Хабрахабр

Всё, что вы хотели знать о децентрализованном интернет-провайдере «Medium», но боялись спросить

Добрый день, Сообщество!

Я являюсь координатором общественной организации «Medium». Меня зовут Янислав Басюк.

В этой статье я постарался собрать наиболее исчерпывающую информацию о том, что являет собой этот действующий на территории Российской Федерации децентрализованный интернет-провайдер.

Я расскажу:

       Что из себя представляет «Medium»
       Что такое Yggdrasil и почему «Medium» использует его в качестве основного транспорта
       Как правильно настроить окружение для использования ресурсов сети «Medium»

Что такое «Medium»?

Medium (англ. Medium — «посредник», оригинальный слоган — Don't ask for your privacy. Take it back; также в английском слово medium значит «промежуточный») — российский децентрализованный интернет-провайдер, предоставляющий услуги доступа к сети Yggdrasil на безвозмездной основе.

Когда, где и зачем был создан «Medium»?

Изначально проект задумывался как Mesh-сеть в Коломенском городском округе.

«Medium» образован в апреле 2019 года в рамках создания независимой телекоммуникационной среды путём предоставления конечным пользователям доступа к ресурсам сети Yggdrasil посредством использования технологии беспроводной передачи данных Wi-Fi.

Что такое Yggdrasil и почему «Medium» использует его в качестве основного транспорта?

Yggdrasil — это самоорганизующаяся Mesh-сеть, имеющая возможность подключения роутеров как в режиме оверлея (поверх сети Интернет), так и непосредственно друг к другу через проводное или беспроводное соединение.

Главным отличием Yggdrasil от CjDNS является использование протокола STP (spanning tree protocol). Yggdrasil является продолжением проекта CjDNS.

По умолчанию все роутеры сети используют сквозное шифрование для передачи данных между другими участниками.

Выбор сети Yggdrasil как основного транспорта был обусловлен потребностью в увеличении скорости соединения (до августа 2019 года «Medium» использовал I2P).

Такая организация сети — самый действенный антидот для цензуры. Переход на Yggdrasil также предоставил участникам проекта возможность начать развёртывание Mesh-сети с топологией Full-Mesh.

Yggdrasil по умолчанию использует сквозное шифрование. Зачем сервисы сети «Medium» используют HTTPS?

Нет никакой необходимости использовать протокол HTTPS для соединения с веб-сервисами в сети Yggdrasil, если вы подключаетесь к ним через локально работающий роутер сети Yggdrasil.

Действительно: транспорт Yggdrasil на уровне протокола позволяет безопасно использовать ресурсы внутри сети Yggdrasil — возможность проведения MITM-атаки полностью исключена.

Ситуация в корне меняется, если вы получаете доступ к внутрисетевым ресурсам Yggdarsil не напрямую, а через промежуточный узел — точку доступа сети «Medium», которую администрирует её оператор.

Кто в таком случае может скомпрометировать данные, которые вы передаёте:

  1. Оператор точки доступа. Очевидно, что действующий оператор точки доступа сети «Medium» может прослушивать незашифрованный трафик, который проходит через его оборудование.
  2. Злоумышленник (человек посередине). «Medium» имеет проблему, схожую с проблемой сети Tor, только в отношении входных и промежуточных узлов.

Вот так это дело выглядит

Решение: для доступа к веб-сервисам внутри сети Yggdrasil использовать протокол HTTPS (7 уровень модели OSI). Проблема заключается в том, что для сервисов сети Yggdrasil невозможно выпустить подлинный сертификат безопасности обычными средствами, такими как Let's Encrypt.

Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности этого центра сертификации. Поэтому мы учредили собственный центр сертификации — «Medium Root CA».

Возможность компрометации корневого сертификата центра сертификации, безусловно, была принята во внимание — но здесь сертификат больше необходим для подтверждения целостности при передачи данных и исключения возможности проведения MITM-атак.

Однако операторы корневого удостоверяющего центра не имеют возможности прослушивать зашифрованный трафик сервисов, которым они подписали сертификаты безопасности (см. Сервисы сети «Medium» от разных операторов имеют разные сертификаты безопасности, так или иначе подписанные корневым удостоверяющим центром. «Что такое CSR?»).

Те, кто особо печётся о своей безопасности, может использовать в качестве дополнительной защиты такие средства, как PGP и подобные.

В данный момент инфраструктура открытых ключей сети «Medium» имеет возможность проверки статуса сертификата по протоколу OCSP или посредством использования CRL.

Существует ли в «Medium» своя система доменных имён?

Изначально в сети «Medium» не было централизованного сервера доменных имён, который бы мог позволить участникам сети обращаться к наиболее часто посещаемым ресурсам в более простой и привычной форме (в отличие от использования IPv6-адреса конкретного сервера).

Мы в «Medium» решили вдохнуть жизнь в эту идею — и, забегая немного вперёд, — у нас всё получилось!

Робот проверит, действительно ли этот адрес принадлежит человеку, осуществляющему попытку регистрации доменного имени. Регистрация доменных имён происходит в автоматическом режиме — достаточно просто указать IPv6-адрес сервера, на котором запущен сервис.

В случае, если сервер перестанет отвечать роботу и будет недоступен более 72 часов, доменное имя будет освобождено. В случае успеха доменное имя будет добавлено в базу данных доменных имён в течение 24 часов.

Зарегистрировать доменное имя на ::1 не получится

Копия полного переченя зарегистрированных доменных имён находится в репозитории на GitHub. Это позволяет обеспечить максимальную прозрачность в отношении текущего состояния доменных имён и исключить их блокировку исходя из возможности возникновения амбивалентной ситуации, обусловленной действием человеческого фактора. Вдруг оператору DNS что-то не понравится.

А что насчёт выпуска SSL-сертифиактов для веб-сервисов?

Создание сервера доменных имён было также обусловлено необходимостью развёртывания инфраструктуры открытых ключей — для того, чтобы выпустить сертификат, необходимо наличие в нём поля CN (Common Name), являющее собой доменное имя, для которого выпускается сертификат.

В случае успеха конечному пользователю направляется электронное письмо, включающее в себя подписанный сертификат. Процедура выпуска подписанных удостоверяющим центром сертификатов происходит в автоматическом режиме — робот проверяет корректность и подлинность введённых пользователем данных.

Вот такое

Как правильно настроить окружение для использования ресурсов сети «Medium»?

Особенности процесса настройки рабочего окружения зависят от операционной системы, которую вы используете.

Выбирайте мудро (картинка кликабельна):

Свободный Интернет в России начинается с Вас

Вы можете оказать посильную помощь становлению свободного Интернета в России уже сегодня. Мы составили исчерпывающий перечень того, чем именно вы можете помочь сети:

       Расскажите о сети «Medium» своим друзьям и коллегам
       Поделитесь ссылкой на эту статью в социальных сетях или персональном блоге
       Примите участие в обсуждении технических вопросов сети «Medium» на GitHub
       Создайте свой веб-сервис в сети Yggdrasil и добавьте его в DNS сети «Medium»
       Поднимите свою точку доступа к сети «Medium»

Читайте также:

Дорогая, мы убиваем Интернет
Децентрализованный интернет-провайдер «Medium» — три месяца спустя
«Medium» — первый децентрализованный интернет-провайдер в России

Мы в Telegram: @medium_isp

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть