Wireguard FPGA

• Bu açık kaynak proje, düşük maliyetli Artix7 FPGA ve açık kaynak araç zinciri kullanarak Wireguard VPN'i donanımda hayata geçiriyor
• Mevcut yazılım tabanlı yaklaşımlara kıyasla hat hızına yakın performans (wire-speed) ve düşük maliyet sunmasıyla öne çıkıyor
• Tüm tasarım dosyaları tamamen açık olduğu için arka kapılar veya güvenlik açıkları açısından kapsamlı biçimde denetlenebiliyor
• ChaCha20-Poly1305, Curve25519, BLAKE2 gibi Wireguard'ın güncel kriptografik algoritmaları donanım/yazılım birleşimiyle uygulanıyor
• Proje şu anda erken bir "Proof of Concept" aşamasında ve ileride özellik genişletmeleri ile optimizasyonlar planlanıyor

Giriş ve önemi

Bu açık kaynak Wireguard FPGA projesi, Wireguard VPN'i uygun fiyatlı Artix7 FPGA üzerinde donanımda hayata geçirerek, ağ güvenliği altyapısının temel bileşenlerinden biri olan VPN'in herkes tarafından düşük maliyetle ve en yüksek hızda kullanılabilmesini sağlıyor. Mevcut donanım çözümleri pahalı ticari FPGA'lar ve kapalı araç zincirleri gerektirirken, bu proje açık kaynak tabanlı tasarım ve araç kullanımı ile kaynak kodunun tamamen açık olması sayesinde şeffaflık ve erişilebilirlik açısından belirgin bir farklılık ve avantaj sunuyor.

Projenin arka planı ve hedefleri

• Mevcut OpenVPN, IPSec vb. çözümler performans ve yönetim açısından sınırlamalara sahip olduğundan, Wireguard modern ve güvenli bir alternatif olarak öne çıkıyor
• Mevcut Wireguard donanım uygulamaları pahalı ekipmanlara ve kapalı IP'lere dayanıyor; yazılım uygulamalarının performansı ise ağın hat hızına ulaşamıyor
• Bu proje, SystemVerilog ile geliştirilen Wireguard'ı açık kaynaklı, düşük maliyetli FPGA ortamında herkesin kullanabileceği hale getiriyor ❨doğrulama ve eğitim amaçları dahil❩

İlgili projelerle karşılaştırma

• Blackwire projesi (100Gbps sınıfı Wireguard donanımı), pahalı Alveo U50 ve kapalı Vivado araç zinciri kullandığı için erişilebilirliği düşük
• Proje ekibi geçmişte Balanced Binary Tree Search algoritması gibi çekirdek modüller geliştirmiş olsa da, ticarileştirme başarısızlığı ve sahiplik sorunları gibi sınırlamalar ortaya çıktı
• Wireguard FPGA projesi, endüstri standardı HDL (SystemVerilog), açık kaynak araç desteği, uygun fiyatlı yaygın donanım ve şeffaf açık kaynak politikalarını vurguluyor

Donanım ve yazılım mimarisi

Donanım (HW)

• Kontrol düzlemi: Boot ROM ve DDR3 SDRAM denetleyicisine bağlı bir soft CPU, Wireguard protokol yönetimi, yönlendirme, oturum/anahtar yönetimi gibi görevleri üstleniyor
• Veri düzlemi: RTL ile uygulanmış olup paket şifreleme/şifre çözme, yönlendirme ve Wireguard protokolünün gerçek veri aktarımını wire-speed düzeyinde işliyor
• Başlıca bileşenler
  • PHY Controller, 1G MAC, Rx/Tx FIFO, Header Parser, Packet {Dis/As}sembler, ChaCha20-Poly1305 şifreleme/doğrulama modülü, IP Lookup motoru vb.
  • Tüm şifreleme ve doğrulama modülleri RFC7539 standardı temel alınarak uygulanıyor

Yazılım (SW)

• Wireguard Agent: protokol handshake'i, oturumun sürdürülmesi, anahtar/yönlendirme tablosu yönetimi görevlerini üstleniyor
• Kriptoyla ilgili modüller
  • Curve25519: ECDH anahtar değişimi
  • ChaCha20-Poly1305, XChaCha20-Poly1305: AEAD tipi simetrik anahtar şifreleme/doğrulama ve nonce koruması
  • BLAKE2s: MAC doğrulaması ve hash
  • Ayrıca HKDF, Timer, SipHash, CLI, HAL/CSR sürücüleri vb. de dahil

Geliştirme ve yürütme planı

Proje aşamaları

• Aşama 1: kartın çalıştırılması ve tasarım planının oluşturulması, HW/SW platformuna alışılması, mevcut uygulamanın analizi, tasarımın bölünmesi ve dokümantasyonu
• Aşama 2: statik Wireguard kanalının donanım veri yolu temel uygulaması ve entegrasyonu, kriptografik algoritmaların (özellikle ChaCha20-Poly1305) donanıma aktarılması
• Aşama 3: soft RISC-V işlemci içindeki yönetim yazılımının geliştirilmesi ve HW/SW entegrasyonu; oturum/anahtar yönetimi gibi düşük ek yük gerektiren işlerin yazılımla ele alınması
• Aşama 4: VPN tünelinin başlatılması, sürdürülmesi ve güvenli şekilde sonlandırılmasına kadar tam iş akışının uygulanması
• Aşama 5: performans testleri, optimizasyon, diğer açık kaynak araç zincirleri için desteğin genişletilmesi (OpenXC7), topluluk dokümantasyonu ve CI'ın sürekli bakımı
• Aşama 6 (isteğe bağlı): VPN tüneli veri akışı kontrol yazılımının geliştirilmesi, kararlı veri aktarımı ve yönetimin uygulanması

HW/SW ortak mimarisi (işbirliği)

• WireGuard düğümü bir IP yönlendiriciye benzer rol üstlendiğinden, 2 katmanlı yapı (kontrol/veri düzlemi) ile etkili biçimde ayrıştırılabiliyor
• Kontrol trafiği (protokol mesajları) ile veri trafiği (şifreli/genel kullanıcı paketleri) ayrılıyor; her biri için uygun yol ve işleme yapısı tasarlanıyor

Simülasyon ve doğrulama yapısı

• Sanal (VProc) ve RTL softcore (RISC-V vb.) tabanlı CPU seçenekleri kullanılabiliyor; gerçek Wireguard trafik senaryolarına dayalı aşamalı paket analizi yapılıyor
• Co-simulation HAL: peakrdl ile HW/SW arasında kontrol ve durum yazmaçları otomatik üretiliyor ve API sağlanıyor; gerçek çalışma koşullarında hızlı SW/HW entegrasyon testi mümkün oluyor

Açık kaynak ve şeffaflık

• Devre (gateware), gömülü yazılım, build, bitstream vb. uygulamanın tüm alanları BSD-3-Clause lisansıyla tamamen açık şekilde sunuluyor
• Arka kapı, zafiyet ve yasal sahiplik gibi konuların topluluk tarafından doğrudan incelenebilmesi için açık yapı özellikle vurgulanıyor

Diğer bilgiler

• Geliştirme akışı, bölümlere ait ayrıntılı açıklamalar, temel referans kaynaklar ve dış kaynak modüller README dosyası ile alt dizinlerde (1.hw, 2.sw, 3.build vb.) görülebilir
• NLnet Foundation desteğiyle yürütülüyor

Sonuç

• Bu proje, yüksek performanslı Wireguard VPN donanım uygulaması için açık kaynak bir standart olmayı hedefliyor; düşük maliyet, şeffaflık ve hızlı benimsenme açısından farklılaşıyor
• Henüz geliştirme sürecinin başında olsa da, hem güvenlik hem erişilebilirlik açısından gelecekte açık ağ altyapısında önemli bir rol oynaması bekleniyor