VPN协议的状态并不理想,其流行的选项(如IPsec和OpenVPN)极其复杂,攻击面很大,主要使用90年代的密码设计。 WireGuard提出了一种基于现代加密技术的新型抗滥用和高性能替代方案,重点是实现和易用性。它使用基于NoiseIK的1-RTT握手,以提供完美的前向保密性,身份隐藏以及对密钥泄露假冒攻击的抵抗力,以及其他重要的安全属性,以及使用ChaCha20Poly1305的高性能传输。一种新颖的IP绑定cookie MAC机制用于防止针对客户端和服务器的几种形式的常见拒绝服务攻击,大大改善了DTLS和IKEv2的攻击。密钥分发以极短的Curve25519点带外处理,可以像OpenSSH一样传递。 WireGuard抛弃了IPsec在学术上的完美层,引入了“加密路由表”的思想,以及极其简单和完全定义的计时器状态机制,以实现简单而最少的配置。实际上,WireGuard可以在实际设置中安全部署。为了与IPsec的性能相抗衡,WireGuard在Linux内核内部实现,但与IPsec不同,它以少于4,000行代码的形式实现,从而使实现易于管理。演讲将探讨WireGuard的加密技术和内核实现细节,并探讨对网络隧道的攻击性攻击观点。
-杰森·多恩菲尔德
Jason Donenfeld是一名独立的安全研究人员和软件开发人员,具有丰富的经验背景,在安全社区和开放源代码领域均广为人知,并且率先开发了多种利用技术。他曾在广泛的软件项目中处理过许多严重漏洞,包括处理Linux内核中的0天漏洞以及广泛的硬件逆向工程。他的安全工作涵盖了高级数学和几何算法,密码学和远程利用。
Jason创立了Edge Security(www.edgesecurity.com),这是一家功能强大的安全咨询公司,在漏洞发现,安全评估,逆向工程,强化开发和物理安全方面具有专业知识。
http://codeblue.jp/2016/en/contents/speakers.html#speaker-donenfeld
Great talking!
Great talk on Wireguard – a very promising fast in kernel modern VPN.