- PVSM.RU - https://www.pvsm.ru -

Децентрализованный интернет-провайдер «Medium» отказывается от использования SSL в пользу нативного шифрования Yggdrasil

Mesh-сети — это всегда хорошо. А если они работают — ещё лучше!

Доброго дня, Сообщество!

В этой статье я расскажу, почему децентрализованный интернет-провайдер «Medium» [1] отказывается от использования SSL и удостоверяющих центров в пользу нативного шифрования Yggdrasil [2] — чем был обусловлен такой выбор, зачем использовались средства SSL до этого момента и как теперь жить.

Подробности — под катом.

Децентрализованный интернет-провайдер «Medium» отказывается от использования SSL в пользу нативного шифрования Yggdrasil - 1

Напомните мне — что такое «Medium»?

Medium (англ. Medium — «посредник», оригинальный слоган — Don't ask for your privacy. Take it back; также в английском слово medium значит «промежуточный») — российский децентрализованный интернет-провайдер, предоставляющий услуги доступа к сети Yggdrasil на безвозмездной основе.

Полное наименование — Medium Internet Service Provider. Изначально проект задумывался как Mesh-сеть [3] в Коломенском городском округе [4].

Образован в апреле 2019 года в рамках создания независимой телекоммуникационной среды путём предоставления конечным пользователям доступа к ресурсам сети Yggdrasil посредством использования технологии беспроводной передачи данных Wi-Fi.

Больше информации по теме: «Всё, что вы хотели знать о децентрализованном интернет-провайдере «Medium», но боялись спросить» [1]

Что?

Децентрализованный интернет-провайдер «Medium» отказывается от использования SSL и удостоверяющих центров в пользу нативного шифрования Yggdrasil — это значит, что теперь шифрование посредством использования SSL [5] осуществляться не будет — вместо этого будет повсеместно использовано сквозное шифрование, предусмотренное спецификациями Yggdrasil [2].

Топология сети «Medium» с этого момента принимает следующий вид:

Децентрализованный интернет-провайдер «Medium» отказывается от использования SSL в пользу нативного шифрования Yggdrasil - 2

Зачем?

Сквозное шифрование внутри сети Yggdrasil необходимо для того, чтобы избежать атак вида Man in the middle [6], которые позволяют злоумышленнику прослушивать чужой трафик.

Yggdrasil использует Curve25519 [7], XSalsa20 [8] и Poly1305 [9] для обмена ключами, шифрования и аутентификации.

Почему?

Вопрос о необходимости использования шифрования трафика средствами SSL был поднят ещё давно — в те времена, когда «Medium» использовал I2P в качестве основного транспорта.

На тот момент ситуация обстояла следующим образом

image

SSL был необходим для того, чтобы избежать прослушки трафика на роутере «Medium». Схожая проблема есть и у сети Tor — только в отношении выходных узлов [10].

Трафик шёл от I2P до роутера «Medium» зашифрованным, после — расшифровывался клиентом I2P на том же роутере и передавался клиенту.

Так как соединение между клиентом и роутером «Medium» не было защищено, было предложено использовать криптографический протокол шифрования трафика — SSL [11], расположенный на седьмом уровне сетевой модели OSI [12].

В дальнейшем сообщество сети «Medium» полностью отказалось от использования удостоверяющих центров и SSL в пользу нативного шифрования Yggdrasil, так как задумка децентрализованной сети с централизованными удостоверяющими центрами казалась крайне нелепой.

Читайте также:

Всё, что вы хотели знать о децентрализованном интернет-провайдере «Medium», но боялись спросить [1]
Дорогая, мы убиваем Интернет [13]
Децентрализованный интернет-провайдер «Medium» — три месяца спустя [14]

Мы в Telegram: @medium_isp [15]

Автор: podivilov

Источник [16]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/327656

Ссылки в тексте:

[1] децентрализованный интернет-провайдер «Medium»: https://habr.com/ru/company/medium-isp/blog/463363/

[2] Yggdrasil: https://yggdrasil-network.github.io/

[3] Mesh-сеть: https://ru.wikipedia.org/wiki/Mesh-%D1%81%D0%B5%D1%82%D0%B8

[4] Коломенском городском округе: https://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BB%D0%BE%D0%BC%D0%BD%D0%B0

[5] шифрование посредством использования SSL: https://habr.com/ru/company/medium-isp/blog/463869/

[6] Man in the middle: https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D0%BF%D0%BE%D1%81%D1%80%D0%B5%D0%B4%D0%BD%D0%B8%D0%BA%D0%B0

[7] Curve25519: https://en.wikipedia.org/wiki/Curve25519

[8] XSalsa20: https://en.wikipedia.org/wiki/Salsa20

[9] Poly1305: https://en.wikipedia.org/wiki/Poly1305

[10] только в отношении выходных узлов: https://habr.com/ru/post/357128/

[11] SSL: https://ru.wikipedia.org/wiki/SSL

[12] сетевой модели OSI: https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D0%B0%D1%8F_%D0%BC%D0%BE%D0%B4%D0%B5%D0%BB%D1%8C_OSI

[13] Дорогая, мы убиваем Интернет: https://habr.com/ru/company/medium-isp/blog/461979/

[14] Децентрализованный интернет-провайдер «Medium» — три месяца спустя: https://habr.com/ru/post/459436/

[15] @medium_isp: https://t.me/medium_isp

[16] Источник: https://habr.com/ru/post/464319/?utm_campaign=464319&utm_source=habrahabr&utm_medium=rss