Un groupe de chercheurs, développeurs et cryptographes allemands a publié la première version du projet Rosenpass, qui développe un VPN et un mécanisme d'échange de clés résistant au piratage des ordinateurs quantiques. WireGuard VPN avec des algorithmes et des clés de chiffrement standard est utilisé comme moyen de transport, et Rosenpass le complète avec des outils d'échange de clés protégés contre le piratage sur les ordinateurs quantiques (c'est-à-dire que Rosenpass protège en outre l'échange de clés sans modifier les algorithmes de fonctionnement et les méthodes de chiffrement de WireGuard). Rosenpass peut également être utilisé séparément de WireGuard sous la forme d'une boîte à outils universelle d'échange de clés adaptée à la protection d'autres protocoles contre les attaques sur les ordinateurs quantiques.
Le code de la boîte à outils est écrit en Rust et est distribué sous les licences MIT et Apache 2.0. Les algorithmes et primitives cryptographiques sont empruntés aux bibliothèques liboqs et libsodium, écrites en langage C. La base de code publiée se positionne comme une implémentation de référence - sur la base des spécifications fournies, des versions alternatives de la boîte à outils peuvent être développées à l'aide d'autres langages de programmation. Des travaux sont actuellement en cours pour vérifier formellement le protocole, les crypto-algorithmes et leur mise en œuvre afin de fournir une preuve mathématique de fiabilité. Actuellement, à l'aide de ProVerif, une analyse symbolique du protocole et de son implémentation de base dans le langage Rust a déjà été réalisée.
Le protocole Rosenpass est basé sur le mécanisme d'échange de clés authentifié PQWG (Post-quantum WireGuard), construit à l'aide du cryptosystème McEliece, résistant à la force brute sur un ordinateur quantique. La clé générée par Rosenpass est utilisée sous la forme de clé pré-partagée (PSK) de WireGuard, fournissant une couche supplémentaire pour la sécurité des connexions VPN hybrides.
Rosenpass fournit un processus d'arrière-plan exécuté séparément utilisé pour générer des clés prédéfinies WireGuard et sécuriser l'échange de clés pendant le processus d'établissement de liaison à l'aide de techniques de cryptographie post-quantique. Comme WireGuard, les clés symétriques dans Rosenpass sont mises à jour toutes les deux minutes. Pour sécuriser la connexion, des clés partagées sont utilisées (une paire de clés publiques et privées est générée de chaque côté, après quoi les participants se transfèrent des clés publiques).
Source: opennet.ru