Resumo semanal médio nº 5 (9 a 16 de agosto de 2019)
Ouvimos a frase “segurança nacional” o tempo todo, mas quando o governo começa a monitorizar as nossas comunicações, registando-as sem suspeitas credíveis, base legal e sem qualquer propósito aparente, devemos perguntar-nos: estão realmente a proteger a segurança nacional ou eles estão protegendo os seus?
- Edward Snowden
Este resumo destina-se a aumentar o interesse da Comunidade na questão da privacidade, que, à luz da últimos eventos torna-se mais relevante do que nunca.
Na agenda:
Entusiastas da comunidade do provedor de Internet descentralizado “Medium” estão criando seu próprio mecanismo de busca
Medium estabeleceu uma nova autoridade de certificação, Medium Global Root CA. Quem será afetado pelas mudanças?
Certificados de segurança para cada casa – como criar seu próprio serviço na rede Yggdrasil e emitir um certificado SSL válido para ele
Lembre-me: o que é “Médio”?
Médio (Inglês Médio - “intermediário”, slogan original - Não peça sua privacidade. Levá-lo de volta; também em inglês a palavra média significa “intermediário”) - um provedor de Internet descentralizado russo que fornece serviços de acesso à rede Yggdrasil grátis.
Formada em abril de 2019 como parte da criação de um ambiente de telecomunicações independente, fornecendo aos usuários finais acesso aos recursos da rede Yggdrasil por meio do uso da tecnologia de transmissão de dados sem fio Wi-Fi.
Entusiastas da comunidade do provedor de Internet descentralizado “Medium” estão criando seu próprio mecanismo de busca
Originalmente on-line Yggdrasil, que o provedor descentralizado de serviços de Internet Medium usa como transporte, não possuía servidor DNS próprio ou infraestrutura de chave pública - no entanto, a necessidade de emitir certificados de segurança para serviços de rede Medium resolveu esses dois problemas.
Por que você precisa de PKI se o Yggdrasil pronto para uso oferece a capacidade de criptografar o tráfego entre pares?Não há necessidade de usar HTTPS para conectar-se a serviços da web na rede Yggdrasil se você se conectar a eles por meio de um roteador de rede Yggdrasil executado localmente.
Na verdade: o transporte Yggdrasil está no mesmo nível protocolo permite que você use recursos com segurança dentro da rede Yggdrasil - a capacidade de conduzir Ataques MITM completamente excluído.
A situação muda radicalmente se você acessar os recursos da intranet da Yggdarsil não diretamente, mas através de um nó intermediário - o ponto de acesso da rede Média, que é administrado por sua operadora.
Neste caso, quem pode comprometer os dados que você transmite:
Operador de ponto de acesso. É óbvio que o atual operador do ponto de acesso à rede Médio pode espionar o tráfego não criptografado que passa pelo seu equipamento.
intruso (homem no meio). Medium tem um problema semelhante ao Problema na rede Tor, apenas em relação aos nós de entrada e intermediários.
Isto é o que parece
Solução: para acessar serviços web dentro da rede Yggdrasil, utilize o protocolo HTTPS (nível 7 Modelos OSI). O problema é que não é possível emitir um certificado de segurança genuíno para os serviços da rede Yggdrasil através de meios normais, como Let’s Encrypt.
Portanto, estabelecemos nosso próprio centro de certificação - "CA raiz global média". A grande maioria dos serviços na rede Média são assinados pelo certificado de segurança raiz da autoridade de certificação intermediária Medium Domain Validation Secure Server CA.
A possibilidade de comprometer o certificado raiz da autoridade certificadora foi, obviamente, levada em consideração - mas aqui o certificado é mais necessário para confirmar a integridade da transmissão de dados e eliminar a possibilidade de ataques MITM.
Os serviços de rede média de diferentes operadoras possuem certificados de segurança diferentes, assinados de uma forma ou de outra pela autoridade de certificação raiz. No entanto, os operadores de CA raiz não conseguem espionar o tráfego criptografado de serviços para os quais assinaram certificados de segurança (consulte “O que é RSE?”).
Aqueles que estão especialmente preocupados com a sua segurança podem usar meios como proteção adicional, como PGP и similar.
Atualmente, a infraestrutura de chave pública da rede Medium tem a capacidade de verificar o status de um certificado utilizando o protocolo OCSP ou através do uso CRL.
Mais perto de casa
Usuário @NXShock começou a desenvolver um mecanismo de busca para serviços web localizados na rede Yggdrasil. Um aspecto importante é o fato de que a determinação dos endereços IPv6 dos serviços ao realizar uma pesquisa é realizada através do envio de uma solicitação a um servidor DNS localizado dentro da rede do Médio.
O principal TLD é .ygg. A maioria dos nomes de domínio possui este TLD, com duas exceções: .isp и .gg.
O buscador está em desenvolvimento, mas seu uso já é possível hoje – basta acessar o site search.medium.isp.
Medium estabeleceu uma nova autoridade de certificação, Medium Global Root CA. Quem será afetado pelas mudanças?
Ontem, foram concluídos os testes públicos da funcionalidade do centro de certificação Medium Root CA. Ao final dos testes, foram corrigidos erros no funcionamento dos serviços de infraestrutura de chave pública e criado um novo certificado raiz da autoridade certificadora “Medium Global Root CA”.
Todas as nuances e recursos do PKI foram levados em consideração - agora o novo certificado CA “Medium Global Root CA” será emitido apenas dez anos depois (após sua data de expiração). Agora, os certificados de segurança são emitidos apenas por autoridades de certificação intermediárias - por exemplo, “CA de servidor seguro de validação de domínio médio”.
Como é a cadeia de confiança de certificados agora?
O que precisa ser feito para que tudo funcione se você for usuário:
Como alguns serviços usam HSTS, antes de usar recursos de rede Médios, você deve excluir dados dos recursos de intranet Médios. Você pode fazer isso na guia Histórico do seu navegador.
O que precisa ser feito para que tudo funcione se você for operador de sistema:
Você precisa reemitir o certificado do seu serviço na página pki.medium.isp (o serviço está disponível apenas na rede Medium).
Certificados de segurança para cada casa – como criar seu próprio serviço na rede Yggdrasil e emitir um certificado SSL válido para ele
Devido ao crescimento do número de serviços de intranet na rede Medium, aumentou a necessidade de emitir novos certificados de segurança e configurar seus serviços para que suportem SSL.
Como o Habr é um recurso técnico, em cada novo resumo um dos itens da agenda revelará as características técnicas da infraestrutura da rede Média. Por exemplo, abaixo estão instruções abrangentes para emitir um certificado SSL para o seu serviço.
Os exemplos indicarão o nome de domínio domínio.ygg, que deve ser substituído pelo nome de domínio do seu serviço.
Passo 1. Gere chave privada e parâmetros Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Passo 3. Envie uma solicitação de certificado
Para fazer isso, copie o conteúdo do arquivo domínio.ygg.csr e cole no campo de texto do site pki.medium.isp.
Siga as instruções fornecidas no site e clique em “Enviar”. Se for bem-sucedido, uma mensagem será enviada para o endereço de e-mail especificado contendo um anexo na forma de um certificado assinado por uma autoridade de certificação intermediária.
Passo 4. Configure seu servidor web
Se você estiver usando o nginx como servidor web, use a seguinte configuração:
arquivo domínio.ygg.conf no diretório /etc/nginx/sites-available/
O certificado que você recebeu por e-mail deve ser copiado para: /etc/ssl/certs/domain.ygg.crt. Chave privada (domínio.ygg.key) coloque-o em um diretório /etc/ssl/privado/.
Passo 5. Reinicie seu servidor web
sudo service nginx restart
Internet grátis na Rússia começa com você
Você pode fornecer toda a assistência possível para o estabelecimento de uma Internet gratuita na Rússia hoje. Compilamos uma lista abrangente de exatamente como você pode ajudar a rede:
Conte aos seus amigos e colegas sobre a rede Medium. Compartilhar referencia para este artigo em redes sociais ou blog pessoal
Participe da discussão de questões técnicas na rede Medium no GitHub
Crie seu serviço web na rede Yggdrasil e adicione-o ao DNS da rede Média