаў, які б мог дазволіць удзельнікам сеткі звяртацца да найболей часта наведвальных рэсурсаў у прасцейшай і звыклай форме (у адрозненне ад выкарыстанні IPv6-адрасы пэўнага сервера).
Мы ў «Medium» вырашылі ўдыхнуць жыццё ў гэтую ідэю — і, забягаючы крыху наперад, — у нас усё атрымалася!
Рэгістрацыя даменных імёнаў адбываецца ў аўтаматычным рэжыме - досыць проста паказаць IPv6-адрас сервера, на якім запушчаны сэрвіс. Робат праверыць, ці сапраўды гэты адрас належыць чалавеку, які ажыццяўляе спробу рэгістрацыі даменнага імя.
У выпадку поспеху даменнае імя будзе дададзена ў базу даных даменных імёнаў на працягу 24 гадзін. У выпадку, калі сервер перастане адказваць робату і будзе недаступны больш за 72 гадзін, даменнае імя будзе вызвалена.
Копія поўнага пераліку зарэгістраваных даменных імёнаў знаходзіцца ў .
"Medium" уводзіць магчымасць аўтаматычнай выдачы сертыфікатаў, падпісаных "Medium Root CA"
Стварэнне сервера даменных імёнаў было таксама абумоўленае неабходнасцю разгортвання інфраструктуры адчыненых ключоў - для таго, каб выпусціць сертыфікат, неабходна наяўнасць у ім поля CN (Common Name), якое ўяўляе сабой даменнае імя, для якога выпускаецца сертыфікат.
Працэдура выпуску падпісаных які сведчыць цэнтрам сертыфікатаў адбываецца ў аўтаматычным рэжыме – робат правярае карэктнасць і сапраўднасць уведзеных карыстачом дадзеных. У выпадку поспеху канчатковаму карыстачу накіроўваецца электронны ліст, які ўключае ў сябе падпісаны сертыфікат.
Чым абумоўлена выкарыстанне HTTPS у сетцы Yggdrasil?
Няма ніякай неабходнасці выкарыстоўваць пратакол HTTPS для злучэння з вэб-сэрвісамі ў сетцы Yggdrasil, калі вы падлучаецеся да іх праз лакальна які працуе роўтар сеткі Yggdrasil.
Сапраўды: транспарт Yggdrasil на ўзроўні дазваляе бяспечна выкарыстоўваць рэсурсы ўнутры сеткі Yggdrasil - магчымасць правядзення цалкам выключана.
Сітуацыя ў корані змяняецца, калі вы атрымліваеце доступ да ўнутрысеткавых рэсурсаў Yggdarsil не напрамую, а праз прамежкавы вузел – кропку доступу сеткі "Medium", якую адмініструе яе аператар.
Хто ў такім выпадку можа скампраметаваць дадзеныя, якія вы перадаеце:
- Аператар кропкі доступу. Відавочна, што дзейны аператар кропкі доступу сеткі "Medium" можа праслухоўваць незашыфраваны трафік, які праходзіць праз яго абсталяванне.
- Зламыснік (). "Medium" мае праблему, падобную з , толькі ў дачыненні да ўваходных і прамежкавых вузлоў.
Вось так гэтая справа выглядае
рашэнне: для доступу да вэб-сэрвісаў унутры сеткі Yggdrasil выкарыстоўваць пратакол HTTPS (7 ўзровень ). Праблема ў тым, што для сэрвісаў сеткі Yggdrasil немагчыма выпусціць сапраўдны сертыфікат бяспекі звычайнымі сродкамі, такімі як .
Таму мы заснавалі ўласны цэнтр сертыфікацыі. . Усе сэрвісы сеткі "Medium" падпісаны каранёвым сертыфікатам бяспекі гэтага цэнтра сертыфікацыі.
Магчымасць кампраметацыі каранёвага сертыфіката цэнтра сертыфікацыі, безумоўна, была прынята да ўвагі – але тут сертыфікат больш неабходзен для пацверджання цэласнасці пры перадачы дадзеных і выключэнні магчымасці правядзення MITM-нападаў.
Сэрвісы сеткі "Medium" ад розных аператараў маюць розныя сертыфікаты бяспекі, так ці інакш падпісаныя каранёвым які сведчыць цэнтрам. Аднак аператары каранёвага які сведчыць цэнтра не маюць магчымасці праслухоўваць зашыфраваны трафік сэрвісаў, якім яны падпісалі сертыфікаты бяспекі (гл. ).
Тыя, хто асабліва клапоціцца аб сваёй бяспецы, могуць выкарыстоўваць у якасці дадатковай абароны такія сродкі, як и .
У дадзены момант інфраструктура адкрытых ключоў сеткі "Medium" мае магчымасць праверкі статусу сертыфіката па пратаколе. або з дапамогай выкарыстання .
Свабодны Інтэрнэт у Расіі пачынаецца з Вас
Вы можаце аказаць пасільную дапамогу станаўленню вольнага Інтэрнэту ў Расіі ўжо сёння. Мы склалі вычарпальны пералік таго, чым менавіта вы можаце дапамагчы сеткі:
- Раскажыце аб сетцы «Medium» сваім сябрам і калегам. Падзяліцеся на гэты артыкул у сацыяльных сетках або персанальным блогу
- Прыміце ўдзел у абмеркаванні тэхнічных пытанняў сеткі "Medium"
- Стварыце свой вэб-сэрвіс у сетцы Yggdrasil і дадайце яго ў
- Падніміце сваю да сеткі "Medium"
Папярэднія выпускі:
Чытайце таксама:
Мы ў Telegram:
Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. , Калі ласка.
Альтэрнатыўнае галасаванне: нам важна ведаць меркаванне тых, хто не мае паўнапраўнага акаўнта на Хабры
-
↑
-
↓
Прагаласавалі 8 карыстальнікаў. Устрымаліся 3 карыстальніка.
Крыніца: habr.com