在2017年2月26日至3月1日在加利福尼亞州聖地亞哥的雙體船度假酒店及水療中心舉行的2017網路和分散式系統安全(NDSS)研討會上拍攝的視頻。
WireGuard:下一代內核網路隧道
WireGuard是一個安全的網路隧道,在第3層上運行,實現為Linux的內核虛擬網路介面,旨在替換大多數用例的IPsec以及流行的用戶空間和/或基於TLS的解決方案(如OpenVPN),同時更安全,更高效且更易於使用。虛擬隧道介面基於安全隧道的建議基本原理:對等公鑰和隧道源IP地址之間的關聯。它使用基於NoiseIK的單次往返密鑰交換,並使用新穎的計時器狀態機機制對用戶透明地處理所有會話的創建。短的預共享靜態密鑰Curve25519點以OpenSSH樣式用於相互身份驗證。該協議除了高度隱藏身份外,還提供了強大的完美前向保密性。使用ChaCha20Poly1305身份驗證加密將數據包封裝在UDP中可以實現傳輸速度。 IP綁定cookie的改進形式用於緩解拒絕服務攻擊,大大改進了IKEv2和DTLS的cookie機制以添加加密和身份驗證。總體設計不允許響應接收到的數據包分配任何資源,從系統角度來看,有多種有趣的Linux實現技術可用於隊列和並行性。最終,WireGuard可以輕鬆地用不到4,000行代碼在Linux上實現,從而易於審核和驗證。
作者:Jason A. Donenfeld
That dude asking the question at the end didn't know when to shut up.