Vlákno názorů k článku Instalujeme WireGuard: návod pro VPN na distribuci Debian od lupa.cz jsou už jako čučkaři - Každý komunikující partner je identifikován pomocí veřejného klíče...

Každý komunikující partner je identifikován pomocí veřejného klíče a IP adres, které používá uvnitř VPN. V případě komunikace určené k odeslání se v tabulce virtuálních IP adres uvnitř WireGuardu nalezne správný příjemce a jeho veřejný klíč se použije k zašifrování provozu.

Bohuzel nemam ted tolik casu, abych si podrobne cetl tech-paper k WG, ale opravdu se sifruje temi statickymi klici, ktere na sebe znaji partneri na lince? To se opravdu ani negeneruji ad-hoc klice pro kazde sezeni?

To se opravdu ani negeneruji ad-hoc klice pro kazde sezeni?

Používá se postup jako u moderních TLS nebo IKE: klíče pro proudovou symetrickou šifru se generují náhodně výměnou (EC)DH, ta je autorizována asymetrickými klíči uloženými v konfiguraci. Nové klíče se generují po 2 minutách opět přes DH (PFS). Celé DH lze ještě volitelně "zabalit" další symetrickou šifrou s PSK, která může sloužit jako ochrana před budoucími kvantovými luštiteli (šifrování se pak neprolomí úplně, ale "jen" degraduje na PSK).

Dekuji za shrnuti. Takze po provozni strance je to vlastne ekvivalent predkonfigurovaneho ipsec s pubkey ike a statickymi zaznamy spd, jestli to spravne chapu. To nevim jestli bych zrovna chtel pro road warrior...