在2017年2月26日至3月1日在加利福尼亚州圣地亚哥的双体船度假酒店及水疗中心举行的2017网络和分布式系统安全(NDSS)研讨会上拍摄的视频。
WireGuard:下一代内核网络隧道
WireGuard是一个安全的网络隧道,在第3层上运行,实现为Linux的内核虚拟网络接口,旨在替换大多数用例的IPsec以及流行的用户空间和/或基于TLS的解决方案(如OpenVPN),同时更安全,更高效且更易于使用。虚拟隧道接口基于安全隧道的建议基本原理:对等公钥和隧道源IP地址之间的关联。它使用基于NoiseIK的单次往返密钥交换,并使用新颖的计时器状态机机制对用户透明地处理所有会话的创建。短的预共享静态密钥Curve25519点以OpenSSH样式用于相互身份验证。该协议除了高度隐藏身份外,还提供了强大的完美前向保密性。使用ChaCha20Poly1305身份验证加密将数据包封装在UDP中可以实现传输速度。 IP绑定cookie的改进形式用于缓解拒绝服务攻击,大大改进了IKEv2和DTLS的cookie机制以添加加密和身份验证。总体设计不允许响应接收到的数据包分配任何资源,从系统角度来看,有多种有趣的Linux实现技术可用于队列和并行性。最终,WireGuard可以轻松地用不到4,000行代码在Linux上实现,从而易于审核和验证。
作者:Jason A. Donenfeld
That dude asking the question at the end didn't know when to shut up.