🥇Τι πρέπει να δημιουργήσουμε το Mesh: πώς ο αποκεντρωμένος πάροχος Διαδικτύου "Medium" φτιάχνει ένα νέο Διαδίκτυο με βάση το Yggdrasil

Χαιρετισμούς

Σίγουρα δεν θα είναι μεγάλα νέα για εσάς αυτό "Sovereign Runet" είναι προ των πυλών - ο νόμος τίθεται ήδη σε ισχύ 1 Νοέμβριο φέτος.

Δυστυχώς, το πώς θα λειτουργήσει (και αν θα λειτουργήσει;) δεν είναι απολύτως σαφές: ακριβείς οδηγίες για τους τηλεπικοινωνιακούς φορείς δεν είναι ακόμη διαθέσιμες στο κοινό. Επίσης δεν υπάρχουν μέθοδοι, πρόστιμα, σχέδια, κατανομή ευθυνών και ευθυνών – υπάρχει απλώς δήλωση.

Παρόμοια κατάσταση παρατηρήθηκε σχετικά με την εφαρμογή των σχεδίων για τον «Νόμο Yarovaya» - ο εξοπλισμός για τον νόμο δεν αναπτύχθηκε εγκαίρως και οι κορυφαίοι τηλεπικοινωνιακοί φορείς της χώρας αναγκάστηκαν να επικοινωνήσουν επανειλημμένα με πιθανούς κατασκευαστές εξειδικευμένου εξοπλισμού με σχετικές ερωτήσεις. Ωστόσο, δεν έλαβαν απάντηση ούτε για πληροφορίες σχετικά με τον εξοπλισμό ούτε για τα ίδια τα δείγματα.

Το κυριότερο όμως δεν είναι πόσο σύντομα θα τεθεί σε ισχύ ο νόμος και ποιες αλλαγές μας περιμένουν. Το κυριότερο είναι ότι χάρη στην εισαγωγή αυτού του νομοσχεδίου, η κοινότητα των ενθουσιωδών ξεκίνησε την ανάπτυξη ενός ανεξάρτητου τηλεπικοινωνιακού περιβάλλοντος στη χώρα μας.

Σήμερα θα μιλήσω για το τι έχουμε ήδη κάνει, τι πρόκειται να κάνουμε στο εγγύς μέλλον και ποιες δυσκολίες και προβλήματα αντιμετωπίσαμε στην πορεία ανάπτυξης του έργου.

Τι αφορά ο νόμος;

Πριν προχωρήσω στο τεχνικό μέρος του έργου μας, πρέπει να κάνω μια επιφύλαξη σχετικά με το τι είναι ο νόμος "On the Sovereign Runet".

Εν ολίγοις: οι αρχές θέλουν να «ασφαλίσουν» το ρωσικό τμήμα του Διαδικτύου σε περίπτωση που οι αντιληπτοί εχθροί μας θέλουν να το κλείσουν. Αλλά "ο δρόμος προς την κόλαση είναι στρωμένος με καλές προθέσεις" - δεν είναι απολύτως σαφές από ποιον θα μας προστατεύσουν και πώς οι "εχθροί", κατ 'αρχήν, μπορούν να διαταράξουν το έργο του ρωσικού τμήματος του Διαδικτύου.

Για να υλοποιηθεί αυτό το σενάριο επίθεσης, όλες οι χώρες στον κόσμο πρέπει να συνωμοτήσουν, να κόψουν όλα τα διασυνοριακά καλώδια, να καταρρίψουν εγχώριους δορυφόρους και να δημιουργήσουν συνεχείς ραδιοπαρεμβολές.

Δεν ακούγεται πολύ εύλογο.

Τι είναι το Medium;

Μέτριας Δυσκολίας (Αγγλικά Μέτριας Δυσκολίας - «ενδιάμεσος», πρωτότυπο σύνθημα - Μην ζητάτε την ιδιωτικότητά σας. Πάρ'το πίσω; επίσης στα αγγλικά η λέξη medium σημαίνει "ενδιάμεσο") - ένας ρωσικός αποκεντρωμένος πάροχος Διαδικτύου που παρέχει υπηρεσίες πρόσβασης στο δίκτυο Yggdrasil δωρεάν.

Πότε, πού και γιατί δημιουργήθηκε το Medium;

Αρχικά το έργο σχεδιάστηκε ως δίκτυο πλέγματος в αστική συνοικία Κολόμνα.

Το «Medium» δημιουργήθηκε τον Απρίλιο του 2019 ως μέρος της δημιουργίας ενός ανεξάρτητου τηλεπικοινωνιακού περιβάλλοντος παρέχοντας στους τελικούς χρήστες πρόσβαση στους πόρους του δικτύου Yggdrasil μέσω της χρήσης της τεχνολογίας ασύρματης μετάδοσης δεδομένων Wi-Fi.

Πού μπορώ να βρω μια πλήρη λίστα με όλα τα σημεία δικτύου;Μπορείτε να το βρείτε σε αποθετήρια στο GitHub.

Τι είναι το Yggdrasil και γιατί το Medium το χρησιμοποιεί ως κύριο μέσο μεταφοράς του;

Yggdrasil είναι μια αυτοοργάνωση δίκτυο πλέγματος, που έχει τη δυνατότητα σύνδεσης δρομολογητών τόσο σε λειτουργία επικάλυψης (πάνω από το Διαδίκτυο) όσο και απευθείας μεταξύ τους μέσω ενσύρματης ή ασύρματης σύνδεσης.

Το Yggdrasil αποτελεί συνέχεια του έργου CjDNS. Η κύρια διαφορά μεταξύ του Yggdrasil και του CjDNS είναι η χρήση του πρωτοκόλλου STP (περιεκτικό πρωτόκολλο δέντρου).

Από προεπιλογή, όλοι οι δρομολογητές στο δίκτυο χρησιμοποιούν κρυπτογράφηση από άκρο σε άκρο για τη μεταφορά δεδομένων μεταξύ άλλων συμμετεχόντων.

Η επιλογή του δικτύου Yggdrasil ως κύριας μεταφοράς οφειλόταν στην ανάγκη αύξησης της ταχύτητας σύνδεσης (μέχρι τον Αύγουστο 2019, Medium used I2P).

Η μετάβαση στο Yggdrasil έδωσε επίσης στους συμμετέχοντες του έργου την ευκαιρία να ξεκινήσουν την ανάπτυξη ενός δικτύου Mesh με τοπολογία Full-Mesh. Μια τέτοια οργάνωση δικτύου είναι το πιο αποτελεσματικό αντίδοτο ενάντια στη λογοκρισία.

Απολογισμός: ποια λάθη έχουμε ήδη κάνει;

«Η εμπειρία είναι ο γιος των δύσκολων λαθών». Κατά την ανάπτυξη του Medium, καταφέραμε να επιλύσουμε πολλά προβλήματα που προέκυψαν στην πορεία.

Λάθος #1: Υποδομή δημόσιου κλειδιού

Ένα από τα κύρια προβλήματα την εποχή του σχεδιασμού του δικτύου ήταν η δυνατότητα πραγματοποίησης Επιθέσεις MITM. Η κίνηση μεταξύ του δρομολογητή του χειριστή και της συσκευής του πελάτη δεν κρυπτογραφήθηκε με κανέναν τρόπο, επειδή η κύρια κίνηση αποκρυπτογραφήθηκε απευθείας στο δρομολογητή του χειριστή.

Το πρόβλημα ήταν ότι οποιοσδήποτε μπορούσε να βρίσκεται πίσω από το δρομολογητή - και πραγματικά δεν θέλαμε αυτός ο «κάποιος» να μπορεί να ακούει όλα όσα λάμβαναν οι πελάτες.

Το πρώτο μας λάθος ήταν η εισαγωγή υποδομές δημόσιου κλειδιού (PKI).

Χάρη στη χρήση του επιπέδου 7 Μοντέλο δικτύου OSI Ξεφορτωθήκαμε τις επιθέσεις τύπου MITM, αλλά αποκτήσαμε ένα νέο πρόβλημα - την ανάγκη εγκατάστασης πιστοποιητικών από αρχές πιστοποίησης root. Και τα κέντρα πιστοποίησης είναι άλλο ένα περιττό πρόβλημα. Η λέξη κλειδί εδώ είναι «εμπιστοσύνη».

Πρέπει να εμπιστευτείς ξανά κάποιον! Τι γίνεται εάν η αρχή έκδοσης πιστοποιητικών παραβιαστεί; Όπως μας λέει ο σύντροφος Murphy, αργά ή γρήγορα η αρχή πιστοποίησης θα τεθεί σε κίνδυνο. Και αυτή είναι η πικρή αλήθεια.

Σκεφτήκαμε για πολύ καιρό να λύσουμε αυτό το πρόβλημα και τελικά καταλήξαμε στο συμπέρασμα ότι δεν χρειάζεται να χρησιμοποιήσετε PKI - αρκεί να χρησιμοποιήσετε Εγγενής κρυπτογράφηση Yggdrasil.

Αφού έγιναν οι κατάλληλες προσαρμογές, η τοπολογία του δικτύου «Μεσαίο» πήρε την ακόλουθη μορφή:

Λάθος #2: Κεντρικό DNS

Χρειαζόμασταν ένα σύστημα ονομάτων τομέα από την αρχή, επειδή οι δυσκίνητες διευθύνσεις IPv6 όχι μόνο δεν έμοιαζαν καλές αλλά ήταν άβολο να τις χρησιμοποιήσουμε σε υπερσυνδέσμους και η έλλειψη σημασιολογικού στοιχείου ήταν μεγάλη ταλαιπωρία.

Δημιουργήσαμε αρκετούς ριζικούς διακομιστές DNS που αποθηκεύουν ένα αντίγραφο της λίστας Ρεκόρ ΑΑΑΑ, που βρίσκεται στην αποθετήρια στο GitHub.

Ωστόσο, το πρόβλημα της εμπιστοσύνης δεν έχει εξαφανιστεί - ο χειριστής θα μπορούσε να αντικαταστήσει τη διεύθυνση IPv6 στον διακομιστή DNS εν ριπή οφθαλμού. Εάν έχετε μια συγκεκριμένη επιδεξιότητα, είναι ακόμη και σχεδόν ανεπαίσθητη από τους άλλους.

Δεδομένου ότι δεν χρησιμοποιούμε HTTPS και, ειδικότερα, τεχνολογία HSTS, κατά την πλαστογράφηση της διεύθυνσης στο DNS, ήταν δυνατό να πραγματοποιηθεί μια επίθεση πλαστογραφώντας τη διεύθυνση IPv6 του τελικού διακομιστή χωρίς κανένα πρόβλημα.

Η λύση δεν άργησε να έρθει: αποφασίσαμε να καταφύγουμε στη χρήση της τεχνολογίας EmerDNS — αποκεντρωμένο DNS.

Κατά μία έννοια, το EmerDNS είναι παρόμοιο με ένα αρχείο hosts, όπου υπάρχουν καταχωρήσεις για όλους τους γνωστούς ιστότοπους. Αλλά σε αντίθεση με τους οικοδεσπότες:

Κάθε γραμμή στο EmerDNS μπορεί να τροποποιηθεί μόνο από τον κάτοχό της και κανέναν άλλο
Η αδυναμία «παρέμβασης του Θεού (υπερ-διαχειριστή)» διασφαλίζεται από τη συναίνεση των ανθρακωρύχων
Αυτό το αρχείο είναι το ίδιο για όλους, κάτι που διασφαλίζεται από τον μηχανισμό αναπαραγωγής blockchain
Μια μηχανή γρήγορης αναζήτησης περιλαμβάνεται στο αρχείο.

Πηγή: "EmerDNS - μια εναλλακτική στο DNSSEC"

Λάθος #3: Συγκεντρώνοντας τα πάντα

Αρχικά, η λέξη «Διαδίκτυο» δεν σήμαινε τίποτα περισσότερο από διασυνδεδεμένα δίκτυα ή δίκτυο δικτύων.

Με τον καιρό, οι άνθρωποι σταμάτησαν να συνδέουν το Διαδίκτυο με κάτι ακαδημαϊκό και έγιναν μια πιο καθημερινή έννοια, καθώς η επιρροή του εξαπλώθηκε ευρέως στη ζωή των απλών ανθρώπων.

Δηλαδή, αρχικά το Διαδίκτυο ήταν αποκεντρωμένο. Σήμερα δύσκολα μπορεί να ονομαστεί αποκέντρωση, παρά το γεγονός ότι η ιδέα έχει επιβιώσει μέχρι σήμερα - μόνο οι μεγαλύτεροι κόμβοι ανταλλαγής κίνησης ελέγχονται από μεγάλες εταιρείες. Και οι μεγάλες εταιρείες, με τη σειρά τους, ελέγχονται από το κράτος.

Αλλά ας επιστρέψουμε στο πρόβλημά μας - η τάση προς τη συγκέντρωση καθορίζεται από τους φορείς εκμετάλλευσης μεμονωμένων υπηρεσιών, όπως τα κοινωνικά δίκτυα, οι διακομιστές ηλεκτρονικού ταχυδρομείου, οι άμεσοι αγγελιοφόροι κ.λπ.

Το "Medium" από αυτή την άποψη ουσιαστικά δεν διέφερε από το μεγάλο Διαδίκτυο μέχρι τώρα - οι περισσότερες υπηρεσίες ήταν κεντρικές και ελέγχονταν από μεμονωμένους παρόχους.

Τώρα αποφασίσαμε να ορίσουμε μια πορεία για την πλήρη αποκέντρωση - έτσι ώστε οι ζωτικές υπηρεσίες να μπορούν να συνεχίσουν να λειτουργούν ανεξάρτητα από το εάν υπάρχει βλάβη στον κεντρικό διακομιστή του χειριστή ή όχι.

Ως σύστημα άμεσων μηνυμάτων που χρησιμοποιούμε Μήτρα. Ως κοινωνικά δίκτυα - Μαστόδοντας и hubzilla. Για φιλοξενία βίντεο - PeerTube.

Φυσικά, οι περισσότερες υπηρεσίες εξακολουθούν να είναι κεντρικές και να ελέγχονται ακόμη από μεμονωμένους φορείς εκμετάλλευσης, αλλά το κυριότερο είναι ότι υπάρχει μια κίνηση προς την πλήρη αποκέντρωση και γίνεται αισθητή σε όλα τα μέλη της κοινότητας.

Το δωρεάν Διαδίκτυο στη Ρωσία ξεκινά από εσάς

Μπορείτε να παρέχετε κάθε δυνατή βοήθεια για τη δημιουργία ενός δωρεάν Διαδικτύου στη Ρωσία σήμερα. Έχουμε συντάξει μια ολοκληρωμένη λίστα με τον τρόπο με τον οποίο ακριβώς μπορείτε να βοηθήσετε το δίκτυο:

       Ενημερώστε τους φίλους και τους συναδέλφους σας για το δίκτυο Medium
       Μερίδιο αναφοράς σε αυτό το άρθρο σε κοινωνικά δίκτυα ή προσωπικό ιστολόγιο
       Λάβετε μέρος στη συζήτηση τεχνικών θεμάτων στο δίκτυο Medium στο GitHub
       Δημιουργήστε την διαδικτυακή σας υπηρεσία Yggdrasil
       Σήκωσε το σημείο πρόσβασης στο δίκτυο Medium

Δείτε επίσης:

δεν έχω τίποτα να κρύψω
Όλα όσα θέλατε να μάθετε για τον αποκεντρωμένο πάροχο Διαδικτύου Medium, αλλά φοβηθήκατε να ρωτήσετε
Αγάπη μου, σκοτώνουμε το Διαδίκτυο

Έχετε ερωτήσεις; Λάβετε μέρος στη συζήτηση στο Telegram: @medium_general.

Ένα μικρό δώρο για όσους διαβάζουν μέχρι το τέλος

Μόνο εγγεγραμμένοι χρήστες μπορούν να συμμετάσχουν στην έρευνα. Συνδεθείτε, Σας παρακαλούμε.

Εναλλακτική ψηφοφορία: είναι σημαντικό για εμάς να γνωρίζουμε τη γνώμη όσων δεν έχουν πλήρη λογαριασμό στο Habré

Ψήφισαν 68 χρήστες. 16 χρήστες απείχαν.

Πηγή: www.habr.com

Τι πρέπει να δημιουργήσουμε Mesh: πώς ο αποκεντρωμένος πάροχος Διαδικτύου "Medium" φτιάχνει ένα νέο Διαδίκτυο με βάση το Yggdrasil