Цензура рассматривает мир как семантическую систему, в которой информация — единственная реальность, и то, о чём не написано, того и не существует.
— Михаил Геллер
Данный дайджест призван повысить интерес Сообщества к проблеме приватности, которая в свете становится как никогда прежде актуальной.
На повестке дня:
- «Medium» полностью переходит на
- «Medium» создаёт свой DNS внутри сети Yggdrasil
- «Medium» вводит возможность автоматической выдачи сертификатов, подписанных
Напомните мне — что такое «Medium»?
Medium (англ. Medium — «посредник», оригинальный слоган — Don’t ask for your privacy. Take it back; также в английском слово medium значит «промежуточный») — российский децентрализованный интернет-провайдер, предоставляющий услуги доступа к сети на безвозмездной основе.
Полное наименование — Medium Internet Service Provider. Изначально проект задумывался как в .
Образован в апреле 2019 года в рамках создания независимой телекоммуникационной среды путём предоставления конечным пользователям доступа к ресурсам сети Yggdrasil посредством использования технологии беспроводной передачи данных Wi-Fi.
«Medium» полностью переходит на Yggdrasil
— это самоорганизующаяся , имеющая возможность подключения роутеров как в режиме оверлея (поверх сети Интернет), так и непосредственно друг к другу через проводное или беспроводное соединение.
Yggdrasil является продолжением проекта . Главным отличием Yggdrasil от CjDNS является использование протокола (spanning tree protocol).
По умолчанию все роутеры сети используют для передачи данных между другими участниками.
Решение перехода всех точек доступа сети «Medium» с I2P на Yggdrasil было обусловлено потребностью в увеличении скорости соединения и возможностью развёртывания Mesh-сети с топологией Full-Mesh.
«Medium» создаёт свой DNS внутри сети Yggdrasil
Изначально в сети Yggdrasil не было централизованного сервера доменных имён, который бы мог позволить участникам сети обращаться к наиболее часто посещаемым ресурсам в более простой и привычной форме (в отличие от использовании IPv6-адреса конкретного сервера).
Мы в «Medium» решили вдохнуть жизнь в эту идею — и, забегая немного вперёд, — у нас всё получилось!
Регистрация доменных имён происходит в автоматическом режиме — достаточно просто указать IPv6-адрес сервера, на котором запущен сервис. Робот проверит, действительно ли этот адрес принадлежит человеку, осуществляющему попытку регистрации доменного имени.
В случае успеха доменное имя будет добавлено в базу данных доменных имён в течение 24 часов. В случае, если сервер перестанет отвечать роботу и будет недоступен более 72 часов, доменное имя будет освобождено.
Копия полного переченя зарегистрированных доменных имён находится в .
«Medium» вводит возможность автоматической выдачи сертификатов, подписанных «Medium Root CA»
Создание сервера доменных имён было также обусловлено необходимостью развёртывания инфраструктуры открытых ключей — для того, чтобы выпустить сертификат, необходимо наличие в нём поля CN (Common Name), являющее собой доменное имя, для которого выпускается сертификат.
Процедура выпуска подписанных удостоверяющим центром сертификатов происходит в автоматическом режиме — робот проверяет корректность и подлинность введённых пользователем данных. В случае успеха конечному пользователю направляется электронное письмо, включающее в себя подписанный сертификат.
Чем обусловлено использование HTTPS в сети Yggdrasil?
Нет никакой необходимости использовать протокол HTTPS для соединения с веб-сервисами в сети Yggdrasil, если вы подключаетесь к ним через локально работающий роутер сети Yggdrasil.
Действительно: транспорт Yggdrasil на уровне позволяет безопасно использовать ресурсы внутри сети Yggdrasil — возможность проведения полностью исключена.
Ситуация в корне меняется, если вы получаете доступ к внутрисетевым ресурсам Yggdarsil не напрямую, а через промежуточный узел — точку доступа сети «Medium», которую администрирует её оператор.
Кто в таком случае может скомпрометировать данные, которые вы передаёте:
- Оператор точки доступа. Очевидно, что действующий оператор точки доступа сети «Medium» может прослушивать незашифрованный трафик, который проходит через его оборудование.
- Злоумышленник (). «Medium» имеет проблему, схожую с , только в отношении входных и промежуточных узлов.
Вот так это дело выглядит
Решение: для доступа к веб-сервисам внутри сети Yggdrasil использовать протокол HTTPS (7 уровень ). Проблема заключается в том, что для сервисов сети Yggdrasil невозможно выпустить подлинный сертификат безопасности обычными средствами, такими как .
Поэтому мы учредили собственный центр сертификации — . Все сервисы сети «Medium» подписаны корневым сертификатом безопасности этого центра сертификации.
Возможность компрометации корневого сертификата центра сертификации, безусловно, была принята во внимание — но здесь сертификат больше необходим для подтверждения целостности при передачи данных и исключения возможности проведения MITM-атак.
Сервисы сети «Medium» от разных операторов имеют разные сертификаты безопасности, так или иначе подписанные корневым удостоверяющим центром. Однако операторы корневого удостоверяющего центра не имеют возможности прослушивать зашифрованный трафик сервисов, которым они подписали сертификаты безопасности (см. ).
Те, кто особо печётся о своей безопасности, может использовать в качестве дополнительной защиты такие средства, как и .
В данный момент инфраструктура открытых ключей сети «Medium» имеет возможность проверки статуса сертификата по протоколу или посредством использования .
Свободный Интернет в России начинается с Вас
Вы можете оказать посильную помощь становлению свободного Интернета в России уже сегодня. Мы составили исчерпывающий перечень того, чем именно вы можете помочь сети:
- Расскажите о сети «Medium» своим друзьям и коллегам. Поделитесь на эту статью в социальных сетях или персональном блоге
- Примите участие в обсуждении технических вопросов сети «Medium»
- Создайте свой веб-сервис в сети Yggdrasil и добавьте его в
- Поднимите свою к сети «Medium»
Предыдущие выпуски:
Читайте также:
Мы в Telegram:
Только зарегистрированные пользователи могут участвовать в опросе. , пожалуйста.
Альтернативное голосование: нам важно знать мнение тех, кто не имеет полноправного аккаунта на Хабре
↑
↓
Проголосовали 8 пользователей. Воздержались 3 пользователя.
Источник: habr.com
