一群德國研究人員、開發人員和密碼學家發布了 Rosenpass 計畫的第一個版本,該計畫正在開發一種可抵抗量子電腦駭客攻擊的 VPN 和金鑰交換機制。 使用具有標準加密演算法和金鑰的WireGuard VPN 作為傳輸,Rosenpass 透過防止量子電腦上的駭客攻擊的金鑰交換工具對其進行補充(即Rosenpass 在不改變WireGuard 的操作演算法和加密方法的情況下額外保護密鑰交換)。 Rosenpass 還可以以通用密鑰交換工具包的形式與 WireGuard 分開使用,適用於保護其他協定免受量子電腦的攻擊。
該工具包程式碼是用 Rust 編寫的,並根據 MIT 和 Apache 2.0 許可證分發。 密碼演算法和原語借用自 liboqs 和 libsodium 函式庫,用 C 語言寫。 已發布的程式碼庫定位為參考實作 - 根據提供的規範,可以使用其他程式語言開發工具包的替代版本。 目前正在進行正式驗證協議、加密演算法和實施的工作,以提供可靠性的數學證明。 目前,已經使用 ProVerif 對協定及其 Rust 語言的基本實作進行了符號分析。
Rosenpass 協定基於 PQWG(後量子 WireGuard)認證的金鑰交換機制,該機制使用 McEliece 密碼系統構建,可抵抗量子電腦上的暴力破解。 Rosenpass 產生的金鑰以 WireGuard 的預共用金鑰 (PSK) 的形式使用,為混合 VPN 連線安全性提供了額外的一層。
Rosenpass 提供了一個單獨運行的後台進程,用於產生 WireGuard 預定義金鑰,並使用後量子加密技術在握手過程中保護金鑰交換。 與 WireGuard 一樣,Rosenpass 中的對稱金鑰每兩分鐘更新一次。 為了確保連接安全,使用共享金鑰(雙方產生一對公鑰和私鑰,然後參與者互相傳輸公鑰)。
來源: opennet.ru