Medium wekelijkse samenvatting #5 (9 – 16 augustus 2019)
We horen de uitdrukking ‘nationale veiligheid’ de hele tijd, maar wanneer de regering onze communicatie begint te monitoren en deze opneemt zonder geloofwaardige verdenking, wettelijke basis en zonder enig duidelijk doel, moeten we onszelf de vraag stellen: beschermen ze werkelijk de nationale veiligheid of beschermen ze de nationale veiligheid? beschermen ze hun eigen land?
- Edward Snowden
Deze samenvatting is bedoeld om de belangstelling van de Gemeenschap voor de kwestie van de privacy te vergroten, wat, in het licht van recente gebeurtenissen wordt relevanter dan ooit tevoren.
Op de agenda:
Enthousiastelingen uit de gemeenschap van de gedecentraliseerde internetprovider “Medium” creëren hun eigen zoekmachine
Medium heeft een nieuwe certificeringsinstantie opgericht, Medium Global Root CA. Wie zal door de veranderingen worden getroffen?
Beveiligingscertificaten voor elk huis - hoe u uw eigen service op het Yggdrasil-netwerk kunt creëren en hiervoor een geldig SSL-certificaat kunt uitgeven
Herinner mij eraan: wat is “Medium”?
Medium (Engels Medium - “tussenpersoon”, originele slogan - Vraag niet om uw privacy. Neem het terug; ook in het Engels het woord Medium betekent “tussenproduct”) - een Russische gedecentraliseerde internetprovider die netwerktoegangsdiensten levert Yggdrasil gratis.
Volledige naam: Middelgrote internetprovider. Aanvankelijk was het project bedoeld als Mesh-netwerk в Stadsdeel Kolomna.
Opgericht in april 2019 als onderdeel van het creëren van een onafhankelijke telecommunicatieomgeving door eindgebruikers toegang te bieden tot Yggdrasil-netwerkbronnen door het gebruik van Wi-Fi draadloze datatransmissietechnologie.
Enthousiastelingen uit de gemeenschap van de gedecentraliseerde internetprovider “Medium” creëren hun eigen zoekmachine
Oorspronkelijk online Yggdrasil, dat de gedecentraliseerde internetprovider Medium als transportmiddel gebruikt, beschikte niet over een eigen DNS-server of openbare sleutelinfrastructuur. De noodzaak om beveiligingscertificaten uit te geven voor mediumnetwerkdiensten loste deze twee problemen echter op.
Waarom heb je PKI nodig als Yggdrasil kant-en-klaar de mogelijkheid biedt om verkeer tussen peers te versleutelen?Het is niet nodig om HTTPS te gebruiken om verbinding te maken met webservices op het Yggdrasil-netwerk als u verbinding maakt via een lokaal werkende Yggdrasil-netwerkrouter.
Sterker nog: het transport van Yggdrasil is op peil protocol stelt u in staat om veilig gebruik te maken van bronnen binnen het Yggdrasil-netwerk - het vermogen om te geleiden MITM-aanvallen volledig uitgesloten.
De situatie verandert radicaal als u niet rechtstreeks toegang krijgt tot de intranetbronnen van Yggdarsil, maar via een tussenliggend knooppunt: het Medium-netwerktoegangspunt, dat wordt beheerd door de operator.
Wie kan in dit geval de door u verzonden gegevens in gevaar brengen:
Toegangspuntoperator. Het ligt voor de hand dat de huidige exploitant van het Medium-netwerktoegangspunt het niet-versleutelde verkeer dat door zijn apparatuur gaat, kan afluisteren.
indringer (man in het midden). Medium heeft een soortgelijk probleem Tor-netwerkprobleem, alleen met betrekking tot invoer- en tussenknooppunten.
Dit is hoe het eruit ziet
beslissing: voor toegang tot webservices binnen het Yggdrasil-netwerk gebruikt u het HTTPS-protocol (niveau 7 OSI-modellen). Het probleem is dat het niet mogelijk is om op conventionele wijze een echt beveiligingscertificaat voor Yggdrasil-netwerkdiensten uit te geven Laten we versleutelen.
Daarom hebben we ons eigen certificeringscentrum opgericht - "Middelgrote wereldwijde root-CA". De overgrote meerderheid van Medium-netwerkdiensten is ondertekend door het root-beveiligingscertificaat van de tussenliggende certificeringsinstantie “Medium Domain Validation Secure Server CA”.
Er werd uiteraard rekening gehouden met de mogelijkheid om het rootcertificaat van de certificeringsinstantie in gevaar te brengen, maar hier is het certificaat meer noodzakelijk om de integriteit van de gegevensoverdracht te bevestigen en de mogelijkheid van MITM-aanvallen te elimineren.
Middelgrote netwerkdiensten van verschillende operators hebben verschillende beveiligingscertificaten, op de een of andere manier ondertekend door de rootcertificeringsinstantie. Root CA-operators kunnen echter niet het gecodeerde verkeer afluisteren van diensten waarvoor zij beveiligingscertificaten hebben ondertekend (zie “Wat is MVO?”).
Degenen die zich vooral zorgen maken over hun veiligheid, kunnen middelen gebruiken als extra bescherming, zoals PGP и soortgelijk.
Momenteel heeft de publieke sleutelinfrastructuur van het Medium-netwerk de mogelijkheid om de status van een certificaat te controleren met behulp van het protocol OCSP of door gebruik CRL.
Dichter bij het punt
Gebruiker @NXShock begon een zoekmachine te ontwikkelen voor webservices op het Yggdrasil-netwerk. Een belangrijk aspect is het feit dat de bepaling van IPv6-adressen van diensten bij het uitvoeren van een zoekopdracht wordt uitgevoerd door een verzoek te sturen naar een DNS-server die zich binnen het Medium-netwerk bevindt.
De belangrijkste TLD is .ygg. De meeste domeinnamen hebben dit TLD, met twee uitzonderingen: .isp и .gg.
De zoekmachine is in ontwikkeling, maar het gebruik ervan is vandaag al mogelijk - bezoek gewoon de website zoek.medium.isp.
Medium heeft een nieuwe certificeringsinstantie opgericht, Medium Global Root CA. Wie zal door de veranderingen worden getroffen?
Gisteren is de openbare test van de functionaliteit van het Medium Root CA-certificeringscentrum afgerond. Aan het einde van de tests werden fouten in de werking van openbare-sleutelinfrastructuurdiensten gecorrigeerd en werd een nieuw rootcertificaat van de certificeringsinstantie “Medium Global Root CA” gecreëerd.
Er werd rekening gehouden met alle nuances en kenmerken van PKI - nu wordt het nieuwe CA-certificaat "Medium Global Root CA" pas tien jaar later (na de vervaldatum) uitgegeven. Nu worden beveiligingscertificaten alleen uitgegeven door tussenliggende certificeringsinstanties, bijvoorbeeld "Medium Domain Validation Secure Server CA".
Hoe ziet de certificaatvertrouwenketen er nu uit?
Wat moet u doen om alles te laten werken als u een gebruiker bent:
Omdat sommige services HSTS gebruiken, moet u voordat u Middelgrote netwerkbronnen gebruikt, gegevens verwijderen uit Middelgrote intranetbronnen. U kunt dit doen op het tabblad Geschiedenis van uw browser.
Wat moet u doen om alles te laten werken als u een systeembeheerder bent:
U moet het certificaat voor uw service op de pagina opnieuw uitgeven pki.medium.isp (de dienst is alleen beschikbaar op het Medium-netwerk).
Beveiligingscertificaten voor elk huis - hoe u uw eigen service op het Yggdrasil-netwerk kunt creëren en hiervoor een geldig SSL-certificaat kunt uitgeven
Door de groei van het aantal intranetdiensten op het Medium-netwerk is de noodzaak toegenomen om nieuwe beveiligingscertificaten uit te geven en hun diensten zo te configureren dat ze SSL ondersteunen.
Omdat Habr een technische hulpbron is, zal in elk nieuw overzicht een van de agendapunten de technische kenmerken van de middelgrote netwerkinfrastructuur onthullen. Hieronder vindt u bijvoorbeeld uitgebreide instructies voor het uitgeven van een SSL-certificaat voor uw dienst.
In de voorbeelden wordt de domeinnaam aangegeven domein.ygg, die moet worden vervangen door de domeinnaam van uw service.
Stap 1. Genereer privésleutel en Diffie-Hellman-parameters
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Stap 3. Dien een certificaataanvraag in
Kopieer hiervoor de inhoud van het bestand domein.ygg.csr en plak deze in het tekstveld op de site pki.medium.isp.
Volg de instructies op de website en klik vervolgens op "Verzenden". Als dit lukt, wordt er een bericht verzonden naar het door u opgegeven e-mailadres met daarin een bijlage in de vorm van een certificaat ondertekend door een tussenliggende certificeringsinstantie.
Stap 4. Stel uw webserver in
Als u nginx als uw webserver gebruikt, gebruikt u de volgende configuratie:
file domein.ygg.conf in de map /etc/nginx/sites-beschikbaar/
Het certificaat dat u per e-mail heeft ontvangen, moet worden gekopieerd naar: /etc/ssl/certs/domein.ygg.crt. Prive sleutel (domein.ygg.key) plaats het in een map /etc/ssl/privé/.
Stap 5. Start uw webserver opnieuw op
sudo service nginx restart
Gratis internet in Rusland begint bij jou
U kunt vandaag alle mogelijke hulp bieden bij het tot stand brengen van een gratis internet in Rusland. We hebben een uitgebreide lijst samengesteld van hoe u het netwerk precies kunt helpen:
Vertel uw vrienden en collega's over het Medium-netwerk. Deel door verwijzing naar dit artikel op sociale netwerken of persoonlijke blog
Neem deel aan de discussie over technische problemen op het Medium-netwerk op GitHub