Всё, что вы хотели знать о децентрализованном интернет-провайдере «Medium», но боялись спросить

    Добрый день, Сообщество!

    Меня зовут Янислав Басюк. Я являюсь координатором общественной организации «Medium».

    В этой статье я постарался собрать наиболее исчерпывающую информацию о том, что являет собой этот действующий на территории Российской Федерации децентрализованный интернет-провайдер.

    Я расскажу:

           Что из себя представляет «Medium»
           Что такое Yggdrasil и почему «Medium» использует его в качестве основного транспорта
           Как правильно настроить окружение для использования ресурсов сети «Medium»



    Что такое «Medium»?


    Medium (англ. Medium — «посредник», оригинальный слоган — Don't ask for your privacy. Take it back; также в английском слово medium значит «промежуточный») — российский децентрализованный интернет-провайдер, предоставляющий услуги доступа к сети Yggdrasil на безвозмездной основе.

    Когда, где и зачем был создан «Medium»?


    Изначально проект задумывался как Mesh-сеть в Коломенском городском округе.

    «Medium» образован в апреле 2019 года в рамках создания независимой телекоммуникационной среды путём предоставления конечным пользователям доступа к ресурсам сети Yggdrasil посредством использования технологии беспроводной передачи данных Wi-Fi.

    Где я могу найти полный перечень всех точек сети?
    Вы можете найти его в репозитории на GitHub.



    Что такое Yggdrasil и почему «Medium» использует его в качестве основного транспорта?


    Yggdrasil — это самоорганизующаяся Mesh-сеть, имеющая возможность подключения роутеров как в режиме оверлея (поверх сети Интернет), так и непосредственно друг к другу через проводное или беспроводное соединение.

    Yggdrasil является продолжением проекта CjDNS. Главным отличием Yggdrasil от CjDNS является использование протокола STP (spanning tree protocol).



    По умолчанию все роутеры сети используют сквозное шифрование для передачи данных между другими участниками.

    Выбор сети Yggdrasil как основного транспорта был обусловлен потребностью в увеличении скорости соединения (до августа 2019 года «Medium» использовал I2P).

    Переход на Yggdrasil также предоставил участникам проекта возможность начать развёртывание Mesh-сети с топологией Partial-Mesh. Такая организация сети — самый действенный антидот для цензуры.



    Yggdrasil по умолчанию использует сквозное шифрование. Зачем сервисы сети «Medium» используют HTTPS?


    Нет никакой необходимости использовать протокол HTTPS для соединения с веб-сервисами в сети Yggdrasil, если вы подключаетесь к ним через локально работающий роутер сети Yggdrasil.

    Действительно: транспорт Yggdrasil на уровне протокола позволяет безопасно использовать ресурсы внутри сети Yggdrasil — возможность проведения MITM-атаки полностью исключена.

    Ситуация в корне меняется, если вы получаете доступ к внутрисетевым ресурсам Yggdarsil не напрямую, а через промежуточный узел — точку доступа сети «Medium», которую администрирует её оператор.

    Кто в таком случае может скомпрометировать данные, которые вы передаёте:

    1. Оператор точки доступа. Очевидно, что действующий оператор точки доступа сети «Medium» может прослушивать незашифрованный трафик, который проходит через его оборудование.
    2. Злоумышленник (человек посередине). «Medium» имеет проблему, схожую с проблемой сети Tor, только в отношении входных и промежуточных узлов.

    Вот так это дело выглядит


    Решение: для доступа к веб-сервисам внутри сети Yggdrasil использовать протокол HTTPS (7 уровень модели OSI). Проблема заключается в том, что для сервисов сети Yggdrasil невозможно выпустить подлинный сертификат безопасности обычными средствами, такими как Let's Encrypt.

    Поэтому мы учредили собственный центр сертификации — «Medium Global Root CA». Подавляющее большинство сервисов сети «Medium» подписаны корневым сертификатом безопасности промежуточного центра сертификации «Medium Domain Validation Secure Server CA».



    Возможность компрометации корневого сертификата центра сертификации, безусловно, была принята во внимание — но здесь сертификат больше необходим для подтверждения целостности при передачи данных и исключения возможности проведения MITM-атак.

    Сервисы сети «Medium» от разных операторов имеют разные сертификаты безопасности, так или иначе подписанные корневым удостоверяющим центром. Однако операторы корневого удостоверяющего центра не имеют возможности прослушивать зашифрованный трафик сервисов, которым они подписали сертификаты безопасности (см. «Что такое CSR?»).

    Те, кто особо печётся о своей безопасности, может использовать в качестве дополнительной защиты такие средства, как PGP и подобные.

    В данный момент инфраструктура открытых ключей сети «Medium» имеет возможность проверки статуса сертификата по протоколу OCSP или посредством использования CRL.

    Существует ли в «Medium» своя система доменных имён?


    Изначально в сети «Medium» не было централизованного сервера доменных имён, который бы мог позволить участникам сети обращаться к наиболее часто посещаемым ресурсам в более простой и привычной форме (в отличие от использования IPv6-адреса конкретного сервера).

    Мы в «Medium» решили вдохнуть жизнь в эту идею — и, забегая немного вперёд, — у нас всё получилось!



    Регистрация доменных имён происходит в автоматическом режиме — достаточно просто указать IPv6-адрес сервера, на котором запущен сервис. Робот проверит, действительно ли этот адрес принадлежит человеку, осуществляющему попытку регистрации доменного имени.

    В случае успеха доменное имя будет добавлено в базу данных доменных имён в течение 24 часов. В случае, если сервер перестанет отвечать роботу и будет недоступен более 72 часов, доменное имя будет освобождено.

    Зарегистрировать доменное имя на ::1 не получится


    Копия полного переченя зарегистрированных доменных имён находится в репозитории на GitHub. Это позволяет обеспечить максимальную прозрачность в отношении текущего состояния доменных имён и исключить их блокировку исходя из возможности возникновения амбивалентной ситуации, обусловленной действием человеческого фактора. Вдруг оператору DNS что-то не понравится.



    А что насчёт выпуска SSL-сертификатов для веб-сервисов?


    Создание сервера доменных имён было также обусловлено необходимостью развёртывания инфраструктуры открытых ключей — для того, чтобы выпустить сертификат, необходимо наличие в нём поля CN (Common Name), являющее собой доменное имя, для которого выпускается сертификат.

    Процедура выпуска подписанных удостоверяющим центром сертификатов происходит в автоматическом режиме — робот проверяет корректность и подлинность введённых пользователем данных. В случае успеха конечному пользователю направляется электронное письмо, включающее в себя подписанный сертификат.

    Вот такое




    Как правильно настроить окружение для использования ресурсов сети «Medium»?


    Особенности процесса настройки рабочего окружения зависят от операционной системы, которую вы используете.

    Выбирайте мудро (картинка кликабельна):





    Читайте также:

    Дорогая, мы убиваем Интернет
    Децентрализованный интернет-провайдер «Medium» — три месяца спустя
    «Medium» — первый децентрализованный интернет-провайдер в России

    Мы в Telegram: @medium_isp

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Альтернативное голосование: нам важно знать мнение тех, кто не имеет полноправного аккаунта на Хабре

    Medium
    153,18
    Децентрализованный интернет-провайдер
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 19

      0
      Главным отличием Yggdrasil от CjDNS является использование протокола STP (spanning tree protocol).
      STP — это же протокол уровня L2, по сути для свитчей (со временем сходимости до 50 секунд). Каким образом он используется у вас?
        0
        Не понимаю я этой затеи. В чём идея? Сделать так, чтобы по городам были разбросаны Wi-Fi точки доступа к darknet?
        Кому это удобно?
        С точки зрения пользователя — это вместо того, чтобы в пару кликов поставить себе клиент darknet, надо переться в Коломну? Зачем?
        С точки зрения энтузиаста — это получается надо держать точку, с подключением к розетке и к интернету. Получается это у себя в квартире что ли держать точку предлагаете? Чтобы любой майор с пеленгатором вроде такого habr.com/ru/post/323638 каждый день в участок отвозил на 3 часа? Зачем?
        Иии, какую проблему это всё решает?
        А против цензуры на мой взгляд гораздо проще устроить туннель
        Стеганография->darknet->outproxy->VPN
        Стеганография чтобы домашний провайдер не резал трафик,
        darknet для приватности
        VPN чтобы капчу на каждой странице не пришлось вводить.
        А чтобы пользователям было это несложно устанавливать, достаточно (внезапно) сделать простой установщик, а не городить огород из Wi-Fi точек доступа по всей стране.
          0
          Добрый день, см. обсуждения на GitHub.
            0
            не городить огород из Wi-Fi точек доступа по всей стране.

            … чтобы пришлось ехать на даркнетовое паломничество в Коломну? Почему б и не городить, если доказательной базы не образуется.
            А чтобы пользователям было это несложно устанавливать, достаточно (внезапно) сделать простой установщик

            Специально для вас, лично я сделал образ для RasPi, который заворачивает весь трафик в Tor. Почему вы его еще не подняли? (:
              +2
              Почему б и не городить, если доказательной базы не образуется.

              Потому что это огромное количество человеко-часов потраченные непонятно зачем. Не, ну если это им доставляет удовольствие, ну ок, но тогда это не более чем странное развлечение.
              Специально для вас, лично я сделал образ для RasPi, который заворачивает весь трафик в Tor. Почему вы его еще не подняли? (:

              Потому, что мне хватает бесплатного дополнения с vpn в браузере :)
              (Хоть это и не по всем канонам безопасности)
              Я всё ещё не вижу веских причин для того, чтобы организовывать такую огромную архитектуру. Есть 2 способа железобетонно победить цензуру:
              А. Туннель, описанный комментарием выше. Это может сделать 1 человек за 1 день.
              Б. Организовать оверлейную сеть и покрыть всю страну точками доступа к ней. На это надо более 1'000'000 человек и чёрт знает когда это будет готово.
              Нет, я не говорю что вариант Б плох — это безопасно, никому не мешает и законом не запрещено. Но если кто-то хочет чтобы я (и тот самый миллион человек) в этом участвовали, то нужна несколько более аргументированная рекламная кампания.
                0
                Потому что это огромное количество человеко-часов потраченные непонятно зачем.

                Зачем светит солнце?
                Зачем спасают и выхаживают котиков?
                Free & Anonymous Wi-Fi из той же оперы.

                Кстати, число человекочасов вы преувеличиваете.
                15 минут скачать, 5 минут прожечь на флэшку, и пять минут на поднять. И забыть. Но волонтеров надо много, да.

                А вот описанный вами туннель, как по мне — сложнее.
                Ну, т.е. отдельный девайс, который поднимает точку доступа, к которой можно зацепиться любым беспроводным девайсом и автомагически обойти блокировки как по мне более юзерфрендли )
              +1
              Чтобы любой майор с пеленгатором
              Майоры с пеленгаторами, разъезжающие по стране и заходящие в даркнет через эти точки, существуют лишь в фантазиях хаброюзеров.

              В реальности сотрудники ГРЧЦ (вы хоть знали, какое ведомство мониторит точки доступа?) не будет искать скрытые запароленные сети, из которых нельзя зайти на порносайт и наделать скриншотов, чтобы хоть как-то притянуть физ.лицо, пусть и за предоставление возможности неограниченному кругу детей посмотреть порно (поскольку за сам факт держания открытой точки физ.лицо не притянешь, закон не велит, а призывов свергать власть через эту точку не совершали).

              Другое дело, что «Медиум», так и останется игрушкой полутора энтузиастов. Я это понял ещё когда увлёкся CJDNS. Областной центр, полмиллиона жителей. Открыл карту, увидел три (!) точки на весь свой город. Закрыл. Ну какой тут может быть меш? А если использовать Интернет для связи усзлов, то зачем роутеры, меш-сети, поставил себе клиент I2P и вперед — ты уже в даркнете.
                0
                закон не велит

                Так закон о связи не велит и в трафик лезть (лицензия дается на передачу данных, плюс тайна переписки), но, как мы все знаем, есть высшие соображения, которые позволяют закрыть глаза на закон и перекрыть его другой писулькой, которая обязывает провайдеров в нарушение их лицензий по непонятно каким спискам трафик прижимать.
                Так что, уверен, будет все просто: увидят в эфире точку с подозрительным именем, и накажут кого попало. Сам видел, как за нахождение в эфире точки с названием соседнего магазина (при том, что точка из магазина добивать в указанное место не могла физически) тупо пришли в магаз и пробовали штраф выписать. Тогда договорились на «регистрацию» точки и на предоставление бумажек, что точка сделана по стандартам РФ, но там ничего такого не было, а будет резонансное дело — схватят кого найдут и накажут кого попало.

                И, да, по теме поста: раз прозвучало слово провайдер, то возникнет и слово «СОРМ» (и другие). Я так понимаю, план в том, чтобы прятаться, дескать, нас миллионы, но нафиг никому не нужны, так что нас не найдут? Найдут, увы, найдут — а потом каждому участнику сети вменят, словно он был провайдером («центра»-то нет), и лично не выполнил требования про СОРМ, фильтрацию, защиту старушек от чп, защиту детей от старушек — и за каждый пункт тупо каждого оштрафуют. У них, как думаю, тоже план есть, а тут такая возможность!
                  0
                  Будут вменять физическим лицам невыполнение правил, которые касаются исключительно юридических лиц?
                  0
                  Сейчас не развито потому что необходимости нет, но гайки закручиваются и она растет.
                  0
                  как вариант, сеть независимая от положения главного рубильника защиты национального сегмента интернета? хотя бы в некоторой локальной конфигурации, с дальнейшей гипотетической возможностью установления связи между этими локалями.
                  +1
                  Don't ask for your privacy. Take it back.

                  Что-то похожее уже слышал...
                  Мы не можем ждать милостей от природы, взять их у нее — наша задача. И.В. Мичурин

                    0
                    В точку!
                    +5
                    нужны более подробные инструкции, как поднять свой узел. с вашей коротенькой инструкцией поднять узел под силу лишь админам либо очень продвинутым юзерам (либо людям с очень большим количеством свободного времени, не знающим, чем себя занять). если вы хотите быстрого роста, нужно сделать так, чтобы узел мог поднять любой. объективно сложного ведь по сути ничего нет, это определенный четкий алгоритм действий. для юзера сложность состоит в том, что ему этот алгоритм неизвестен. но вам-то он известен. сделайте его известным для юзера сразу. опишите все пошагово и подробно.

                    Шаг 1. Подключение к сети Yggdrasil

                    Сперва-наперво вам нужно подключиться к сети Yggdrasil. Сделать это можно при помощи клиента yggdrasil-go.


                    ссылка на гитхаб уже отсекает подавляющее большинство потенциальных операторов. что делает обычный российский юзер, видя кучу каких-то папок и файлов в каких-то репозиториях с непонятными комментариями и кучу технического английского текста (это если он еще догадается прокрутить страницу вниз, а то ведь и текста не увидит)? правильно, он думает «не, это явно слишком сложно», закрывает страницу и уходит навсегда. даже если он изначально был готов вложить некоторое количество времени и денег в развитие свободной сети.
                    решение: выложить скомпилированный под винду релиз Yggdrasil и подробные инструкции на русском языке, как его запустить и сконфигурировать, прямо на своем сайте. на видном месте.

                    Шаг 2. Раздача слонов

                    После того, как будет произведено подключение, вам необходимо сконфигурировать ваш беспроводной маршрутизатор таким образом, чтобы весь трафик шёл через прокси, расположенный на сервере, где был запущен клиент Yggdrasil. Предполагается, что он развёрнут в локальной домашней сети.

                    Обратите особое внимание на то, что для аутентичности сеть должна обладать следующими параметрами: SSID — Medium, пароля нет, сеть скрыта.


                    та малая часть юзеров, которую не отпугнул гитхаб, начинает ломать себе голову. маршрутизатор… что это такое, где его взять, скока стоит? какие модели вообще бывают, какие модели подходят для моих целей?

                    вам необходимо сконфигурировать ваш беспроводной маршрутизатор таким образом, чтобы весь трафик шёл через прокси, расположенный на сервере, где был запущен клиент Yggdrasil.

                    оппа, а как это сделать? какой еще прокси? какой сервер? что такое SSID и как его скрыть?

                    Шаг 3. Блокировка трафика

                    В зависимости от модели вашего маршрутизатора, запретите любой трафик, который так или иначе относится ко внешнему Интернету.


                    а это как сделать?

                    это все элементарные вещи, с которыми справится любая домохозяйка, просто она об этом не знает. она не знает, что сервером может быть хоть ее старый ненужный лептоп, который все равно в углу пылится.

                    понятно, что нельзя дать подробные инструкции по настройке всех моделей маршрутизаторов, но можно взять несколько самых используемых и доступных в россии, кратенько описать, где их можно купить, сколько они примерно стоят, как выглядят и как их настроить для работы точки доступа medium. у большинства ведь они и так есть, просто люди не знают, что эта коробочка, которая на стене висит, называется маршрутизатор. дайте подробные пошаговые инструкции со скриншотами для настройки нескольких самых распространенных моделей рутеров.

                    вам нужно делать ставку на простых юзеров без технических знаний. для того, чтобы у вашей сети появилась хоть какая-то ценность, нужно, чтобы было множество точек доступа в каждом городе. даже с сотней-другой разбросанных по стране узлов сеть останется маргинальным проектом, который ничего не решает, который никто не замечает, и который ляжет вместе с интернетом, если интернет россиянам и правда «отключат» (а если не отключат — зачем medium, если есть tor, vpn, i2p и т.д.). нужно намного больше узлов — столько, чтобы они хотя бы в больших городах создавали независимую от интернета mesh-сеть. нужны миллионы юзеров.
                    сделайте так, чтобы для установки точки доступа medium юзеру нужно было не больше знаний и гугления, чем для установки игры в стиме, и у сети появится шанс.
                      +1
                      В скором времени будет реализован «легкий установщик» для ОС Windows, также некоторые виды прошивок для модемов с Medium внутри.
                      –1
                      Делаем Чебурнет своими руками
                        0
                        Делать что-то ради освоения и развития технологии, разумеется, важно, для развития навыков, эволюции и понимания возможностей и эксплойтов системы.
                        Другое дело что, выходя на широкого потребителя, нужно понимать одну вещь: он ленив, глуп и ему нужно решение в один клик.
                        Я сейчас скажу страшную вещь: в случае реального окукливания рунета в обособленную сеть как в Северной Корее (во что я не верю, но положим) огромное количество людей все будет устраивать. Они будут сидеть в тех же Одноклассниках, читать новости про Крым и смотреть Елки и Кривое Зеркало. Среди нас ходит полно людей, до 2005 года сидевших в локалках на лапше, протянутой по фасаду, с ФТП и прочим блэкджеком на раздевание, и их не особо огорчит фактическое возвращение в те времена.
                        Да, есть много способов связи на случай разных уровней дерьма. Отключат от мирового Интернета – пригодятся распределенные сети. Запретят компьютеры – появятся файловые пушеры в подворотнях. Просто пока наша страна не находится в состоянии гражданской войны, оккупационного террора или революции – подобные проекты не будут интересны массам. Закрытые распределенные сети будут чем-то вроде движения выживальщиков, которые покупают ножи, «горку», консервы и идут в лес ради каких-то своих фетишистских целей.
                        Я не против и не насмехаюсь, поймите. Просто у рядового пользователя не будет вашей мотивации, и вы сможете привлечь пользователя только простотой — готовым пакетом-установщиком с туториалом, например, или напирать на гражданскую позицию людей ради популяризации продукта.
                          0
                          То есть сделали кучу ненужных централизованных сервисов в децентрализованной сети и назвали это интернет провайдером. При том, что доступ там только к сети yggdrasil, а не интернет. Какой смысл в этом? А ещё эти люди собираются контролировать домены в сети и сертификаты. То есть иметь все возможности для MITM атак. Это уже скорее какой-то децентрализованный чебурнет получается. И даже если их мотивы самые лучшие, то где гарантия, что они не проимеют все криптографические ключи от всей этой инфраструктуры?
                            0
                            Статье еще нет месяца, а уже практически все ссылки на репозитории и т.п. битые… Как-то вообще не хорошо. Хоть бы редиректы настраивали при удалении репозиториев.
                            Ваша сеть точно стабильно работать будет?

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое