Střední týdenní přehled č. 5 (9. – 16. srpna 2019)
Fráze „národní bezpečnost“ slýcháme neustále, ale když vláda začne sledovat naši komunikaci a nahrává ji bez věrohodného podezření, právního základu a bez jakéhokoli zjevného účelu, musíme si položit otázku: zda skutečně chrání národní bezpečnost nebo chrání své vlastní?
- Edward Snowden
Účelem tohoto přehledu je zvýšit zájem Společenství o otázku soukromí, což ve světle nejnovější události stává aktuálnější než kdykoli předtím.
Na programu:
Nadšenci z komunity decentralizovaného poskytovatele internetu „Medium“ vytvářejí svůj vlastní vyhledávač
Medium zřídilo novou certifikační autoritu Medium Global Root CA. Koho se změny dotknou?
Bezpečnostní certifikáty pro každou domácnost - jak si vytvořit vlastní službu v síti Yggdrasil a vydat pro ni platný SSL certifikát
Připomeňte mi – co je to „střední“?
Střední (Česky Střední - "zprostředkovatel", původní slogan - Nežádejte o své soukromí. Vezmi to zpět; také v angličtině slovo střední znamená „střední“) - ruský decentralizovaný poskytovatel internetu poskytující služby přístupu k síti Yggdrasil zdarma.
Celé jméno: Střední poskytovatel internetových služeb. Původně byl projekt koncipován jako mesh síť в Městská část Kolomná.
Vznikla v dubnu 2019 jako součást vytvoření nezávislého telekomunikačního prostředí poskytováním přístupu koncovým uživatelům k síťovým zdrojům Yggdrasil pomocí technologie bezdrátového přenosu dat Wi-Fi.
Nadšenci z komunity decentralizovaného poskytovatele internetu „Medium“ vytvářejí svůj vlastní vyhledávač
Původně online Yggdrasil, kterou decentralizovaný poskytovatel internetových služeb Medium využívá jako transport, neměl vlastní DNS server ani infrastrukturu veřejných klíčů – tyto dva problémy však vyřešila nutnost vydávat bezpečnostní certifikáty pro síťové služby Medium.
Proč potřebujete PKI, když Yggdrasil po vybalení poskytuje možnost šifrovat provoz mezi peery?Pro připojení k webovým službám v síti Yggdrasil není nutné používat HTTPS, pokud se k nim připojujete prostřednictvím lokálně spuštěného síťového routeru Yggdrasil.
Opravdu: Přeprava Yggdrasilu je na stejné úrovni protokol umožňuje bezpečně využívat zdroje v rámci sítě Yggdrasil – schopnost dirigovat MITM útoky zcela vyloučeno.
Situace se radikálně změní, pokud k intranetovým zdrojům Yggdarsil nepřistupujete přímo, ale prostřednictvím mezilehlého uzlu – přístupového bodu střední sítě, který spravuje jeho operátor.
Kdo může v tomto případě kompromitovat přenášená data:
Operátor přístupového bodu. Je zřejmé, že současný provozovatel přístupového bodu sítě Medium dokáže odposlouchávat nešifrovaný provoz, který prochází jeho zařízením.
rozhodnutí: pro přístup k webovým službám v rámci sítě Yggdrasil použijte protokol HTTPS (úroveň 7 OSI modely). Problém je v tom, že není možné vydat pravý bezpečnostní certifikát pro síťové služby Yggdrasil konvenčními prostředky jako např Zašifrujeme.
Proto jsme založili vlastní certifikační centrum - "Střední globální kořenová CA". Naprostá většina služeb v síti Medium je podepsána kořenovým bezpečnostním certifikátem zprostředkující certifikační autority Medium Domain Validation Secure Server CA.
S možností kompromitace kořenového certifikátu certifikační autority se samozřejmě počítalo – zde je však certifikát spíše nutný pro potvrzení integrity přenosu dat a eliminaci možnosti MITM útoků.
Střední síťové služby od různých operátorů mají různé bezpečnostní certifikáty, tak či onak podepsané kořenovou certifikační autoritou. Operátoři kořenové CA však nejsou schopni odposlouchávat šifrovaný provoz ze služeb, kterým podepsali bezpečnostní certifikáty (viz "Co je CSR?").
Ti, kterým jde především o jejich bezpečnost, mohou jako doplňkovou ochranu použít takové prostředky, jako je kupř PGP и podobný.
V současné době má infrastruktura veřejného klíče sítě Medium možnost kontrolovat stav certifikátu pomocí protokolu OCSP nebo používáním C.R.L..
Dostaňte se k věci
ПоР»ÑŒÐ · овРn, Ðμл Noe @NXShock začal vyvíjet vyhledávač pro webové služby umístěné v síti Yggdrasil. Důležitým aspektem je skutečnost, že zjišťování IPv6 adres služeb při provádění vyhledávání se provádí odesláním požadavku na DNS server umístěný uvnitř sítě Medium.
Hlavní TLD je .ygg. Většina doménových jmen má tuto TLD, se dvěma výjimkami: .isp и .gg.
Vyhledávač je ve vývoji, ale jeho použití je možné již dnes – stačí navštívit web hledat.médium.isp.
Medium zřídilo novou certifikační autoritu Medium Global Root CA. Koho se změny dotknou?
Včera bylo dokončeno veřejné testování funkčnosti certifikačního centra Medium Root CA. V závěru testování byly opraveny chyby ve fungování služeb infrastruktury veřejných klíčů a byl vytvořen nový kořenový certifikát certifikační autority „Medium Global Root CA“.
Všechny nuance a vlastnosti PKI byly zohledněny - nyní bude nový certifikát CA „Medium Global Root CA“ vydán až o deset let později (po datu vypršení platnosti). Nyní bezpečnostní certifikáty vydávají pouze zprostředkující certifikační autority – například „Medium Domain Validation Secure Server CA“.
Jak nyní vypadá řetězec důvěryhodnosti certifikátů?
Co je třeba udělat, aby vše fungovalo, pokud jste uživatel:
Protože některé služby používají HSTS, musíte před použitím středních síťových prostředků odstranit data ze středních intranetových prostředků. Můžete to udělat na kartě Historie vašeho prohlížeče.
Co je třeba udělat, aby vše fungovalo, pokud jste systémový operátor:
Musíte znovu vydat certifikát pro vaši službu na stránce pki.medium.isp (služba je dostupná pouze v síti Medium).
Bezpečnostní certifikáty pro každou domácnost - jak si vytvořit vlastní službu v síti Yggdrasil a vydat pro ni platný SSL certifikát
Vzhledem k růstu počtu intranetových služeb v síti Medium vzrostla potřeba vydávat nové bezpečnostní certifikáty a konfigurovat jejich služby tak, aby podporovaly SSL.
Vzhledem k tomu, že Habr je technický zdroj, v každém novém přehledu jeden z bodů programu odhalí technické vlastnosti infrastruktury sítě Medium. Níže jsou například uvedeny podrobné pokyny pro vydání certifikátu SSL pro vaši službu.
V příkladech bude uveden název domény doména.ygg, který musí být nahrazen názvem domény vaší služby.
Krok 1. Vygenerujte soukromý klíč a parametry Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Krok 3. Odešlete žádost o certifikát
Chcete-li to provést, zkopírujte obsah souboru doména.ygg.csr a vložte jej do textového pole na webu pki.medium.isp.
Postupujte podle pokynů uvedených na webu a poté klikněte na „Odeslat“. V případě úspěchu bude na vámi zadanou e-mailovou adresu odeslána zpráva s přílohou ve formě certifikátu podepsaného zprostředkující certifikační autoritou.
Krok 4. Nastavte si webový server
Pokud jako webový server používáte nginx, použijte následující konfiguraci:
Soubor domain.ygg.conf v adresáři /etc/nginx/sites-available/
Certifikát, který jste obdrželi e-mailem, je třeba zkopírovat na adresu: /etc/ssl/certs/domain.ygg.crt. Soukromý klíč (doména.ygg.key) umístěte jej do adresáře /etc/ssl/private/.
Krok 5. Restartujte webový server
sudo service nginx restart
Internet zdarma v Rusku začíná u vás
Dnes můžete poskytnout veškerou možnou pomoc při zřízení bezplatného internetu v Rusku. Sestavili jsme úplný seznam toho, jak přesně můžete síti pomoci:
Řekněte svým přátelům a kolegům o střední síti. Podíl reference k tomuto článku na sociálních sítích nebo osobním blogu
Zúčastněte se diskuse o technických problémech v síti Medium na GitHub
Vytvořte svou webovou službu v síti Yggdrasil a přidejte ji do DNS střední sítě