Wireguard FPGA

 (github.com/chili-chips-ba)
1 poin oleh GN⁺ 2025-10-13 | Belum ada komentar. | Bagikan ke WhatsApp
  • Proyek open-source ini mengimplementasikan Wireguard VPN dalam perangkat keras dengan memanfaatkan FPGA Artix7 berbiaya rendah dan toolchain open-source
  • Dibandingkan pendekatan perangkat lunak yang ada, proyek ini menonjol karena menawarkan kecepatan mendekati wire-speed dan biaya rendah
  • Semua file desain dibuka sepenuhnya, sehingga pemeriksaan backdoor maupun cacat keamanan dapat dilakukan secara menyeluruh
  • Algoritme kriptografi modern Wireguard seperti ChaCha20-Poly1305, Curve25519, BLAKE2 diimplementasikan melalui kombinasi perangkat keras/perangkat lunak
  • Proyek ini masih berada pada tahap awal "Proof of Concept" dan ke depan direncanakan perluasan fitur serta optimasi

Pengenalan dan pentingnya

Proyek open-source Wireguard FPGA ini mengimplementasikan Wireguard VPN dalam perangkat keras pada FPGA Artix7 yang terjangkau, sehingga komponen inti infrastruktur keamanan jaringan berupa VPN dapat digunakan siapa saja dengan biaya rendah dan kecepatan maksimal. Solusi perangkat keras yang ada sebelumnya membutuhkan FPGA komersial mahal dan toolchain tertutup, tetapi proyek ini memiliki keunggulan dan diferensiasi besar dalam hal transparansi dan perluasan akses melalui desain berbasis open-source, penggunaan alat open-source, serta keterbukaan penuh source code.

Latar belakang dan tujuan proyek

  • OpenVPN, IPSec, dan solusi lama lainnya memiliki keterbatasan dalam performa dan pengelolaan, sehingga Wireguard muncul sebagai alternatif modern dan aman
  • Implementasi perangkat keras Wireguard yang ada saat ini bergantung pada perangkat mahal dan IP tertutup, sementara performa implementasi perangkat lunak belum mampu mencapai kecepatan jalur jaringan
  • Proyek ini menghadirkan Wireguard yang dikembangkan dengan SystemVerilog agar dapat dimanfaatkan siapa pun pada lingkungan FPGA open-source berbiaya rendah ❨termasuk untuk tujuan verifikasi dan pendidikan❩

Perbandingan dengan proyek terkait

  • Proyek Blackwire (perangkat keras Wireguard kelas 100Gbps) menggunakan Alveo U50 yang mahal dan toolchain Vivado yang tertutup, sehingga aksesibilitasnya rendah
  • Tim proyek tersebut sebelumnya telah mengembangkan modul inti seperti algoritme Balanced Binary Tree Search, tetapi keterbatasan seperti gagalnya komersialisasi dan masalah kepemilikan telah terkonfirmasi
  • Proyek Wireguard FPGA menekankan dukungan untuk HDL standar industri (SystemVerilog) dan alat open-source, perangkat keras murah yang mudah diakses, serta kebijakan open-source yang transparan

Arsitektur perangkat keras dan perangkat lunak

Perangkat keras (HW)

  • Control plane: CPU lunak yang terhubung ke boot ROM dan pengendali DDR3 SDRAM menangani manajemen protokol Wireguard, routing, manajemen sesi/kunci, dan lain-lain
  • Data plane: Diimplementasikan dalam RTL untuk memproses enkripsi/dekripsi paket, routing, dan transfer data aktual protokol Wireguard pada wire-speed
  • Komponen utama
    • PHY Controller, 1G MAC, Rx/Tx FIFO, Header Parser, Packet {Dis/As}sembler, modul enkripsi/autentikasi ChaCha20-Poly1305, mesin IP Lookup, dan lain-lain
    • Semua modul enkripsi dan autentikasi diimplementasikan berdasarkan standar RFC7539

Perangkat lunak (SW)

  • Wireguard Agent: Berperan dalam handshake protokol, pemeliharaan sesi, dan pengelolaan tabel kunci/routing
  • Modul terkait kriptografi
    • Curve25519: Pertukaran kunci ECDH
    • ChaCha20-Poly1305, XChaCha20-Poly1305: Enkripsi/autentikasi kunci simetris berbasis AEAD dan perlindungan nonce
    • BLAKE2s: Autentikasi MAC dan hash
    • Selain itu termasuk HKDF, Timer, SipHash, CLI, driver HAL/CSR, dan lain-lain

Rencana pengembangan dan eksekusi

Tahapan proyek

  • Tahap 1: Menjalankan board dan menyusun blueprint desain, membiasakan diri dengan platform HW/SW, menganalisis implementasi yang ada, membagi desain dan mendokumentasikannya
  • Tahap 2: Implementasi dasar dan integrasi jalur data perangkat keras untuk kanal Wireguard statis, serta memindahkan algoritme kriptografi ke HW (terutama ChaCha20-Poly1305)
  • Tahap 3: Mengembangkan software manajemen pada prosesor RISC-V lunak dan melakukan integrasi HW/SW, dengan tugas seperti manajemen sesi/kunci ditangani oleh software ber-overhead rendah
  • Tahap 4: Mengimplementasikan alur kerja penuh VPN tunnel mulai dari inisialisasi, pemeliharaan, hingga penghentian aman
  • Tahap 5: Pengujian performa, optimasi, perluasan dukungan untuk toolchain open-source lain (OpenXC7), serta pemeliharaan berkelanjutan dokumentasi komunitas/CI
  • Tahap 6 (opsional) : Mengembangkan software pengendalian aliran data VPN tunnel untuk mewujudkan transmisi dan pengelolaan data yang stabil

Arsitektur bersama HW/SW (kolaborasi)

  • Karena node WireGuard berperan mirip router IP, pembagian yang efektif dilakukan dengan struktur 2 lapis (control/data plane)
  • Lalu lintas kontrol (pesan protokol) dan lalu lintas data (paket terenkripsi/paket pengguna biasa) dipisahkan, lalu dirancang jalur dan struktur pemrosesan yang sesuai untuk masing-masing

Sistem simulasi dan verifikasi

  • CPU dapat dipilih berbasis virtual (VProc) maupun softcore RTL (RISC-V dan lain-lain), dengan analisis paket bertahap berdasarkan skenario trafik Wireguard nyata
  • Co-simulation HAL: Menggunakan peakrdl untuk menghasilkan register kontrol/status HW/SW secara otomatis dan menyediakan API, sehingga pengujian integrasi SW/HW dapat dilakukan cepat pada operasi nyata

Open-source dan transparansi

  • Seluruh area implementasi seperti rangkaian (gateware), embedded software, build, bitstream, dan lainnya dibuka sepenuhnya di bawah lisensi BSD-3-Clause
  • Struktur terbuka ditekankan agar komunitas dapat langsung memeriksa isu seperti backdoor, kerentanan, dan kepemilikan hukum

Informasi lain

  • Alur pengembangan, penjelasan rinci per bagian, sumber referensi utama, serta modul outsourcing dapat dilihat di file README dan subdirektori (1.hw, 2.sw, 3.build, dan lain-lain)
  • Didukung oleh NLnet Foundation

Kesimpulan

  • Proyek ini mengarah pada standar open-source untuk implementasi perangkat keras Wireguard VPN berperforma tinggi, dengan diferensiasi berupa biaya rendah, transparansi, dan kemudahan adopsi yang cepat
  • Meski masih berada pada tahap awal pengembangan, proyek ini diperkirakan akan memainkan peran penting dalam infrastruktur jaringan terbuka di masa depan, baik dari sisi keamanan maupun aksesibilitas

Bacaan terkait

Belum ada komentar.

Belum ada komentar.