Μια ομάδα Γερμανών ερευνητών, προγραμματιστών και κρυπτογράφων δημοσίευσε την πρώτη έκδοση του έργου Rosenpass, το οποίο αναπτύσσει ένα VPN και μηχανισμό ανταλλαγής κλειδιών που είναι ανθεκτικός στο hacking σε κβαντικούς υπολογιστές. Το WireGuard VPN με τυπικούς αλγόριθμους και κλειδιά κρυπτογράφησης χρησιμοποιείται ως μέσο μεταφοράς και το Rosenpass το συμπληρώνει με εργαλεία ανταλλαγής κλειδιών που προστατεύονται από εισβολή σε κβαντικούς υπολογιστές (δηλαδή το Rosenpass προστατεύει επιπλέον την ανταλλαγή κλειδιών χωρίς να αλλάζει τους αλγόριθμους λειτουργίας και τις μεθόδους κρυπτογράφησης του WireGuard). Το Rosenpass μπορεί επίσης να χρησιμοποιηθεί ξεχωριστά από το WireGuard με τη μορφή μιας γενικής εργαλειοθήκης ανταλλαγής κλειδιών κατάλληλη για την προστασία άλλων πρωτοκόλλων από επιθέσεις σε κβαντικούς υπολογιστές.
Ο κώδικας της εργαλειοθήκης είναι γραμμένος σε Rust και διανέμεται με τις άδειες MIT και Apache 2.0. Οι κρυπτογραφικοί αλγόριθμοι και τα πρωτόγονα είναι δανεισμένα από τις βιβλιοθήκες liboqs και libsodium, γραμμένα στη γλώσσα C. Η δημοσιευμένη βάση κώδικα τοποθετείται ως υλοποίηση αναφοράς - με βάση τις παρεχόμενες προδιαγραφές, εναλλακτικές εκδόσεις της εργαλειοθήκης μπορούν να αναπτυχθούν χρησιμοποιώντας άλλες γλώσσες προγραμματισμού. Επί του παρόντος βρίσκονται σε εξέλιξη εργασίες για την επίσημη επαλήθευση του πρωτοκόλλου, των κρυπτοαλγορίθμων και της εφαρμογής για την παροχή μαθηματικής απόδειξης αξιοπιστίας. Επί του παρόντος, χρησιμοποιώντας το ProVerif, έχει ήδη πραγματοποιηθεί μια συμβολική ανάλυση του πρωτοκόλλου και της βασικής του υλοποίησης στη γλώσσα Rust.
Το πρωτόκολλο Rosenpass βασίζεται στον επαληθευμένο μηχανισμό ανταλλαγής κλειδιών PQWG (Post-quantum WireGuard), που έχει κατασκευαστεί χρησιμοποιώντας το κρυπτοσύστημα McEliece, το οποίο είναι ανθεκτικό στην ωμή δύναμη σε έναν κβαντικό υπολογιστή. Το κλειδί που δημιουργείται από το Rosenpass χρησιμοποιείται με τη μορφή του προ-κοινόχρηστου κλειδιού (PSK) του WireGuard, παρέχοντας ένα πρόσθετο επίπεδο για την ασφάλεια της υβριδικής σύνδεσης VPN.
Το Rosenpass παρέχει μια ξεχωριστά εκτελούμενη διαδικασία παρασκηνίου που χρησιμοποιείται για τη δημιουργία προκαθορισμένων κλειδιών WireGuard και την ασφάλεια της ανταλλαγής κλειδιών κατά τη διαδικασία χειραψίας χρησιμοποιώντας τεχνικές μετα-κβαντικής κρυπτογραφίας. Όπως το WireGuard, τα συμμετρικά κλειδιά στο Rosenpass ενημερώνονται κάθε δύο λεπτά. Για τη διασφάλιση της σύνδεσης, χρησιμοποιούνται κοινόχρηστα κλειδιά (δημιουργείται ένα ζεύγος δημόσιων και ιδιωτικών κλειδιών σε κάθε πλευρά, μετά τα οποία οι συμμετέχοντες μεταφέρουν τα δημόσια κλειδιά ο ένας στον άλλο).
Πηγή: opennet.ru