Alles wat jo witte woene oer de desintralisearre ynternetprovider "Medium", mar wiene bang om te freegjen

Goeiemiddei, Mienskip!

Myn namme is Yanislav Basyuk. Ik bin de koördinator fan de publike organisaasje "Medium".

Yn dit artikel haw ik besocht de meast wiidweidige ynformaasje te sammeljen oer wat dit wurket op it grûngebiet fan 'e Russyske Federaasje. desintralisearre ynternetprovider.

Ik sil sizze:

       Wat is Medium?
       Wat is Yggdrasil en wêrom Medium it brûkt as syn wichtichste ferfier
       Hoe kinne jo de omjouwing goed ynstelle om de middels fan it Medium netwurk te brûken

Wat is Medium?

medium (eng. medium - "intermediair", orizjinele slogan - Freegje net om jo privacy. Nim it werom; ek yn it Ingelsk it wurd medium betsjut "tusken") - in Russyske desintralisearre ynternetprovider dy't tsjinsten foar netwurk tagong leveret Yggdrasil fergees.

Wannear, wêr en wêrom is Medium makke?

Yn it earstoan waard it projekt betocht as mesh netwurk в Kolomna stedske distrikt.

"Medium" waard foarme yn april 2019 as ûnderdiel fan 'e skepping fan in ûnôfhinklike telekommunikaasjeomjouwing troch ein brûkers tagong te jaan ta Yggdrasil-netwurkboarnen troch it brûken fan Wi-Fi draadloze gegevensferfiertechnology.

Wêr kin ik fine in folsleine list fan alle netwurk punten?Jo kinne it fine yn repositories op GitHub.

Wat is Yggdrasil en wêrom brûkt Medium it as haadferfier?

Yggdrasil is in selsorganisearjend mesh netwurk, dy't de mooglikheid hat om routers te ferbinen sawol yn overlay-modus (boppe op it ynternet) en direkt mei elkoar fia in bedrade of draadloze ferbining.

Yggdrasil is in fuortsetting fan it projekt CjDNS. It wichtichste ferskil tusken Yggdrasil en CjDNS is it gebrûk fan it protokol STP (spanningsbeamprotokol).

Standert brûke alle routers op it netwurk end-to-end fersifering om gegevens oer te dragen tusken oare dielnimmers.

De kar foar it Yggdrasil-netwurk as haadferfier wie te tankjen oan de needsaak om ferbiningssnelheid te ferheegjen (oant augustus 2019, Medium brûkt I2P).

De oergong nei Yggdrasil joech ek projektdielnimmers de kâns om te begjinnen mei it ynsetten fan in Mesh-netwurk mei in Full-Mesh-topology. Sa'n netwurkorganisaasje is it meast effektive tsjingif foar sensuer.

Yggdrasil brûkt standert ein-oan-ein fersifering. Wêrom brûke Medium netwurktsjinsten HTTPS?

It is net nedich om HTTPS te brûken om te ferbinen mei webtsjinsten op it Yggdrasil-netwurk as jo ferbining meitsje mei har fia in lokaal rinnende Yggdrasil-netwurkrouter.

Yndied: Yggdrasil ferfier is op par protokol kinne jo feilich brûke boarnen binnen de Yggdrasil netwurk - de mooglikheid om te fieren MITM oanfallen folslein útsletten.

De situaasje feroaret radikaal as jo tagong krije ta Yggdarsil's intranet-boarnen net direkt, mar fia in tuskenknooppunt - it Medium netwurk tagongspunt, dat wurdt beheard troch syn operator.

Wa kin yn dit gefal de gegevens kompromittearje dy't jo stjoere:

1. Tagongspunt operator. It is fanselssprekkend dat de hjoeddeistige operator fan it Medium netwurk tagongspunt kin ôflústerje op ûnfersifere ferkear dat troch har apparatuer giet.
2. ynbrekker (man yn 'e midden). Medium hat in probleem fergelykber mei Tor netwurk probleem, allinich yn relaasje ta ynfier- en tuskenknooppunten.

Dit is wat it liket

beslút: om tagong te krijen ta webtsjinsten binnen it Yggdrasil-netwurk, brûk it HTTPS-protokol (nivo 7 OSI modellen). It probleem is dat it net mooglik is om in echt feiligenssertifikaat út te jaan foar Yggdrasil netwurktsjinsten fia konvinsjonele middels lykas Let's Encrypt.

Dêrom hawwe wy ús eigen sertifikaasjesintrum oprjochte - "Medium Root CA". De grutte mearderheid fan Medium netwurktsjinsten wurdt tekene troch it rootbefeiligingssertifikaat fan dizze sertifikaatautoriteit.

De mooglikheid om it root-sertifikaat fan 'e sertifikaasjeautoriteit te kompromittearjen waard fansels rekken holden - mar hjir is it sertifikaat mear nedich om de yntegriteit fan gegevensferfier te befestigjen en de mooglikheid fan MITM-oanfallen te eliminearjen.

Medium netwurktsjinsten fan ferskate operators hawwe ferskillende feiligenssertifikaten, op ien of oare manier tekene troch de root-sertifikaasjeautoriteit. Root CA-operators kinne lykwols net ôflústerje op fersifere ferkear fan tsjinsten wêrmei se befeiligingssertifikaten hawwe tekene (sjoch "Wat is CSR?").

Wa't benammen soargen oer har feiligens hat, kin gebrûk meitsje fan middels as ekstra beskerming, lykas PGP и likegoed.

Op it stuit hat de iepenbiere kaai-ynfrastruktuer fan it Medium netwurk de mooglikheid om de status fan in sertifikaat te kontrolearjen mei it protokol OCSP of troch gebrûk C.R.L..

Hat Medium in eigen domeinnammesysteem?

Yn it earstoan hie it Medium-netwurk gjin sintralisearre domeinnammetsjinner dy't netwurk dielnimmers tagong ta de meast besochte boarnen yn in ienfâldiger en mear fertroude foarm (yn tsjinstelling ta it brûken fan it IPv6-adres fan in spesifike server).

Wy by Medium besletten dit idee libben yn te blazen - en, in bytsje foarút sjen, binne wy ​​slagge!

Registraasje fan domeinnamme bart automatysk - jo moatte gewoan it IPv6-adres opjaan fan 'e tsjinner wêrop de tsjinst rint. De robot sil kontrolearje oft dit adres eins heart by de persoan dy't besykje de domeinnamme te registrearjen.

As suksesfol, sil de domeinnamme binnen 24 oeren wurde tafoege oan de domeinnammedatabase. As de tsjinner ophâldt te reagearjen op 'e robot en mear dan 72 oeren net beskikber is, sil de domeinnamme frijlitten wurde.

It sil net mooglik wêze om in domeinnamme te registrearjen op ::1

In kopy fan 'e folsleine list fan registrearre domeinnammen is beskikber op repositories op GitHub. Dit lit ús soargje foar maksimale transparânsje oangeande de aktuele steat fan domeinnammen en eliminearje har blokkearjen basearre op de mooglikheid fan in ambivalente situaasje dy't ûntstiet troch de aksje fan 'e minsklike faktor. Wat as de DNS-operator wat net leuk fynt?.

Hoe sit it mei it útjaan fan SSL-sertifikaten foar webtsjinsten?

De oprjochting fan in domeinnammetsjinner wie ek te tankjen oan de needsaak om in ynfrastruktuer foar iepenbiere kaaien yn te setten - om in sertifikaat út te jaan, moat it it CN (Common Name) fjild hawwe, dat is de domeinnamme wêrfoar it sertifikaat is útjûn.

De proseduere foar it útjaan fan sertifikaten ûndertekene troch in sertifisearringsautoriteit bart automatysk - de robot kontrolearret de krektens en echtheid fan 'e gegevens ynfierd troch de brûker. As suksesfol, wurdt in e-post stjoerd nei de einbrûker dy't it ûndertekene sertifikaat omfettet.

Hjir is it

Hoe kinne jo de omjouwing goed ynstelle om de middels fan it Medium netwurk te brûken?

Funksjes fan it proses fan it ynstellen fan in wurkomjouwing binne ôfhinklik fan it bestjoeringssysteem dat jo brûke.

Kies ferstannich (ôfbylding klikber):

Fergees ynternet yn Ruslân begjint mei jo

Jo kinne hjoed alle mooglike assistinsje leverje foar it oprjochtsjen fan in fergees ynternet yn Ruslân. Wy hawwe in wiidweidige list gearstald fan krekt hoe't jo it netwurk kinne helpe:

       Fertel jo freonen en kollega's oer it Medium netwurk
       Diele referinsje nei dit artikel op sosjale netwurken of persoanlike blog
       Nim diel oan 'e diskusje oer technyske problemen op it Medium netwurk op GitHub
       Meitsje jo webtsjinst op it Yggdrasil-netwurk en foegje it ta DNS fan it Medium netwurk
       Ferheegje jo tagongspunt nei it Medium netwurk

Lês ek:

Skat, wy meitsje it ynternet dea
Desintralisearre ynternetprovider "Medium" - trije moanne letter
"Medium" is de earste desintralisearre ynternetprovider yn Ruslân

Wy binne op Telegram: @medium_isp

Allinnich registrearre brûkers kinne meidwaan oan 'e enkête. Ynlogge, asjebleaft.

Alternatyf stimmen: it is wichtich foar ús om de miening te witten fan dyjingen dy't gjin folslein akkount hawwe op Habré

• ↑

• ↓

138 brûkers stimden. 65 brûkers ûntholden har.

Boarne: www.habr.com