Stredný týždenný súhrn č. 5 (9. – 16. august 2019)
Slovné spojenie „národná bezpečnosť“ počujeme neustále, ale keď vláda začne monitorovať našu komunikáciu a zaznamenávať ju bez dôveryhodného podozrenia, právneho základu a bez akéhokoľvek zjavného účelu, musíme si položiť otázku: či skutočne chránia národnú bezpečnosť alebo chránia si svojich?
- Edward Snowden
Účelom tohto súhrnu je zvýšiť záujem Spoločenstva o otázku súkromia, ktorá vo svetle najnovšie udalosti stáva relevantnejším ako kedykoľvek predtým.
Na programe dňa:
Nadšenci z komunity decentralizovaného poskytovateľa internetu „Medium“ si vytvárajú vlastný vyhľadávač
Medium zriadilo novú certifikačnú autoritu Medium Global Root CA. Koho sa zmeny dotknú?
Bezpečnostné certifikáty pre každú domácnosť - ako si vytvoriť vlastnú službu v sieti Yggdrasil a vydať pre ňu platný SSL certifikát
Pripomeňte mi – čo je to „stredné“?
stredná (Slovensky stredná - "sprostredkovateľ", pôvodný slogan - Nežiadajte o svoje súkromie. Vziať späť; aj v angličtine slovo strednou znamená „stredný“) - ruský decentralizovaný poskytovateľ internetu poskytujúci služby prístupu k sieti Yggdrasil zadarmo.
Celé meno: Stredný poskytovateľ internetových služieb. Pôvodne bol projekt koncipovaný ako mesh sieť в Mestská časť Kolomna.
Vznikla v apríli 2019 ako súčasť vytvorenia nezávislého telekomunikačného prostredia poskytovaním prístupu koncovým používateľom k sieťovým zdrojom Yggdrasil pomocou technológie bezdrôtového prenosu dát Wi-Fi.
Nadšenci z komunity decentralizovaného poskytovateľa internetu „Medium“ si vytvárajú vlastný vyhľadávač
Pôvodne online Yggdrasil, ktorý decentralizovaný poskytovateľ internetových služieb Medium využíva ako transport, nemal vlastný DNS server ani infraštruktúru verejných kľúčov – tieto dva problémy však vyriešila potreba vydávania bezpečnostných certifikátov pre sieťové služby Medium.
Prečo potrebujete PKI, ak Yggdrasil po vybalení poskytuje možnosť šifrovať komunikáciu medzi partnermi?Na pripojenie k webovým službám v sieti Yggdrasil nie je potrebné používať HTTPS, ak sa k nim pripojíte prostredníctvom lokálne spusteného sieťového smerovača Yggdrasil.
Skutočne: Preprava Yggdrasilu je na rovnakej úrovni protokol umožňuje bezpečne využívať zdroje v rámci siete Yggdrasil – schopnosť dirigovať Útoky MITM úplne vylúčené.
Situácia sa radikálne zmení, ak pristupujete k intranetovým zdrojom Yggdarsil nie priamo, ale cez medziľahlý uzol – stredný sieťový prístupový bod, ktorý spravuje jeho operátor.
V tomto prípade, kto môže kompromitovať údaje, ktoré prenášate:
Operátor prístupového bodu. Je zrejmé, že súčasný prevádzkovateľ prístupového bodu siete Medium dokáže odpočúvať nešifrovanú prevádzku, ktorá prechádza jeho zariadením.
rozhodnutie: na prístup k webovým službám v rámci siete Yggdrasil použite protokol HTTPS (úroveň 7 OSI modely). Problémom je, že nie je možné vydať pravý bezpečnostný certifikát pre sieťové služby Yggdrasil konvenčnými prostriedkami ako napr Zašifrovať.
Preto sme založili vlastné certifikačné centrum - "Stredná globálna koreňová CA". Prevažná väčšina služieb v sieti Medium je podpísaná koreňovým bezpečnostným certifikátom sprostredkovateľskej certifikačnej autority Medium Domain Validation Secure Server CA.
S možnosťou kompromitácie koreňového certifikátu certifikačnej autority sa samozrejme počítalo – tu je však certifikát skôr potrebný na potvrdenie integrity prenosu dát a elimináciu možnosti MITM útokov.
Stredné sieťové služby od rôznych operátorov majú rôzne bezpečnostné certifikáty, tak či onak podpísané koreňovou certifikačnou autoritou. Operátori koreňovej CA však nedokážu odpočúvať šifrovaný prenos zo služieb, ktorým podpísali bezpečnostné certifikáty (pozri "Čo je CSR?").
Tí, ktorým ide najmä o svoju bezpečnosť, môžu ako doplnkovú ochranu použiť také prostriedky, ako napr PGP и podobný.
V súčasnosti má infraštruktúra verejných kľúčov siete Medium možnosť kontrolovať stav certifikátu pomocou protokolu OCSP alebo používaním C.R.L..
Choďte k veci
Užívateľ @NXShock začal vyvíjať vyhľadávač webových služieb umiestnených v sieti Yggdrasil. Dôležitým aspektom je skutočnosť, že zisťovanie adries IPv6 služieb pri vyhľadávaní sa vykonáva odoslaním požiadavky na server DNS umiestnený v sieti Medium.
Hlavná TLD je .ygg. Väčšina doménových mien má túto TLD, s dvoma výnimkami: .isp и .gg.
Vyhľadávač je vo vývoji, no jeho využitie je možné už dnes – stačí navštíviť webovú stránku hľadať.médium.isp.
Medium zriadilo novú certifikačnú autoritu Medium Global Root CA. Koho sa zmeny dotknú?
Včera bolo ukončené verejné testovanie funkčnosti certifikačného centra Medium Root CA. V závere testovania boli opravené chyby vo fungovaní služieb infraštruktúry verejných kľúčov a bol vytvorený nový koreňový certifikát certifikačnej autority „Medium Global Root CA“.
Zohľadnili sa všetky nuansy a vlastnosti PKI - teraz bude nový certifikát CA „Medium Global Root CA“ vydaný až o desať rokov neskôr (po dátume vypršania platnosti). Bezpečnostné certifikáty teraz vydávajú iba sprostredkujúce certifikačné autority – napríklad “Medium Domain Validation Secure Server CA”.
Ako teraz vyzerá reťazec dôveryhodnosti certifikátov?
Čo je potrebné urobiť, aby všetko fungovalo, ak ste používateľom:
Keďže niektoré služby používajú HSTS, pred použitím stredných sieťových zdrojov musíte vymazať údaje zo stredných intranetových zdrojov. Môžete to urobiť na karte História vášho prehliadača.
Čo je potrebné urobiť, aby všetko fungovalo, ak ste systémový operátor:
Musíte znova vydať certifikát pre vašu službu na stránke pki.medium.isp (služba je dostupná len v sieti Medium).
Bezpečnostné certifikáty pre každú domácnosť - ako si vytvoriť vlastnú službu v sieti Yggdrasil a vydať pre ňu platný SSL certifikát
Vzhľadom na rast počtu intranetových služieb v sieti Medium vzrástla potreba vydávať nové bezpečnostné certifikáty a konfigurovať ich služby tak, aby podporovali SSL.
Keďže Habr je technický zdroj, v každom novom prehľade jeden z bodov programu odhalí technické vlastnosti infraštruktúry siete Medium. Nižšie sú napríklad podrobné pokyny na vydanie certifikátu SSL pre vašu službu.
Príklady budú uvádzať názov domény doména.ygg, ktorý je potrebné nahradiť názvom domény vašej služby.
Krok 1. Vygenerujte súkromný kľúč a parametre Diffie-Hellman
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_req
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName = Locality Name (eg, city)
localityName_default = Kolomna
organizationName = Organization Name (eg, company)
organizationName_default = ACME, Inc.
commonName = Common Name (eg, YOUR name)
commonName_max = 64
commonName_default = *.domain.ygg
[ v3_req ]
subjectKeyIdentifier = hash
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
basicConstraints = CA:FALSE
nsCertType = server
authorityKeyIdentifier = keyid,issuer:always
crlDistributionPoints = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess = OCSP;URI:http://ocsp.medium.isp
Krok 3. Odoslať žiadosť o certifikát
Ak to chcete urobiť, skopírujte obsah súboru doména.ygg.csr a vložte ho do textového poľa na stránke pki.medium.isp.
Postupujte podľa pokynov uvedených na webovej lokalite a potom kliknite na tlačidlo „Odoslať“. V prípade úspechu bude na Vami zadanú emailovú adresu odoslaná správa s prílohou vo forme certifikátu podpísaného sprostredkujúcou certifikačnou autoritou.
Krok 4. Nastavte si webový server
Ak ako webový server používate nginx, použite nasledujúcu konfiguráciu:
súbor domain.ygg.conf v adresári /etc/nginx/sites-available/
Certifikát, ktorý ste dostali e-mailom, musíte skopírovať na: /etc/ssl/certs/domain.ygg.crt. Súkromný kľúč (doména.ygg.key) umiestnite ho do adresára /etc/ssl/private/.
Krok 5. Reštartujte webový server
sudo service nginx restart
Bezplatný internet v Rusku začína u vás
Dnes môžete poskytnúť všetku možnú pomoc pri zriadení bezplatného internetu v Rusku. Zostavili sme komplexný zoznam toho, ako presne môžete pomôcť sieti:
Povedzte svojim priateľom a kolegom o sieti Medium. zdieľam odkaz k tomuto článku na sociálnych sieťach alebo osobnom blogu
Zúčastnite sa diskusie o technických problémoch v sieti Medium na GitHub
Vytvorte si webovú službu v sieti Yggdrasil a pridajte ju do DNS strednej siete