Skupina njemačkih istraživača, programera i kriptografa objavila je prvo izdanje projekta Rosenpass, koji razvija VPN i mehanizam za razmjenu ključeva koji je otporan na hakiranje na kvantnim računalima. Kao prijenos koristi se WireGuard VPN sa standardnim enkripcijskim algoritmima i ključevima, a Rosenpass ga nadopunjuje alatima za razmjenu ključeva zaštićenim od hakiranja na kvantnim računalima (tj. Rosenpass dodatno štiti razmjenu ključeva bez promjene WireGuardovih algoritama rada i metoda enkripcije). Rosenpass se također može koristiti odvojeno od WireGuarda u obliku univerzalnog alata za razmjenu ključeva prikladnog za zaštitu drugih protokola od napada na kvantna računala.
Kod kompleta alata napisan je u Rustu i distribuira se pod licencama MIT i Apache 2.0. Kriptografski algoritmi i primitivi posuđeni su iz biblioteka liboqs i libsodium, napisanih u jeziku C. Objavljena baza koda postavljena je kao referentna implementacija - na temelju navedenih specifikacija mogu se razviti alternativne verzije kompleta alata korištenjem drugih programskih jezika. Trenutno je u tijeku rad na službenoj provjeri protokola, kripto-algoritama i implementacije kako bi se pružio matematički dokaz pouzdanosti. Trenutno je pomoću ProVerifa već izvršena simbolička analiza protokola i njegove osnovne implementacije u jeziku Rust.
Rosenpass protokol temelji se na PQWG (Post-quantum WireGuard) autentificiranom mehanizmu za razmjenu ključeva, izgrađenom pomoću McEliece kriptosustava, koji je otporan na grubu silu na kvantnom računalu. Ključ koji generira Rosenpass koristi se u obliku WireGuardovog unaprijed dijeljenog ključa (PSK), pružajući dodatni sloj za sigurnost hibridne VPN veze.
Rosenpass pruža odvojeno pokrenut pozadinski proces koji se koristi za generiranje WireGuard unaprijed definiranih ključeva i osiguravanje razmjene ključeva tijekom procesa rukovanja korištenjem postkvantnih kriptografskih tehnika. Poput WireGuarda, simetrični ključevi u Rosenpassu ažuriraju se svake dvije minute. Za osiguranje veze koriste se dijeljeni ključevi (generira se par javnih i privatnih ključeva sa svake strane, nakon čega sudionici međusobno prenose javne ključeve).
Izvor: opennet.ru