Rosenpass 是针对即将发生的事情的重要预防措施:
最近 这 消息说一群我德国研究人员、开发人员和密码学家发布了 Rosenpass 项目的第一版,它开发了可抵抗量子计算机攻击的 VPN 和密钥交换机制。
罗森帕斯 在引擎盖下使用 WireGuard VPN 以及标准加密算法和密钥 它用作传输,并在量子计算机上使用受黑客保护的密钥交换工具对其进行补充(即 Rosenpass 在不改变 WireGuard 的操作算法和加密方法的情况下额外保护密钥交换)。
Rosenpass 也可以以通用密钥交换工具的形式与 WireGuard 分开使用,适用于保护其他协议免受量子计算机攻击。
关于罗森帕斯
Rosenpass 是用 Rust 编写的,使用 liboqs 1 和 libsodium 2, 该工具建立一个对称密钥并将其提供给 WireGuard。 由于您通过 PSK 函数为 WireGuard 提供密钥,因此使用 Rosenpass+WireGuard 的加密安全性不亚于单独使用 WireGuard(“混合安全性”)。
目前正在进行正式验证协议的工作, 密码算法和实现,以提供可靠性的数学证明。 目前,已经使用 ProVerif 对协议及其在 Rust 语言中的基本实现进行了符号分析。
协议书 Rosenpass 基于 PQWG 后量子认证密钥交换机制 (后量子 WireGuard),内置 使用 McEliece 密码系统,而不是在量子计算机上抵抗蛮力。 Rosenpass 生成的密钥以 WireGuard 预共享密钥 (PSK) 对称密钥的形式使用,为混合 VPN 连接实施额外的保护层。
Rosenpass分配了两个UDP端口; 如果为 rosenpass 指定了端口 N,它将为 WireGuard 分配端口 N+1。
与 WireGuard 一样,Rosenpass 不强制执行客户端和服务器之间的任何分离。 如果不指定listenoption,Rosenpass和WireGuard会选择随机端口; 这是客户端模式。 如果您不指定端点,Rosenpass 将不会尝试连接到对等点,而是等待对等点连接。 这是服务器模式。 您可以同时指定两者。 两者都跳过是不被禁止的,但也不是很有用。
Rosenpass 提供单独的后台进程 它用于使用后量子加密技术在握手过程中生成预定义的 WireGuard 密钥和安全密钥交换。
与 WireGuard 一样,Rosenpass 中的对称密钥每两分钟更新一次。 为了保护连接,使用了共享密钥(在每一侧,生成一对公钥和私钥,之后参与者将公钥传递给彼此)。
与任何应用程序一样,出现问题的风险很小 安全批评者(例如缓冲区溢出、远程代码执行); Rosenpass 应用程序是用 Rust 编程语言编写的,不太容易出现此类问题。 Rosenpass 还可以将密钥写入文件,而不是将它们提供给 WireGuard。 通过一些脚本编写,部署独立模式可用于在容器、VM 或其他主机中运行您的应用程序。 此模式还可用于将 WireGuard 以外的工具与 Rosenpass 集成。
值得一提的是,Rosenpass 有一些缺点; 它以 root 身份运行,这需要访问 WireGuard 和 Rosenpass 私钥,控制界面,并仅使用一个界面。 如果您不确定是否以 root 身份运行 Rosenpass,您应该使用独立模式使用容器、监狱或虚拟机创建更安全的设置。
该工具包代码是用 Rust 编写的,并在 MIT 和 Apache 2.0 许可下分发。 密码算法和原语是从 C 库 liboqs 和 libsodium 借来的。
已发布的代码库定位为参考实现:根据提供的规范,可以使用其他编程语言开发替代工具选项。
最后,如果你有兴趣了解更多,可以咨询详情 在下面的链接中。