मध्यम साप्ताहिक डाइजेस्ट #5 (9 - 16 अगस्ट 2019)

हामी सधैं "राष्ट्रिय सुरक्षा" वाक्यांश सुन्छौं, तर जब सरकारले हाम्रा सञ्चारहरूको निगरानी गर्न थाल्छ, विश्वसनीय शंका, कानुनी आधार र कुनै स्पष्ट उद्देश्य बिना रेकर्ड गर्न थाल्छ, हामीले आफैलाई प्रश्न सोध्नु पर्छ: के तिनीहरूले वास्तवमै राष्ट्रिय सुरक्षाको रक्षा गरिरहेका छन् वा? के तिनीहरूले आफ्नो सुरक्षा गर्छन्?

- एडवर्ड स्नोडेन

यस डाइजेस्टको उद्देश्य गोपनीयताको मुद्दामा समुदायको चासो बढाउनको लागि हो, जसको प्रकाशमा पछिल्लो घटनाहरू पहिले भन्दा धेरै सान्दर्भिक हुन्छ।

कार्यसूचीमा:

       विकेन्द्रीकृत इन्टरनेट प्रदायक "मध्यम" को समुदायका उत्साहीहरूले आफ्नै खोज इन्जिन सिर्जना गर्दैछन्।
       मिडियमले एउटा नयाँ प्रमाणीकरण प्राधिकरण, मिडियम ग्लोबल रूट CA स्थापना गरेको छ। परिवर्तनबाट को प्रभावित हुनेछ?
       प्रत्येक घरको लागि सुरक्षा प्रमाणपत्रहरू - कसरी Yggdrasil नेटवर्कमा तपाईंको आफ्नै सेवा सिर्जना गर्ने र यसको लागि वैध SSL प्रमाणपत्र जारी गर्ने

मलाई सम्झाउनुहोस् - "मध्यम" के हो?

मध्यम (eng। मध्यम - "मध्यस्थ", मूल नारा - आफ्नो गोपनीयताको लागि सोध्नुहोस्। यसलाई फिर्ता लिनुहोस्; अंग्रेजीमा पनि शब्द मध्यम अर्थ "मध्यवर्ती") - एक रूसी विकेन्द्रीकृत इन्टरनेट प्रदायक नेटवर्क पहुँच सेवाहरू प्रदान गर्दछ Yggdrasil निशुल्क।

पूरा नाम: मध्यम इन्टरनेट सेवा प्रदायक। सुरुमा आयोजनाको परिकल्पना गरिएको थियो जाल नेटवर्क в कोलोम्ना शहरी जिल्ला.

Wi-Fi वायरलेस डाटा ट्रान्समिसन टेक्नोलोजीको प्रयोग मार्फत Yggdrasil नेटवर्क स्रोतहरूमा पहुँचको साथ अन्त प्रयोगकर्ताहरू प्रदान गरेर एक स्वतन्त्र दूरसञ्चार वातावरणको निर्माणको भागको रूपमा अप्रिल 2019 मा गठन गरियो।

विषयमा थप जानकारी: "तपाईले विकेन्द्रीकृत इन्टरनेट प्रदायक माध्यमको बारेमा जान्न चाहनुभएको सबै कुरा, तर सोध्न डराउनुहुन्थ्यो"

विकेन्द्रीकृत इन्टरनेट प्रदायक "मध्यम" को समुदायका उत्साहीहरूले आफ्नै खोज इन्जिन सिर्जना गर्दैछन्।

मूल रूपमा अनलाइन Yggdrasil, जुन विकेन्द्रीकृत इन्टरनेट सेवा प्रदायक माध्यमले यातायातको रूपमा प्रयोग गर्दछ, यसको आफ्नै DNS सर्भर वा सार्वजनिक कुञ्जी पूर्वाधार थिएन - यद्यपि, मध्यम सञ्जाल सेवाहरूको लागि सुरक्षा प्रमाणपत्र जारी गर्ने आवश्यकताले यी दुई समस्याहरू समाधान गर्यो।

यदि Yggdrasil आउट अफ द बक्सले साथीहरू बीच ट्राफिक इन्क्रिप्ट गर्ने क्षमता प्रदान गर्दछ भने तपाईंलाई PKI किन चाहिन्छ?यदि तपाइँ स्थानीय रूपमा चलिरहेको Yggdrasil नेटवर्क राउटर मार्फत जडान गर्नुहुन्छ भने Yggdrasil नेटवर्कमा वेब सेवाहरूमा जडान गर्न HTTPS प्रयोग गर्न आवश्यक छैन।

वास्तवमा: Yggdrasil यातायात बराबर छ प्रोटोकल तपाईंलाई Yggdrasil नेटवर्क भित्र स्रोतहरू सुरक्षित रूपमा प्रयोग गर्न अनुमति दिन्छ - सञ्चालन गर्ने क्षमता MITM आक्रमणहरू पूर्ण रूपमा बहिष्कृत।

यदि तपाईंले Yggdarsil को इन्ट्रानेट स्रोतहरू सीधा होइन, तर मध्यवर्ती नोड मार्फत पहुँच गर्नुभयो भने स्थिति आमूल परिवर्तन हुन्छ - मध्यम नेटवर्क पहुँच बिन्दु, जुन यसको अपरेटरद्वारा प्रशासित हुन्छ।

यस अवस्थामा, कसले तपाइँले पठाएको डेटा सम्झौता गर्न सक्छ:

1. पहुँच बिन्दु अपरेटर। यो स्पष्ट छ कि मध्यम सञ्जाल पहुँच बिन्दुको हालको अपरेटरले यसको उपकरणहरू मार्फत गुजरने अनइन्क्रिप्टेड ट्राफिकमा छिर्न सक्छ।
2. घुसपैठ गर्ने (बीचमा मान्छे)। माध्यमको जस्तै समस्या छ टोर नेटवर्क समस्या, केवल इनपुट र मध्यवर्ती नोडहरूको सम्बन्धमा।

यो जस्तो देखिन्छ

निर्णय: Yggdrasil नेटवर्क भित्र वेब सेवाहरू पहुँच गर्न, HTTPS प्रोटोकल प्रयोग गर्नुहोस् (स्तर 7 OSI मोडेलहरू)। समस्या यो हो कि परम्परागत माध्यमहरू जस्तै Yggdrasil नेटवर्क सेवाहरूको लागि वास्तविक सुरक्षा प्रमाणपत्र जारी गर्न सम्भव छैन। गुप्तिकरण गरौं.

तसर्थ, हामीले हाम्रो आफ्नै प्रमाणीकरण केन्द्र स्थापना गर्यौं - "मध्यम ग्लोबल रूट CA"। मध्यम नेटवर्कमा सेवाहरूको विशाल बहुमत मध्यवर्ती प्रमाणीकरण प्राधिकरण मध्यम डोमेन प्रमाणीकरण सुरक्षित सर्भर CA को मूल सुरक्षा प्रमाणपत्र द्वारा हस्ताक्षर गरिएको छ।

प्रमाणीकरण प्राधिकरणको मूल प्रमाणपत्रमा सम्झौता गर्ने सम्भावनालाई पक्कै पनि ध्यानमा राखिएको थियो - तर यहाँ प्रमाणपत्र डेटा प्रसारणको अखण्डता पुष्टि गर्न र MITM आक्रमणहरूको सम्भावना हटाउन आवश्यक छ।

विभिन्न अपरेटरहरूबाट मध्यम नेटवर्क सेवाहरूमा विभिन्न सुरक्षा प्रमाणपत्रहरू छन्, एक वा अर्को रूट प्रमाणीकरण प्राधिकरणद्वारा हस्ताक्षर गरिएको। यद्यपि, रूट CA अपरेटरहरूले सुरक्षा प्रमाणपत्रहरूमा हस्ताक्षर गरेका सेवाहरूबाट गुप्तिकरण गरिएको ट्राफिकलाई छिर्न सक्षम छैनन् (हेर्नुहोस् "CSR भनेको के हो?").

जो विशेष गरी आफ्नो सुरक्षाको बारेमा चिन्तित छन् उनीहरूले अतिरिक्त सुरक्षा जस्ता माध्यमहरू प्रयोग गर्न सक्छन्, जस्तै पीजीपी и समान.

हाल, मध्यम नेटवर्कको सार्वजनिक कुञ्जी पूर्वाधारमा प्रोटोकल प्रयोग गरेर प्रमाणपत्रको स्थिति जाँच गर्ने क्षमता छ। OCSP वा प्रयोग मार्फत C.R.L..

बिन्दुमा पुग्नुहोस्

प्रयोगकर्ता @NXShock Yggdrasil नेटवर्कमा अवस्थित वेब सेवाहरूको लागि खोज इन्जिन विकास गर्न थाले। एउटा महत्त्वपूर्ण पक्ष यो तथ्य हो कि खोजी गर्दा सेवाहरूको IPv6 ठेगानाहरूको निर्धारण मध्यम नेटवर्क भित्र अवस्थित DNS सर्भरमा अनुरोध पठाएर गरिन्छ।

मुख्य TLD हो ygg। धेरै डोमेन नामहरूमा यो TLD छ, दुई अपवादहरू सहित: .isp и ।जि जि.

खोज इन्जिन विकास अन्तर्गत छ, तर यसको प्रयोग पहिले नै सम्भव छ - केवल वेबसाइट मा जानुहोस् search.medium.isp.

तपाईंले परियोजनाको विकासमा मद्दत गर्न सक्नुहुन्छ, GitHub मा विकास सामेल गरेर.

मिडियमले एउटा नयाँ प्रमाणीकरण प्राधिकरण, मिडियम ग्लोबल रूट CA स्थापना गरेको छ। परिवर्तनबाट को प्रभावित हुनेछ?

हिजो, मध्यम रूट CA प्रमाणीकरण केन्द्रको कार्यक्षमताको सार्वजनिक परीक्षण पूरा भयो। परीक्षणको अन्त्यमा, सार्वजनिक कुञ्जी पूर्वाधार सेवाहरूको सञ्चालनमा त्रुटिहरू सच्याइयो र प्रमाणीकरण प्राधिकरणको नयाँ मूल प्रमाणपत्र "मध्यम ग्लोबल रूट CA" सिर्जना गरियो।

PKI को सबै सूक्ष्मता र सुविधाहरूलाई ध्यानमा राखिएको थियो - अब नयाँ CA प्रमाणपत्र "Medium Global Root CA" दस वर्ष पछि मात्र जारी गरिनेछ (यसको म्याद सकिने मिति पछि)। अब सुरक्षा प्रमाणपत्रहरू मध्यवर्ती प्रमाणीकरण अधिकारीहरूद्वारा मात्र जारी गरिन्छ - उदाहरणका लागि, "मध्यम डोमेन प्रमाणीकरण सुरक्षित सर्भर CA"।

प्रमाणपत्र ट्रस्ट चेन अब कस्तो देखिन्छ?



यदि तपाइँ प्रयोगकर्ता हुनुहुन्छ भने सबै कुरा काम गर्नको लागि के गर्न आवश्यक छ:

केही सेवाहरूले HSTS प्रयोग गरेको हुनाले, मध्यम नेटवर्क स्रोतहरू प्रयोग गर्नु अघि, तपाईंले मध्यम इन्ट्रानेट स्रोतहरूबाट डाटा मेटाउनुपर्छ। तपाईंले आफ्नो ब्राउजरको इतिहास ट्याबमा यो गर्न सक्नुहुन्छ।

आवश्यक पनि छ नयाँ प्रमाणपत्र स्थापना गर्नुहोस् प्रमाणीकरण केन्द्र "मध्यम ग्लोबल रूट CA"।

यदि तपाइँ प्रणाली अपरेटर हुनुहुन्छ भने सबै काम गर्न के गर्न आवश्यक छ:

तपाईंले पृष्ठमा आफ्नो सेवाको लागि प्रमाणपत्र पुन: जारी गर्न आवश्यक छ pki.medium.isp (सेवा मध्यम नेटवर्कमा मात्र उपलब्ध छ)।

प्रत्येक घरको लागि सुरक्षा प्रमाणपत्रहरू - कसरी Yggdrasil नेटवर्कमा तपाईंको आफ्नै सेवा सिर्जना गर्ने र यसको लागि वैध SSL प्रमाणपत्र जारी गर्ने

मध्यम नेटवर्कमा इन्ट्रानेट सेवाहरूको संख्यामा भएको बृद्धिको कारण, नयाँ सुरक्षा प्रमाणपत्रहरू जारी गर्न र तिनीहरूको सेवाहरू कन्फिगर गर्ने आवश्यकता बढेको छ ताकि तिनीहरूले SSL समर्थन गर्दछन्।

Habr एक प्राविधिक स्रोत भएकोले, प्रत्येक नयाँ डाइजेस्टमा एजेन्डा वस्तुहरू मध्ये एकले मध्यम नेटवर्क पूर्वाधारको प्राविधिक सुविधाहरू प्रकट गर्नेछ। उदाहरण को लागी, तल तपाईको सेवा को लागी एक SSL प्रमाणपत्र जारी गर्न को लागी व्यापक निर्देशनहरु छन्।

उदाहरणहरूले डोमेन नाम संकेत गर्नेछ domain.ygg, जुन तपाइँको सेवाको डोमेन नाम संग प्रतिस्थापन गर्नुपर्छ।

1 कदम। निजी कुञ्जी र Diffie-Hellman प्यारामिटरहरू उत्पन्न गर्नुहोस्

openssl genrsa -out domain.ygg.key 2048

तब:

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

2 कदम। प्रमाणपत्र हस्ताक्षर अनुरोध सिर्जना गर्नुहोस्

openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.conf

फाइल सामग्री domain.ygg.conf:

[ req ]
default_bits                = 2048
distinguished_name          = req_distinguished_name
x509_extensions             = v3_req

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = RU
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName                = Locality Name (eg, city)
localityName_default        = Kolomna
organizationName            = Organization Name (eg, company)
organizationName_default    = ACME, Inc.
commonName                  = Common Name (eg, YOUR name)
commonName_max              = 64
commonName_default          = *.domain.ygg

[ v3_req ]
subjectKeyIdentifier        = hash
keyUsage                    = critical, digitalSignature, keyEncipherment
extendedKeyUsage            = serverAuth
basicConstraints            = CA:FALSE
nsCertType                  = server
authorityKeyIdentifier      = keyid,issuer:always
crlDistributionPoints       = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess         = OCSP;URI:http://ocsp.medium.isp

3 कदम। प्रमाणपत्र अनुरोध पेश गर्नुहोस्

यो गर्नका लागि, फाइलको सामग्री प्रतिलिपि गर्नुहोस् domain.ygg.csr र यसलाई साइटको टेक्स्ट फिल्डमा टाँस्नुहोस् pki.medium.isp.

वेबसाइटमा दिइएको निर्देशनहरू पालना गर्नुहोस्, त्यसपछि "पेश गर्नुहोस्" मा क्लिक गर्नुहोस्। यदि सफल भयो भने, तपाईंले निर्दिष्ट गर्नुभएको इमेल ठेगानामा एउटा सन्देश पठाइनेछ जसमा एक मध्यवर्ती प्रमाणीकरण प्राधिकरणद्वारा हस्ताक्षर गरिएको प्रमाणपत्रको रूपमा संलग्नक समावेश छ।

4 कदम। आफ्नो वेब सर्भर सेट अप गर्नुहोस्

यदि तपाइँ आफ्नो वेब सर्भरको रूपमा nginx प्रयोग गर्दै हुनुहुन्छ भने, निम्न कन्फिगरेसन प्रयोग गर्नुहोस्:

फाइल domain.ygg.conf निर्देशिका मा /etc/nginx/sites-available/

server {
    listen [::]:80;
    listen [::]:443 ssl;

    root /var/www/domain.ygg;
    index index.php index.html index.htm index.nginx-debian.html;

    server_name domain.ygg;

    include snippets/domain.ygg.conf;
    include snippets/ssl-params.conf;

    location = /favicon.ico { log_not_found off; access_log off; }
    location = /robots.txt { log_not_found off; access_log off; allow all; }
    location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
        expires max;
        log_not_found off;
    }

    location / {
        try_files $uri $uri/ /index.php$is_args$args;
    }

    location ~ .php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/run/php/php7.0-fpm.sock;
    }

    location ~ /.ht {
        deny all;
    }
}

फाइल ssl-params.conf निर्देशिका मा /etc/nginx/snippets/

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;

add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

ssl_dhparam /etc/ssl/certs/dhparam.pem;

फाइल domain.ygg.conf निर्देशिका मा /etc/nginx/snippets/

ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;

तपाईले इमेल मार्फत प्राप्त गर्नुभएको प्रमाणपत्रको प्रतिलिपि हुनुपर्छ: /etc/ssl/certs/domain.ygg.crt। निजी कुञ्जी (domain.ygg.key) यसलाई डाइरेक्टरीमा राख्नुहोस् /etc/ssl/private/.

5 कदम। आफ्नो वेब सर्भर पुन: सुरु गर्नुहोस्

sudo service nginx restart

रूस मा नि: शुल्क इन्टरनेट तपाईं संग सुरु हुन्छ

तपाईं आज रूस मा नि: शुल्क इन्टरनेट को स्थापना को लागी सबै सम्भावित सहयोग प्रदान गर्न सक्नुहुन्छ। तपाईंले नेटवर्कलाई कसरी मद्दत गर्न सक्नुहुन्छ भन्ने बारे हामीले विस्तृत सूची कम्पाइल गरेका छौं:

• आफ्नो साथी र सहकर्मीहरूलाई मध्यम नेटवर्कको बारेमा बताउनुहोस्। सेयर गर्नुहोस् सन्दर्भद्वारा सामाजिक सञ्जाल वा व्यक्तिगत ब्लगमा यस लेखमा
• मध्यम नेटवर्कमा प्राविधिक मुद्दाहरूको छलफलमा भाग लिनुहोस् GitHub मा
• Yggdrasil नेटवर्कमा आफ्नो वेब सेवा सिर्जना गर्नुहोस् र यसलाई थप्नुहोस् मध्यम नेटवर्कको DNS
• आफ्नो उठाउनुहोस् पहुँच बिन्दु मध्यम नेटवर्कमा

अघिल्लो विज्ञप्ति:

   मध्यम साप्ताहिक डाइजेस्ट #1 (12 - 19 जुलाई 2019)
   मध्यम साप्ताहिक डाइजेस्ट #2 (19 - 26 जुलाई 2019)
   मध्यम साप्ताहिक डाइजेस्ट #3 (26 जुलाई - 2 अगस्ट 2019)
   मध्यम साप्ताहिक डाइजेस्ट #4 (2 - 9 अगस्ट 2019)

यो पनि पढ्नुहोस्:

तपाईंले विकेन्द्रीकृत इन्टरनेट प्रदायक माध्यमको बारेमा जान्न चाहनुभएको सबै कुरा, तर सोध्न डराउनुहुन्थ्यो
प्रिय, हामी इन्टरनेट मार्दै छौं
विकेन्द्रीकृत इन्टरनेट प्रदायक "मध्यम" - तीन महिना पछि

हामी टेलिग्राममा छौं: @medium_isp

दर्ता भएका प्रयोगकर्ताहरूले मात्र सर्वेक्षणमा भाग लिन सक्छन्। साइन इन गर्नुहोस्कृपया

वैकल्पिक मतदान: हाब्रेमा पूर्ण खाता नभएकाहरूको राय जान्नु हाम्रो लागि महत्त्वपूर्ण छ।

• ↑

• ↓

7 प्रयोगकर्ताहरूले मतदान गरे। २ प्रयोगकर्ताहरू रोकिए।

स्रोत: www.habr.com