Если мы хотим выстоять против этой разрушительной тенденции правительства по установлению криптографии вне закона, одна из мер, которой мы можем воспользоваться, — это применять криптографию столько, сколько сможем, пока её применение ещё легально.
— Ф. Циммерман
Дорогие участники Сообщества!
Начиная с этой пятницы мы будем еженедельно публиковать наиболее интересные заметки о событиях, происходящих в сообществе децентрализованного интернет-провайдера «Medium».
Данный дайджест призван повысить интерес Сообщества к проблеме приватности, которая в свете последних событий становится как никогда прежде актуальной.
На повестке дня:
- «Medium» создаёт свою экосистему веб-сервисов в сети I2P
- Инфраструктура открытых ключей — зачем нужен HTTPS в I2P
- Эксперты РосКомСвободы не обнаружили нарушений закона в деятельности децентрализованного интернет-провайдера «Medium»
Напомните мне — что такое «Medium»?
Проект «Medium» изначально задумывался как Mesh-сеть в Коломенском городском округе, однако спустя некоторое время сталось весьма очевидным то, что для реализации задумки недостаточно желающих принять в этом участие.
По этой причине спустя некоторое время «Medium» превратился в независимого и бесплатного поставщика услуг доступа к сети I2P — энтузиасты настраивают свои беспроводные точки доступа так, чтобы при подключении к ним становилось возможным использование ресурсов проекта I2P.
«Medium» на безвозмездной основе предоставляет пользователям доступ к ресурсам сети I2P, благодаря использованию которой становится невозможным вычисление не только маршрутизатора, откуда пришёл трафик (см. основные принципы работы «чесночной» маршрутизации трафика), но и конечного пользователя — абонента «Medium».
Больше информации о том, что из себя представляет «Medium», можно найти в соответствующей статье.
«Medium» создаёт свою экосистему веб-сервисов в сети I2P
I2P (проект «Невидимый Интернет») подтвердил свою работоспособность на практике: на момент публикации статьи в сети действует как минимум 5000 роутеров.
Основной проблемой до недавнего времени являлось недостаточное количество внутрисетевых сервисов, которые бы могли показать себя достойными альтернативами наиболее популярным сервисам Интернета.
Сообщество пользователей «Medium» решило исправить эту ситуацию и начало развёртывать собственную экосистему веб-сервисов внутри сети I2P.
На данный момент пользователям доступны следующие сервисы общего назначения:
Если у вас есть гениальная идея, свободное время, свой сервер и энтузиазм — вы можете помочь сообществу в развитии экосистемы веб-сервисов сети «Medium»: создайте заявку на добавление вашего сервиса в список и смело приступайте к разработке!
«Medium» также имеет своего рода подобие системы доменных имён. Оператор точки доступа «Medium» может добавить в список подписок маршрутизатора I2P сервис dns.medium.i2p, чтобы его пользователи получили доступ ко всем сервисам сети «Medium».
Инфраструктура открытых ключей — зачем нужен HTTPS в I2P
Нет никакой необходимости использовать протокол HTTPS для соединения с веб-сервисами в сети I2P, если вы подключаетесь к ним через локально работающий прокси-сервер вашего клиента I2P (например, i2pd).
Действительно: транспорт SSU и NTCP2 на уровне протокола позволяет безопасно использовать ресурсы сети I2P — возможность проведения MITM-атаки полностью исключена.
Ситуация в корне меняется, если вы получаете доступ к ресурсам сети I2P не напрямую, а через промежуточный узел — точку доступа сети «Medium», которую администрирует её оператор.
Кто в таком случае может скомпрометировать данные, которые вы передаёте:
- Оператор точки доступа. Очевидно, что действующий оператор точки доступа сети «Medium» может прослушивать незашифрованный трафик, который проходит через его оборудование.
- Злоумышленник (человек посередине). «Medium» имеет проблему, схожую с проблемой сети Tor, только в отношении входных и промежуточных узлов.
Решение: для доступа к веб-сервисам сети I2P использовать протокол HTTPS (7 уровень модели OSI). Проблема заключается в том, что для сервисов сети I2P невозможно выпустить подлинный сертификат безопасности обычными средствами, такими как Let's Encrypt.
Поэтому энтузиасты учредили собственный центр сертификации — «Medium Root CA». Все сервисы сети «Medium» подписаны корневым сертификатом безопасности этого центра сертификации.
Возможность компрометации корневого сертификата центра сертификации, безусловно, была принята во внимание — но здесь сертификат больше необходим для подтверждения целостности при передачи данных и исключения возможности проведения MITM-атак.
Сервисы сети «Medium» от разных операторов имеют разные сертификаты безопасности, так или иначе подписанные корневым удостоверяющим центром. Однако операторы корневого удостоверяющего центра не имеют возможности прослушивать зашифрованный трафик сервисов, которым они подписали сертификаты безопасности (см. «Что такое CSR?»).
Те, кто особо печётся о своей безопасности, может использовать в качестве дополнительной защиты такие средства, как PGP и подобные.
Кстати: не только сервисы сети «Medium» имеют возможность подключения по протоколу HTTPS — такой же возможностью обладает и сервис stats.i2p.
В данный момент инфраструктура открытых ключей сети «Medium» имеет возможность проверки статуса сертификата по протоколу OCSP или посредством использования CRL.
«А присесть как математик Богатов можно?»
Эксперты РосКомСвободы не обнаружили нарушений закона в деятельности децентрализованного интернет-провайдера «Medium».
В понедельник мы проконсультировались с экспертами Центра Цифровых Прав (также известного как РосКомСвобода).
В результате проверки никаких нарушений закона выявлено не было. На данный момент мы активно сотрудничаем с РосКомСвободой и вместе составляем обращение в Минкомсвязи.
Убедительная просьба
В том случае, если вы заметили проблемы с доступностью какого-либо из сервисов сети «Medium», не пишите об этом в комментариях к публикации — вместо этого откройте тикет в репозитории на GitHub. Так владельцы сервисов смогут оперативнее отреагировать на случившийся сбой.
Свободный Интернет в России начинается с Вас
Вы можете оказать посильную помощь становлению свободного Интернета в России уже сегодня. Мы составили исчерпывающий перечень того, чем именно вы можете помочь сети:
- Расскажите о сети «Medium» своим друзьям и коллегам. Поделитесь ссылкой на эту статью в социальных сетях или персональном блоге
- Примите участие в обсуждении технических вопросов сети «Medium» на GitHub
- Примите участие в разработке дистрибутива OpenWRT, предназначенного для работы с сетью «Medium»
- Создайте свой веб-сервис в сети «Medium»
- Поднимите свою точку доступа к сети «Medium»
Читайте также:
«Medium» — первый децентрализованный интернет-провайдер в России
Децентрализованный интернет-провайдер «Medium» — три месяца спустя
Мы в Telegram: @medium_isp
Автор: podivilov