Vi hører uttrykket «nasjonal sikkerhet» hele tiden, men når regjeringen begynner å overvåke kommunikasjonen vår, registrerer den uten troverdig mistanke, rettslig grunnlag og uten noen åpenbar hensikt, må vi stille oss selv spørsmålet: beskytter de virkelig nasjonal sikkerhet eller beskytter de sine egne?
- Edward Snowden
Denne sammendraget er ment å øke fellesskapets interesse i spørsmålet om personvern, som i lys av siste hendelser blir mer aktuelt enn noen gang før.
På agendaen:
Entusiaster fra fellesskapet til den desentraliserte internettleverandøren "Medium" lager sin egen søkemotor
Medium har etablert en ny sertifiseringsinstans, Medium Global Root CA. Hvem vil bli berørt av endringene?
Sikkerhetssertifikater for hvert hjem - hvordan lage din egen tjeneste på Yggdrasil-nettverket og utstede et gyldig SSL-sertifikat for det
Minn meg på - hva er "Medium"?
Medium (Engelsk Medium - "mellomledd", originalt slagord - Ikke spør om personvernet ditt. Ta det tilbake; også på engelsk ordet medium betyr "mellomliggende") - en russisk desentralisert Internett-leverandør som tilbyr nettverkstilgangstjenester Yggdrasil gratis.
Fullt navn: Medium Internet Service Provider. Opprinnelig ble prosjektet tenkt som Mesh-nettverk в Kolomna bydel.
Dannet i april 2019 som en del av etableringen av et uavhengig telekommunikasjonsmiljø ved å gi sluttbrukere tilgang til Yggdrasil-nettverksressurser gjennom bruk av trådløs Wi-Fi-dataoverføringsteknologi.
Entusiaster fra fellesskapet til den desentraliserte internettleverandøren "Medium" lager sin egen søkemotor
Opprinnelig på nett Yggdrasil, som den desentraliserte Internett-tjenesteleverandøren Medium bruker som transport, hadde ikke egen DNS-server eller offentlig nøkkelinfrastruktur - behovet for å utstede sikkerhetssertifikater for Medium nettverkstjenester løste imidlertid disse to problemene.
Hvorfor trenger du PKI hvis Yggdrasil ut av boksen gir muligheten til å kryptere trafikk mellom jevnaldrende?Det er ikke nødvendig å bruke HTTPS for å koble til webtjenester på Yggdrasil-nettverket hvis du kobler til dem gjennom en lokalt kjørende Yggdrasil-nettverksruter.
Faktisk: Yggdrasil transport er på nivå protokoll lar deg trygt bruke ressurser innenfor Yggdrasil-nettverket - evnen til å drive MITM angrep helt utelukket.
Situasjonen endres radikalt hvis du ikke får tilgang til Yggdarsils intranettressurser direkte, men gjennom en mellomnode - Medium nettverkstilgangspunktet, som administreres av operatøren.
Hvem kan i dette tilfellet kompromittere dataene du overfører:
Tilgangspunktoperatør. Det er åpenbart at den nåværende operatøren av Medium nettverkstilgangspunktet kan avlytte ukryptert trafikk som går gjennom utstyret.
beslutning: for å få tilgang til nettjenester innenfor Yggdrasil-nettverket, bruk HTTPS-protokollen (nivå 7 OSI-modeller). Problemet er at det ikke er mulig å utstede et ekte sikkerhetssertifikat for Yggdrasil nettverkstjenester på konvensjonelle måter som f.eks. La oss kryptere.
Derfor etablerte vi vårt eget sertifiseringssenter - "Medium Global Root CA". De aller fleste Medium-nettverkstjenester er signert av rotsikkerhetssertifikatet til den mellomliggende sertifiseringsmyndigheten "Medium Domain Validation Secure Server CA".
Muligheten for å kompromittere rotsertifikatet til sertifiseringsmyndigheten ble selvfølgelig tatt i betraktning – men her er sertifikatet mer nødvendig for å bekrefte integriteten til dataoverføring og eliminere muligheten for MITM-angrep.
Medium nettverkstjenester fra forskjellige operatører har forskjellige sikkerhetssertifikater, på en eller annen måte signert av rotsertifiseringsmyndigheten. Root CA-operatører er imidlertid ikke i stand til å avlytte kryptert trafikk fra tjenester som de har signert sikkerhetssertifikater til (se "Hva er CSR?").
De som er spesielt opptatt av sin sikkerhet kan bruke slike midler som ekstra beskyttelse, som f.eks PGP и lignende.
For øyeblikket har den offentlige nøkkelinfrastrukturen til Medium-nettverket muligheten til å sjekke statusen til et sertifikat ved hjelp av protokollen OCSP eller gjennom bruk CRL.
Kom til poenget
Bruker @NXShock begynte å utvikle en søkemotor for nettjenester lokalisert på Yggdrasil-nettverket. Et viktig aspekt er det faktum at bestemmelsen av IPv6-adresser til tjenester når du utfører et søk, utføres ved å sende en forespørsel til en DNS-server som ligger inne i Medium-nettverket.
Den viktigste TLD er .ygg. De fleste domenenavn har denne TLD, med to unntak: .isp и .gg.
Søkemotoren er under utvikling, men bruken er mulig allerede i dag - bare besøk nettsiden søk.medium.isp.
Medium har etablert en ny sertifiseringsinstans, Medium Global Root CA. Hvem vil bli berørt av endringene?
I går ble offentlig testing av funksjonaliteten til Medium Root CA-sertifiseringssenteret fullført. På slutten av testingen ble feil i driften av offentlige nøkkelinfrastrukturtjenester rettet og et nytt rotsertifikat fra sertifiseringsmyndigheten "Medium Global Root CA" ble opprettet.
Alle nyansene og funksjonene til PKI ble tatt i betraktning - nå vil det nye CA-sertifikatet "Medium Global Root CA" bli utstedt bare ti år senere (etter utløpsdatoen). Nå utstedes sikkerhetssertifikater kun av mellomliggende sertifiseringsmyndigheter - for eksempel "Medium Domain Validation Secure Server CA".
Hvordan ser sertifikattillitskjeden ut nå?
Hva må gjøres for at alt skal fungere hvis du er bruker:
Siden noen tjenester bruker HSTS, må du slette data fra Medium intranettressurser før du bruker Medium nettverksressurser. Du kan gjøre dette i Logg-fanen i nettleseren din.
Hva må gjøres for å få alt til å fungere hvis du er en systemoperatør:
Du må utstede sertifikatet på nytt for tjenesten din på siden pki.medium.isp (tjenesten er kun tilgjengelig på Medium-nettverket).
Sikkerhetssertifikater for hvert hjem - hvordan lage din egen tjeneste på Yggdrasil-nettverket og utstede et gyldig SSL-sertifikat for det
På grunn av veksten i antall intranetttjenester på Medium-nettverket har behovet for å utstede nye sikkerhetssertifikater og konfigurere tjenestene deres slik at de støtter SSL økt.
Siden Habr er en teknisk ressurs, vil ett av agendapunktene i hvert nytt sammendrag avsløre de tekniske egenskapene til Medium-nettverksinfrastrukturen. Nedenfor er for eksempel omfattende instruksjoner for utstedelse av et SSL-sertifikat for tjenesten din.
Eksemplene vil indikere domenenavnet domene.ygg, som må erstattes med domenenavnet til tjenesten din.
Trinn 1. Generer privat nøkkel og Diffie-Hellman parametere
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Trinn 3. Send inn en sertifikatforespørsel
For å gjøre dette, kopier innholdet i filen domain.ygg.csr og lim den inn i tekstfeltet på nettstedet pki.medium.isp.
Følg instruksjonene på nettstedet, og klikk deretter på "Send". Hvis vellykket, vil en melding sendes til e-postadressen du spesifiserte som inneholder et vedlegg i form av et sertifikat signert av en mellomliggende sertifiseringsinstans.
Trinn 4. Sett opp webserveren din
Hvis du bruker nginx som webserver, bruk følgende konfigurasjon:
fil domene.ygg.conf i katalogen /etc/nginx/sites-available/
Sertifikatet du mottok på e-post må kopieres til: /etc/ssl/certs/domain.ygg.crt. Privat nøkkel (domene.ygg.nøkkel) plasser den i en katalog /etc/ssl/private/.
Trinn 5. Start webserveren på nytt
sudo service nginx restart
Gratis Internett i Russland starter med deg
Du kan gi all mulig hjelp til etableringen av et gratis Internett i Russland i dag. Vi har satt sammen en omfattende liste over nøyaktig hvordan du kan hjelpe nettverket:
Fortell dine venner og kolleger om Medium-nettverket. Dele link til denne artikkelen på sosiale nettverk eller personlig blogg
Ta del i diskusjonen om tekniske spørsmål på Medium-nettverket på GitHub