Rosenpass ist eine wichtige Vorsorge gegen das, was kommt:
Quelle: linuxadictos.com
Du musst Regestriert sein, um das angehängte Bild zusehen.
Vor kurzem die Nachricht, dass eine Gruppe von iDeutsche Forscher, Entwickler und Kryptografen haben die erste Version des Rosenpass-Projekts veröffentlicht, das VPN- und Schlüsselaustauschmechanismen entwickelt, die gegen Quantencomputerangriffe resistent sind.
Rosenpass verwendet WireGuard VPN unter der Haube zusammen mit Standard-Verschlüsselungsalgorithmen und Schlüsseln der als Transport dient und ergänzt diesen mit hackgeschützten Schlüsselaustausch-Tools auf Quantencomputern (d.h. Rosenpass schützt zusätzlich den Schlüsselaustausch, ohne die Betriebsalgorithmen und Verschlüsselungsmethoden von WireGuard zu verändern).
Rosenpass kann auch separat von WireGuard in Form eines generischen Schlüsselaustausch-Tools verwendet werden, das zum Schutz anderer Protokolle vor Quantencomputerangriffen geeignet ist.
Über den Rosenpass
Rosenpass ist in Rust geschrieben und verwendet liboqs 1 und libsodium 2, Das Tool erstellt einen symmetrischen Schlüssel und stellt ihn WireGuard zur Verfügung. Da Sie WireGuard über die PSK-Funktion einen Schlüssel zur Verfügung stellen, ist die Nutzung von Rosenpass+WireGuard kryptografisch nicht weniger sicher als die alleinige Nutzung von WireGuard („hybride Sicherheit“).
Derzeit wird daran gearbeitet, das Protokoll formal zu verifizieren, kryptografische Algorithmen und Implementierung, um einen mathematischen Zuverlässigkeitsnachweis zu erbringen. Derzeit wurde mit ProVerif bereits eine symbolische Analyse des Protokolls und seiner grundlegenden Implementierung in der Sprache Rust durchgeführt.
Protokoll Rosenpass basiert auf dem PQWG Post-Quantum-authentifizierten Schlüsselaustauschmechanismus (Post-Quantum WireGuard), gebaut unter Verwendung des McEliece-Kryptosystems, die auf einem Quantencomputer gegen Brute Force resistent ist. Der von Rosenpass generierte Schlüssel wird in Form eines symmetrischen WireGuard Pre-Shared Key (PSK)-Schlüssels verwendet, der eine zusätzliche Schutzebene für die hybride VPN-Verbindung implementiert.
Rosenpass weist zwei UDP-Ports zu; Wenn Port N für Rosenpass angegeben ist, wird Port N+1 für WireGuard zugewiesen.
Wie WireGuard erzwingt Rosenpass keine Trennung zwischen Clients und Servern. Wenn Sie die Option listen nicht angeben, wählen Rosenpass und WireGuard zufällige Ports aus; Dies ist der Client-Modus. Wenn Sie keinen Endpunkt angeben, versucht Rosenpass nicht, eine Verbindung zum Peer herzustellen, und wartet stattdessen auf Peer-Verbindungen. Dies ist der Servermodus. Sie können beide angeben. Beides zu überspringen ist nicht verboten, aber auch nicht sehr sinnvoll.
Rosenpass bietet einen separaten Hintergrundprozess, die verwendet wird, um vordefinierte WireGuard-Schlüssel zu generieren und den Schlüsselaustausch während des Handshake-Prozesses mithilfe von Post-Quanten-Kryptografietechniken zu sichern.
Wie bei WireGuard werden die symmetrischen Schlüssel in Rosenpass alle zwei Minuten aktualisiert. Zum Schutz der Verbindung werden Shared Keys verwendet (auf jeder Seite wird ein Paar aus öffentlichem und privatem Schlüssel generiert, danach übertragen sich die Teilnehmer gegenseitig die öffentlichen Schlüssel).
Wie bei jeder Anwendung besteht ein geringes Risiko von Problemen Sicherheitskritiker (z. B. Pufferüberläufe, Remotecodeausführung); Die Rosenpass-App ist in der Programmiersprache Rust geschrieben, die für diese Art von Problemen viel weniger anfällig ist. Rosenpass kann auch Schlüssel in Dateien schreiben, anstatt sie WireGuard bereitzustellen. Mit ein wenig Skripting kann der Bereitstellungs-unabhängige Modus verwendet werden, um Ihre Anwendung in einem Container, einer VM oder einem anderen Host auszuführen. Dieser Modus kann auch verwendet werden, um andere Tools als WireGuard mit Rosenpass zu integrieren.
Es ist erwähnenswert, dass Rosenpass einige Nachteile hat; Es läuft als Root, was Zugriff auf die privaten Schlüssel von WireGuard und Rosenpass benötigt, die Kontrolle über die Schnittstelle übernimmt und mit genau einer Schnittstelle arbeitet. Wenn Sie sich nicht sicher sind, ob Sie Rosenpass als Root ausführen sollen, sollten Sie den Standalone-Modus verwenden, um ein sichereres Setup mit Containern, Jails oder virtuellen Maschinen zu erstellen.
Der Toolkit-Code ist in Rust geschrieben und wird unter den Lizenzen MIT und Apache 2.0 vertrieben. Die kryptografischen Algorithmen und Primitiven sind den C-Bibliotheken liboqs und libsodium entlehnt.
Die veröffentlichte Codebasis ist als Referenzimplementierung positioniert: Basierend auf den bereitgestellten Spezifikationen können alternative Werkzeugoptionen unter Verwendung anderer Programmiersprachen entwickelt werden.
Wenn Sie mehr darüber erfahren möchten, können Sie die Details einsehen im folgenden Link.
