VPN協議的狀態並不理想,其流行的選項(如IPsec和OpenVPN)極其複雜,攻擊面很大,主要使用90年代的密碼設計。 WireGuard提出了一種基於現代加密技術的新型抗濫用和高性能替代方案,重點是實現和易用性。它使用基於NoiseIK的1-RTT握手,以提供完美的前向保密性,身份隱藏以及對密鑰泄露假冒攻擊的抵抗力,以及其他重要的安全屬性,以及使用ChaCha20Poly1305的高性能傳輸。一種新穎的IP綁定cookie MAC機制用於防止針對客戶端和伺服器的幾種形式的常見拒絕服務攻擊,大大改善了DTLS和IKEv2的攻擊。密鑰分發以極短的Curve25519點帶外處理,可以像OpenSSH一樣傳遞。 WireGuard拋棄了IPsec在學術上的完美層,引入了「加密路由表」的思想,以及極其簡單和完全定義的計時器狀態機制,以實現簡單而最少的配置。實際上,WireGuard可以在實際設置中安全部署。為了與IPsec的性能相抗衡,WireGuard在Linux內核內部實現,但與IPsec不同,它以少於4,000行代碼的形式實現,從而使實現易於管理。演講將探討WireGuard的加密技術和內核實現細節,並探討對網路隧道的攻擊性攻擊觀點。
-傑森·多恩菲爾德
Jason Donenfeld是一名獨立的安全研究人員和軟體開發人員,具有豐富的經驗背景,在安全社區和開放源代碼領域均廣為人知,並且率先開發了多種利用技術。他曾在廣泛的軟體項目中處理過許多嚴重漏洞,包括處理Linux內核中的0天漏洞以及廣泛的硬體逆向工程。他的安全工作涵蓋了高級數學和幾何演算法,密碼學和遠程利用。
Jason創立了Edge Security(www.edgesecurity.com),這是一家功能強大的安全諮詢公司,在漏洞發現,安全評估,逆向工程,強化開發和物理安全方面具有專業知識。
http://codeblue.jp/2016/en/contents/speakers.html#speaker-donenfeld
Great talking!
Great talk on Wireguard – a very promising fast in kernel modern VPN.