Onderzoekers van het Franse onderzoeksinstituut INRIA hebben de cryptografische werking van WireGuard getest, een vrij en open source vpn-protocol dat IPsec en OpenVPN wil vervangen. Voor het eerst werd de werking van het vpn-protocol op gemechaniseerde wijze gecontroleerd door onderzoekers.

Om de werking van een protocol te controleren zijn er verschillende mogelijkheden. Zo is het via symbolische analyse mogelijk om logische fouten te vinden. Dit biedt echter geen volledig bewijs van de cryptografische werking. Daarom worden zogeheten "cryptographic proofs" als hoogste vorm van zekerheid gezien. Het maken van een dergelijke methode om de werking te bewijzen vereist de nodige kennis.

Daarnaast bestaat het risico dat de handmatige aanpak fouten introduceert. De INRIA-onderzoekers gingen daarom aan de slag met een mechanische aanpak om cryptographic proofs te maken waarvan de werking op fouten kan worden gecontroleerd. De onderzoekers ontwikkelden zo verschillende manieren om te bewijzen dat WireGuard daadwerkelijk werkt zoals het claimt te werken. Het gaat dan om de correctheid, geheimhouding van berichten, forward secrecy, wederzijdse authenticatie, uniekheid van sessies en bescherming tegen verschillende soorten aanvallen.

Ook werd er gekeken naar de "identity hiding" feature van WireGuard. Die zorgt ervoor dat een aanvaller door passief naar de berichten op het netwerk te kijken niet kan herleiden welke statische sleutels voor een sessie worden gebruikt. In sommige gevallen ontdekten de onderzoekers dat er mogelijk ruimte voor verbetering is, maar er werden geen ernstige problemen aangetroffen.

De ontwikkelaar van WireGuard wil dat het vpn-protocol aan de Linux-kernel wordt toegevoegd. Onlangs verscheen er een versie voor macOS. Een Windows-versie is nog in ontwikkeling. Tevens kondigde internetbedrijf Cloudflare vorige maand de vpn-dienst Warp aan die van WireGuard gebruikmaakt.