Der Schluessel ist die Route: Warum Verimesh auf WireGuard laeuft
Viele von uns haben mehr Stunden damit verbracht, als wir gerne zugeben wuerden, zuzuschauen, wie Menschen versuchen, einen IPsec-Tunnel zwischen zwei Firewalls verschiedener Hersteller zu etablieren. Wer die VPN-Kriege der 2000er Jahre erlebt hat, kennt das Gefuehl: Eine Konfigurationsdatei mit vierzig Optionen, von denen die Haelfte exakt auf der anderen Seite uebereinstimmen musste, und ein Debug-Log, das einem nichts sagte, wenn das nicht der Fall war.
Dann reichte 2018 ein einzelner Entwickler, Jason Donenfeld, WireGuard zur Aufnahme in den Linux-Kernel ein, und Linus Torvalds, jemand, der dafuer bekannt ist, kein Blatt vor den Mund zu nehmen, schrieb, dass er nur hoffen konnte, dass es bald merged wuerde, und nannte es “ein Kunstwerk” neben den “Horrorvorstellungen, die OpenVPN und IPSec sind.” Das ist hohes Lob. Es landete 2020 im Mainline.
Also, wenn Palo Alto Networks, das die schweren Sicherheitsappliances verkaeuft, die WireGuard unauffaellig laecherlich uebermaessig erscheinen laesst, einen Cyberpedia-Erklaerer veroeffentlicht, der seine kleine Codebasis, feste moderne Kryptographie und Geschwindigkeit lobt, ist das einen Moment wert.
Das verschluesselte Mesh unter Verimesh laeuft auf WireGuard, und wir machen eine Sache darauf, die meines Wissens niemand sonst tut: Der Tunnel-Schluessel leitet sich von der gleichen Wurzel ab wie die Anwendungsidentitaet.
Was Palo Alto anerkennt
WireGuard antwortet nicht auf Pakete, die es nicht authentifizieren kann. Senden Sie eine Sonde von einem unbekannten Schluessel und Sie bekommen nichts zurueck: kein Banner, keine Antwort, nicht einmal einen lauschenden Socket zum Fingerprinting. Bei einem Port-Scan ist das Mesh einfach nicht da, und Sie koennen eine Flaeche nicht angreifen, die Sie nicht finden koennen.
Dann ist da noch die Groesse davon. WireGuard besteht aus ungefaehr 4.000 Codezeilen. OpenVPN hat etwa 100.000. IPsec, wenn man seine Ausbreitung an Standards und Implementierungen zaehlt, liegt naeher bei 400.000. Eine Codebasis, die man an einem Nachmittag lesen kann, ist eine, die ein Mensch tatsaechlich ueberpruefen kann. Und Ueberpruefbarkeit in diesem Massstab ist selbst eine Sicherheitseigenschaft, die Sie nicht retrofit auf etwas anwenden koennen, das zwei Groessenordnungen groesser ist.
Die Kryptographie ist festgelegt. Keine konfigurierbaren Cipher-Suites, keine Algorithmus-Aushandlung, kein “lass uns auf das herabfahren, was wir beide unterstuetzen”-Schritt. Nur Curve25519 fuer den Schluesselaustausch, ChaCha20-Poly1305 fuer die Daten, BLAKE2s fuer Hashing, Noise_IKpsk2 als Halterung. Die ganze Familie von Downgrade-Attacken existiert hier nicht, weil es nichts zu verhandeln gibt.
Und WireGuard routet nach Schluessel. Seine Kryptoschluessel-Routing-Tabelle bindet den oeffentlichen Schluessel jedes Peers an die IP-Bereiche, die dieser Peer verwenden darf. Ausgehend waehlt die Zieladresse den Schluessel des Peers aus, der die Sitzungsschluessel waehlt; eingehend wird ein entschluesseltes Paket nur akzeptiert, wenn seine Quelle in den autorisierten Bereich dieses Peers faellt. Es gibt keine separate “Wer bist du?”-Pruefung neben einer “Was darfst du senden?”-Pruefung. Der oeffentliche Schluessel ist die Route. Identitaet und Erreichbarkeit stellen sich als dieselbe Tatsache heraus.
Eine Wurzel, nicht zwei
In fast jeder WireGuard-Bereitstellung, die ich gesehen habe, fuehren die Schluessel ein Eigenleben. Jemand fuehrt wg genkey aus, teilt die oeffentliche Haelfte aus, speichert die private Haelfte irgendwo und endet mit einem Netzschluessel, der nichts mit der Identitaet zu tun hat, der die Anwendung darueber vertraut. Zwei Vertrauenswurzeln, die durch eine Tabellenkalkulation und gute Absichten abgestimmt werden.
In Verimesh gibt es eine Wurzel, und alles haengt daran ab. Jede Organisation hat ihre eigene Identitaet, aufgebaut auf Decentralized Key Management (DKMS) — der gleichen Identitaetsinfrastruktur, auf der die Anwendungsschicht bereits laeuft. Unter dieser Organisationsidentitaet wird jede Verbindung von einem Iris Agent hergestellt, der seine eigene Agent-Identitaet haelt: ein verifizierbares Asset, verwurzelt in der DKMS-Substanz der Organisation, das fuer einen Knoten im Mesh und nicht fuer die Institution als Ganzes steht. Die Curve25519-Tunnel-Schluessel leiten sich von dieser Agent-Identitaet ab — nicht von einem String, den jemand einmal mit wg genkey generiert und in eine Konfiguration eingefuegt hat. Es gibt keine Zertifizierungsstelle eines Drittanbieters im Weg, die entscheidet, welche Tunnel zulassig sind; die Organisation gibt ihre eigenen Agent-Identitaeten unter ihrer eigenen Wurzel aus. Keine Luecke zwischen wer Sie auf der Netzwerkschicht sind und wer Sie darueber sind.
Diese Zwischenschicht ist keine Zeremonie. Sie ist das, was das Mesh praktisch macht. Eine Organisation kann mehr als einen Knoten einrichten — separate Standorte, separate Rechenzentren, die beiden Enden einer Klinikgruppe — jeder mit seiner eigenen Agent-Identitaet unter der gleichen Organisationswurzel, jeder einzelne nachweisbar die gleiche Institution. Und das Netzwerk kann nach seiner eigenen Uhr voranschreiten: Wenn ein Tunnel-Schluessel geaendert werden muss, rotieren Sie die Agent-Identitaet, von der er abgeleitet wird, ohne die Organisationsidentitaet oder die Anwendungsschluessel darueber zu beruehren. Der Draht kann darunter umwaelzen, waehrend die Identitaet der Institution genau dort bleibt, wo sie ist.
Da jede Agent-Identitaet auf das eigene Schluesselaustausch-Material der Organisation zurueckfuehrt, kann jeder Tunnel gegen das Schluessel-Ereignisprotokoll geprueft werden: Sie koennen fragen, welche Identitaet welchen Tunnel und wann hergestellt hat, und die Antwort kryptographisch verifizieren, anstatt sich auf die Eigenbehauptung eines Servers zu vertrauen. Wenn Schluessel rotieren, rotieren sie im Einklang mit DKMS-Vor-Rotation (aufgebaut auf KERI), so dass die Tunnel-Identitaet den Schluessel-Lebenszyklus uebersteht, anstatt zu brechen, wenn ein Schluessel sich aendert. Und da das Ganze selbst gehostet ist, sitzt kein Vermittler in der Mitte und besitzt den Datenfluss.
Warum also nicht einfach mTLS verwenden, das bereits Identitaet in den Transporthandschlag bindet?
Weil die Ebenen getrennt zu halten der Sinn ist. WireGuard bewegt authentifizierte, verschluesselte Pakete zwischen Peers, die den richtigen Schluessel halten, und dann hoert es auf. Es kennt nicht, was ein Zustimmungsrueckzug ist, welche Autorisierung eine Nachricht traegt oder ob eine Berechtigung widerrufen wurde. Diese Logik gehoert ueber dem Draht, in DKMS. mTLS neigt dazu, die Autorisierung in den Transporthandschlag hinunterzuziehen, bis man die beiden nicht mehr separat ueberpruefen kann. Wir halten sie absichtlich auseinander und bauen sie auf der gleichen Wurzel auf.
Souveraen bis zum Draht
Der Stack ist von oben bis unten Open Source. WireGuard ist im Kernel; die DKMS-Schicht darueber ist unsere, veroeffentlicht unter der AGPLv3. Keine SaaS-Kontrollschicht sitzt im Weg. Kein Dritter, der wegen Schluessel vorgeladen werden kann, niemand, der still protokolliert, wer mit wem sprach. Fuer Schweizer Gesundheitswesen, wo die Daten das Land nicht verlassen duerfen und das Vertrauen die Institution nicht verlassen darf, muss das bis zum Transport halten. Souveraenitaet, die auf der Anwendungsschicht stoppt und ihre Netzwerk-Rohre von jemand anderem mietet, ist nicht wirklich Souveraenitaet.
Worauf wir verzichten
Keine Architektur ist kostenlos, und die Menschen, die diese Systeme betreiben, riechen es, wenn Sie so tun, als ob es anders waere. WireGuard verlangt drei Zugestaendnisse, die wir transparent darueber sind:
Erstens ist es ein Layer-3-Tunnel. Er traegt IP-Pakete, keine Stroeme, daher bekommen Sie das systemeigene Stream-Multiplexing, das ein TLS- oder QUIC-basierter Transport kostenlos liefert, nicht. Alles, das Multiplexing benoetigt, baut es ueber dem Tunnel auf. Fuer ein Mesh, das authentifizierten Austausch zwischen Institutionen traegt, ist das argumentiert der richtige Platz, aber es ist eine echte Einschraenkung, nicht ohne Bedeutung.
Zweitens waechst die Peer-Konfigurationsflaeche mit dem Mesh. WireGuard versendet keine Kontrollschicht, die Peers zentral ausgibt und widerruft; jeder Knoten kennt die Peers, mit denen er spricht. In einem kleinen, gelenkten Mesh aus Hubs und Knoten ist das eine Funktion. Nichts Zentrales zu kompromittieren. In grossem Massstab wird es echte Arbeit, und die Verwaltung der Schluessel ueber DKMS ist das, was verhindert, dass es in den Tabellenkalkulations-Alptraum von fruehe zusammenbricht.
Drittens ist es juenger als IPsec. Palo Alto setzt das auf die Nachteilliste und das macht Sinn. Aber das, was WireGuard jung macht, ist das Gleiche, das es ueberpruefbar macht: Donenfeld warf drei Jahrzehnte angehaeufter Flexibilitaet weg und fing von vorne an. Dies ist die Art von Handel, die wir gerne tun.
Die Quantum-Frage
WireGuard hat eine optionale Pre-Shared-Key-Schicht, die ein symmetrisches Geheimnis in den Handschlag mischt. Das kauft eine Sache: Der heute erfasste Verkehr wird spaeter nicht lesbar, selbst wenn der elliptische Kurven-Austausch eventuell durchbrochen wird. Der Store-Now-Decrypt-Later-Angriff funktioniert nicht mehr. Das ist nicht dasselbe wie Post-Quantum-Sicherheit im NIST-Sinne, und wir sind uns dessen bewusst. Es ist eine wirksame Absicherung.
Der Weg vorbei an der Hecke hat einen Namen: Rosenpass, ein Open-Source-Projekt, das einen echten Post-Quantum-Schluesselaustausch vor diesem Pre-Shared-Key-Slot ausfuehrt. Es ist ein Integrationspfad fuer das Mesh, nicht etwas, das Verimesh heute versendet.
Das Unsere ist das, was danach kommt. Weil die Tunnel-Schluessel von einer DKMS-Identitaet abgeleitet werden, ist die Annahme von Post-Quantum-Algorithmen eine Routine-Rotation dieser Identitaet im bestehenden Schluessel-Ereignisprotokoll — die Netzwerkschicht bewegt sich wieder auf ihrer eigenen Uhr, diesmal zu einem staerkeren Algorithmus. Nicht eine erzwungene, alles-auf-einmal-Zertifikat-Neugenehmigung ueber ein gesamtes Anlagenvermoegen. Von der CA ausgegebene Transporte koennen das nicht sagen.
Eine Wurzel, vom Draht auf
Ein Mesh, bei dem der Netzschluessel und die Anwendungsidentitaet aus dem gleichen DKMS-Material wachsen, schliesst die Naht, in der die meisten der interessanten Angriffe und nahezu alle der langweiligen Audit-Fehler leben: die Luecke zwischen wer das Netzwerk denkt, dass Sie sind, und wer die Anwendung denkt, dass Sie sind. WireGuard gibt uns einen Transport, der einfach genug zu vertrauen ist; DKMS gibt ihm die gleiche Identitaet, der alles andere in Verimesh bereits vertraut.
Dies ist der Transport unter dem Verimesh-Rollout mit HIN, unter allem in der Trust Architecture, wo der vollstaendige Pfad von Schluessel zu Tunnel zu gepruefter Nachricht Ende an Ende dargelegt ist. Was darueber laeuft, ist Verimesh selbst.
Gute Rohre sind solche, bei denen Sie nie darueber nachdenken muessen. Das ist die ganze Idee.
