Średnie podsumowanie tygodniowe nr 5 (9–16 sierpnia 2019 r.)
Ciągle słyszymy sformułowanie „bezpieczeństwo narodowe”, ale kiedy rząd zaczyna monitorować naszą komunikację, nagrywając ją bez wiarygodnych podejrzeń, podstawy prawnej i bez wyraźnego celu, musimy zadać sobie pytanie: czy rzeczywiście chronią bezpieczeństwo narodowe, czy czy chronią swoich?
- Edward Snowden
Niniejsze zestawienie ma na celu zwiększenie zainteresowania Wspólnoty kwestią prywatności, która w świetle ostatnie wydarzenia staje się bardziej aktualny niż kiedykolwiek.
W programie:
Entuzjaści ze społeczności zdecentralizowanego dostawcy Internetu „Medium” tworzą własną wyszukiwarkę
Medium utworzyło nowy urząd certyfikacji, Medium Global Root CA. Kogo dotkną zmiany?
Certyfikaty bezpieczeństwa dla każdego domu – jak stworzyć własną usługę w sieci Yggdrasil i wystawić dla niej ważny certyfikat SSL
Przypomnij mi – co to jest „średni”?
Średni (English Średni — „pośrednik”, oryginalne hasło — Nie pytaj o swoją prywatność. weź to z powrotem; również w słowie angielskim średni oznacza „pośredni”) - rosyjski zdecentralizowany dostawca Internetu, który świadczy usługi dostępu do sieci Yggdrasil darmo.
Powstała w kwietniu 2019 roku w ramach tworzenia niezależnego środowiska telekomunikacyjnego poprzez zapewnienie użytkownikom końcowym dostępu do zasobów sieci Yggdrasil poprzez wykorzystanie technologii bezprzewodowej transmisji danych Wi-Fi.
Entuzjaści ze społeczności zdecentralizowanego dostawcy Internetu „Medium” tworzą własną wyszukiwarkę
Pierwotnie w Internecie Yggdrasil, którego zdecentralizowany dostawca usług internetowych Medium wykorzystuje jako transport, nie posiadał własnego serwera DNS ani infrastruktury klucza publicznego – jednak konieczność wydawania certyfikatów bezpieczeństwa dla usług sieciowych Medium rozwiązała te dwa problemy.
Po co Ci PKI, skoro Yggdrasil od razu zapewnia możliwość szyfrowania ruchu pomiędzy urządzeniami równorzędnymi?Nie ma potrzeby używania protokołu HTTPS do łączenia się z usługami internetowymi w sieci Yggdrasil, jeśli łączysz się z nimi za pośrednictwem lokalnie działającego routera sieciowego Yggdrasil.
Rzeczywiście: transport Yggdrasil jest na równi protokół pozwala na bezpieczne korzystanie z zasobów w sieci Yggdrasil - możliwość przewodzenia Ataki MITM całkowicie wykluczone.
Sytuacja zmienia się radykalnie, jeśli do zasobów intranetu Yggdarsil uzyskasz dostęp nie bezpośrednio, ale poprzez węzeł pośredni – punkt dostępu do sieci Medium, którym administruje jego operator.
W takim przypadku kto może naruszyć bezpieczeństwo przesyłanych danych:
Operator punktu dostępowego. Oczywistym jest, że obecny operator punktu dostępu do sieci Medium może podsłuchiwać niezaszyfrowany ruch przechodzący przez jego sprzęt.
decyzja: aby uzyskać dostęp do usług internetowych w sieci Yggdrasil, użyj protokołu HTTPS (poziom 7 Modele OSI). Problem polega na tym, że nie jest możliwe wystawienie prawdziwego certyfikatu bezpieczeństwa dla usług sieciowych Yggdrasil za pomocą konwencjonalnych środków, takich jak Zakodujmy.
Dlatego stworzyliśmy własne centrum certyfikacji - „Średni globalny główny urząd certyfikacji”. Zdecydowana większość usług w sieci Medium jest podpisana głównym certyfikatem bezpieczeństwa pośredniego urzędu certyfikacji Medium Domain Validation Secure Server CA.
Brano oczywiście pod uwagę możliwość naruszenia certyfikatu głównego urzędu certyfikacji – jednak tutaj certyfikat jest bardziej niezbędny do potwierdzenia integralności transmisji danych i wyeliminowania możliwości ataków MITM.
Średnie usługi sieciowe różnych operatorów mają różne certyfikaty bezpieczeństwa, w ten czy inny sposób podpisane przez główny urząd certyfikacji. Operatorzy Root CA nie są jednak w stanie podsłuchiwać zaszyfrowanego ruchu z usług, do których mają podpisane certyfikaty bezpieczeństwa (patrz „Co to jest CSR?”).
Osoby szczególnie dbające o swoje bezpieczeństwo mogą skorzystać z takich środków jak dodatkowa ochrona, np PGP и podobne.
Obecnie infrastruktura klucza publicznego sieci Medium ma możliwość sprawdzenia stanu certyfikatu za pomocą protokołu OCSP lub poprzez użycie C.R.L..
Przejdź do rzeczy
Użytkownik @NXShock rozpoczęło prace nad wyszukiwarką serwisów internetowych zlokalizowanych w sieci Yggdrasil. Ważnym aspektem jest fakt, że określenie adresów IPv6 usług podczas wyszukiwania odbywa się poprzez wysłanie zapytania do serwera DNS znajdującego się wewnątrz sieci Medium.
Główną TLD jest .ygg. Większość nazw domen ma tę TLD, z dwoma wyjątkami: .isp и .gg.
Wyszukiwarka jest w fazie rozwoju, ale korzystanie z niej jest możliwe już dziś – wystarczy wejść na stronę search.medium.isp.
Medium utworzyło nowy urząd certyfikacji, Medium Global Root CA. Kogo dotkną zmiany?
Wczoraj zakończyły się publiczne testy funkcjonalności centrum certyfikacji Medium Root CA. Na zakończenie testów poprawiono błędy w działaniu usług infrastruktury klucza publicznego i utworzono nowy certyfikat główny urzędu certyfikacji „Medium Global Root CA”.
Uwzględniono wszystkie niuanse i cechy PKI - teraz nowy certyfikat CA „Medium Global Root CA” zostanie wydany dopiero dziesięć lat później (po jego wygaśnięciu). Obecnie certyfikaty bezpieczeństwa są wydawane tylko przez pośrednie urzędy certyfikacji - na przykład „Medium Domain Validation Secure Server CA”.
Jak teraz wygląda łańcuch zaufania certyfikatów?
Co należy zrobić, aby wszystko działało, jeśli jesteś użytkownikiem:
Ponieważ niektóre usługi korzystają z HSTS, przed użyciem zasobów sieciowych Medium należy usunąć dane z zasobów intranetowych Medium. Możesz to zrobić w zakładce Historia w swojej przeglądarce.
Co należy zrobić, aby wszystko działało, jeśli jesteś operatorem systemu:
Musisz ponownie wystawić certyfikat dla swojej usługi na stronie pki.medium.isp (usługa dostępna wyłącznie w sieci Medium).
Certyfikaty bezpieczeństwa dla każdego domu – jak stworzyć własną usługę w sieci Yggdrasil i wystawić dla niej ważny certyfikat SSL
W związku ze wzrostem liczby usług intranetowych w sieci Medium wzrosła konieczność wydawania nowych certyfikatów bezpieczeństwa i konfigurowania ich usług tak, aby obsługiwały SSL.
Ponieważ Habr jest zasobem technicznym, w każdym nowym podsumowaniu jeden z punktów programu ujawni techniczne cechy infrastruktury sieciowej Medium. Przykładowo poniżej znajdują się kompleksowe instrukcje dotyczące wystawienia certyfikatu SSL dla Twojej usługi.
Przykłady wskażą nazwę domeny domena.ygg, którą należy zastąpić nazwą domeny Twojej usługi.
Krok 1. Wygeneruj klucz prywatny i parametry Diffiego-Hellmana
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Krok 3. Prześlij prośbę o certyfikat
W tym celu skopiuj zawartość pliku domena.ygg.csr i wklej go w polu tekstowym na stronie pki.medium.isp.
Postępuj zgodnie z instrukcjami wyświetlanymi na stronie internetowej, a następnie kliknij „Prześlij”. Jeśli się powiedzie, na podany przez Ciebie adres e-mail zostanie wysłana wiadomość zawierająca załącznik w postaci certyfikatu podpisanego przez pośredniczący urząd certyfikacji.
Krok 4. Skonfiguruj swój serwer WWW
Jeśli używasz nginx jako serwera WWW, użyj następującej konfiguracji:
plik domena.ygg.conf w katalogu /etc/nginx/sites-available/
Certyfikat otrzymany e-mailem należy skopiować na adres: /etc/ssl/certs/domain.ygg.crt. Prywatny klucz (domena.ygg.key) umieść go w katalogu /etc/ssl/prywatny/.
Krok 5. Uruchom ponownie serwer WWW
sudo service nginx restart
Darmowy Internet w Rosji zaczyna się od Ciebie
Już dziś możesz udzielić wszelkiej możliwej pomocy w ustanowieniu darmowego Internetu w Rosji. Przygotowaliśmy obszerną listę tego, jak możesz pomóc sieci:
Powiedz znajomym i współpracownikom o sieci Medium. Udział przez odniesienie do tego artykułu w sieciach społecznościowych lub osobistym blogu
Weź udział w dyskusji o kwestiach technicznych sieci Medium na GitHub
Utwórz swoją usługę internetową w sieci Yggdrasil i dodaj ją Sieć DNS „Średnia”