一组德国研究人员、开发人员和密码学家发布了 Rosenpass 项目的第一个版本,该项目正在开发一种可抵抗量子计算机黑客攻击的 VPN 和密钥交换机制。 使用具有标准加密算法和密钥的 WireGuard VPN 作为传输,Rosenpass 通过防止量子计算机上的黑客攻击的密钥交换工具对其进行补充(即 Rosenpass 在不改变 WireGuard 的操作算法和加密方法的情况下额外保护密钥交换)。 Rosenpass 还可以以通用密钥交换工具包的形式与 WireGuard 分开使用,适用于保护其他协议免受量子计算机的攻击。
该工具包代码是用 Rust 编写的,并根据 MIT 和 Apache 2.0 许可证分发。 密码算法和原语借用自 liboqs 和 libsodium 库,用 C 语言编写。 已发布的代码库定位为参考实现 - 根据提供的规范,可以使用其他编程语言开发工具包的替代版本。 目前正在进行正式验证协议、加密算法和实施的工作,以提供可靠性的数学证明。 目前,已经使用 ProVerif 对协议及其 Rust 语言的基本实现进行了符号分析。
Rosenpass 协议基于 PQWG(后量子 WireGuard)认证密钥交换机制,使用 McEliece 密码系统构建,可抵抗量子计算机上的暴力破解。 Rosenpass 生成的密钥以 WireGuard 的预共享密钥 (PSK) 的形式使用,为混合 VPN 连接安全性提供了额外的一层。
Rosenpass 提供了一个单独运行的后台进程,用于生成 WireGuard 预定义密钥,并使用后量子加密技术在握手过程中保护密钥交换。 与 WireGuard 一样,Rosenpass 中的对称密钥每两分钟更新一次。 为了确保连接安全,使用共享密钥(双方生成一对公钥和私钥,然后参与者互相传输公钥)。
来源: opennet.ru