Skupina nemeckých výskumníkov, vývojárov a kryptografov zverejnila prvé vydanie projektu Rosenpass, ktorý vyvíja mechanizmus VPN a výmeny kľúčov, ktorý je odolný voči hackovaniu na kvantových počítačoch. Ako prenos sa používa WireGuard VPN so štandardnými šifrovacími algoritmami a kľúčmi a Rosenpass ju dopĺňa nástrojmi na výmenu kľúčov chránenými pred hackovaním na kvantových počítačoch (t. j. Rosenpass dodatočne chráni výmenu kľúčov bez zmeny prevádzkových algoritmov a metód šifrovania WireGuard). Rosenpass je možné použiť aj oddelene od WireGuard vo forme univerzálnej sady nástrojov na výmenu kľúčov vhodnej na ochranu iných protokolov pred útokmi na kvantové počítače.
Kód sady nástrojov je napísaný v jazyku Rust a je distribuovaný pod licenciami MIT a Apache 2.0. Kryptografické algoritmy a primitíva sú požičané z knižníc liboqs a libsodium napísaných v jazyku C. Publikovaná kódová základňa je umiestnená ako referenčná implementácia – na základe poskytnutých špecifikácií je možné vyvinúť alternatívne verzie súpravy nástrojov pomocou iných programovacích jazykov. V súčasnosti sa pracuje na formálnom overení protokolu, krypto-algoritmov a implementácie s cieľom poskytnúť matematický dôkaz spoľahlivosti. V súčasnosti pomocou ProVerif už bola vykonaná symbolická analýza protokolu a jeho základná implementácia v jazyku Rust.
Protokol Rosenpass je založený na autentifikovanom mechanizme výmeny kľúčov PQWG (Post-quantum WireGuard), vybudovanom pomocou kryptosystému McEliece, ktorý je odolný voči hrubej sile na kvantovom počítači. Kľúč vygenerovaný systémom Rosenpass sa používa vo forme predzdieľaného kľúča WireGuard (PSK), ktorý poskytuje ďalšiu vrstvu pre zabezpečenie hybridného pripojenia VPN.
Rosenpass poskytuje samostatne bežiaci proces na pozadí, ktorý sa používa na generovanie preddefinovaných kľúčov WireGuard a zabezpečenie výmeny kľúčov počas procesu handshake pomocou techník postkvantovej kryptografie. Rovnako ako WireGuard sa symetrické kľúče v Rosenpass aktualizujú každé dve minúty. Na zabezpečenie spojenia sa používajú zdieľané kľúče (na každej strane sa vygeneruje pár verejného a súkromného kľúča, po ktorom si účastníci navzájom prenášajú verejné kľúče).
Zdroj: opennet.ru