实验性的后量子安全 VPN 隧道

• 2024-12-25 18:28:14

实验性后量子安全 VPN 隧道

2022年7月11日 功能 应用

我们最新的测试版应用版本 20223beta1以及一些 WireGuard 服务器现在支持保护对抗拥有强大量子计算机的攻击者的 VPN 隧道。

WireGuard 使用的加密算法没有已知的漏洞。然而，当前用于建立共享密钥进行加密的方式已知可以被功能足够强大的量子计算机破解。

虽然迄今为止尚未展示出足够强大的量子计算机，但今天采用后量子安全隧道可以保护我们不受记录加密流量并希望利用未来的量子计算机解密的攻击者威胁。

我们的解决方案

一个 WireGuard 隧道被建立，并用于以这样的方式共享一个密钥，使得即使量子计算机访问网络流量也无法推算出这个密钥。然后，我们断开连接并重新建立一个新的 WireGuard 隧道，指定新的共享密钥，使用 WireGuard 的预共享密钥选项。这里使用的后量子安全算法是经典 McEliece。

我们在2017年也进行了类似的实验。如果您对所有细节感兴趣，请查看 那篇博客文章。本文末尾还有一个差异总结。

如何尝试

请注意，此功能高度实验性！ 我们可能需要以某种方式更改协议，而这可能会导致功能中断。请在使用时注意，或等待我们稳定该功能。

目前，此功能仅在我们的桌面应用版本 20223beta1 及更新版本中可用，并且只能通过命令行界面使用。它也仅支持少数几个 WireGuard 服务器，详见下文。

如果您想尝试，启动终端/控制台并运行以下命令：

shellmullvad tunnel wireguard quantumresistanttunnel set on

然后连接到以下服务器之一，因为它们是目前唯一支持此功能的服务器。如果您连接到其他服务器，应用将会失败并不断尝试。

如果您想停止使用此实验性功能，请运行相同的命令，但将 on 替换为 off。

要验证其工作情况，您可以检查 GUI 是否显示 QUANTUM SECURE CONNECTION 字样，并且 CLI 命令 mullvad status v 应显示 Quantum resistant tunnel yes。

值得注意的是，这仅增加了安全性，并不会削弱它。即使后量子安全算法存在缺陷，攻击者能够计算出共享密钥，最终建立的 WireGuard 隧道的安全性仍与没有额外共享密钥时相同。主要的缺点是建立共享钥匙需要额外的1到2秒，但除此之外，性能是相同的。

我们非常希望您对这一功能给予反馈。如果您在使用过程中遇到任何问题，我们也非常希望您告诉我们，以便我们进行改进。

与2017年实验的区别

主要的区别在于该功能现在直接集成在我们的应用中，任何运行足够新版本的人都可以轻松启用。目前，它适用于上述列出的10个测试服务器，但最终将会在我们所有的 WireGuard 服务器上提供。2017年的实验仅允许向单个实验服务器建立量子抗性隧道，并且没有集成到我们的应用中。那时，用户需要下载并运行一些自定义脚本，而这些脚本只能在 Linux 上运行。

另一个区别是我们使用了不同的算法。在2017年，我们使用了 New Hope。现在我们改为使用 NIST 后量子密码学竞赛的最终候选算法之一。我们将继续关注正在进行的标准化工作，并可能在未来支持其他算法。