Grupa njemačkih istraživača, programera i kriptografa objavila je prvo izdanje projekta Rosenpass, koji razvija VPN i mehanizam za razmjenu ključeva koji je otporan na hakiranje na kvantnim računarima. WireGuard VPN sa standardnim algoritmima i ključevima za enkripciju se koristi kao transport, a Rosenpass ga nadopunjuje alatima za razmjenu ključeva zaštićenim od hakovanja na kvantnim računarima (tj. Rosenpass dodatno štiti razmjenu ključeva bez promjene algoritama rada i metoda šifriranja WireGuarda). Rosenpass se također može koristiti odvojeno od WireGuarda u obliku univerzalnog alata za razmjenu ključeva pogodnog za zaštitu drugih protokola od napada na kvantne računare.
Kod kompleta alata je napisan u Rustu i distribuira se pod licencama MIT i Apache 2.0. Kriptografski algoritmi i primitivi su posuđeni iz liboqs i libsodium biblioteka, napisanih na jeziku C. Objavljena baza koda pozicionirana je kao referentna implementacija - na osnovu datih specifikacija, alternativne verzije kompleta alata mogu se razviti korištenjem drugih programskih jezika. Trenutno je u toku rad na formalnoj verifikaciji protokola, kripto-algoritama i implementacije kako bi se obezbedio matematički dokaz pouzdanosti. Trenutno je pomoću ProVerif-a već izvršena simbolička analiza protokola i njegove osnovne implementacije u Rust jeziku.
Protokol Rosenpass baziran je na PQWG (Post-quantum WireGuard) autentificiranom mehanizmu za razmjenu ključeva, izgrađen pomoću McEliece kriptosistema, koji je otporan na grubu silu na kvantnom računaru. Ključ koji generiše Rosenpass koristi se u obliku WireGuard-ovog pre-shared ključa (PSK), pružajući dodatni sloj za sigurnost hibridne VPN veze.
Rosenpass obezbeđuje odvojeno pokrenuti pozadinski proces koji se koristi za generisanje unapred definisanih ključeva WireGuard i obezbeđivanje razmene ključeva tokom procesa rukovanja korišćenjem tehnika post-kvantne kriptografije. Kao i WireGuard, simetrični ključevi u Rosenpassu se ažuriraju svake dvije minute. Za osiguranje veze koriste se dijeljeni ključevi (generira se par javnih i privatnih ključeva sa svake strane, nakon čega učesnici prenose javne ključeve jedni drugima).
izvor: opennet.ru