Como posso usar os túneis seguros pós-quânticos do Mullvad com outro cliente VPN WireGuard?

Sim, é possível usar a opção de chave pré-compartilhada (PSK) do WireGuard e o psk-exchangeutilitário Mullvad . Instruções para configurar:

Nota: Requer gituma instalação funcional do Rust .

1. Gere uma configuração do WireGuard e conecte-se a ela seguindo as instruções no site da Mullvad.
   • Linux
   • Mac OS
   • janelas
2. Clone o mullvadvpn-apprepositório e construa o psk-exchangeutilitário.

git clone --depth 1 https://github.com/mullvad/mullvadvpn-app.git
cd mullvadvpn-app/talpid-tunnel-config-client
cargo build --example psk-exchange

3. Certifique-se de que a VPN esteja conectada por meio da configuração baixada do WireGuard antes de continuar ou do cliente Mullvad padrão com o túnel resistente a quantum desligado . Então corra:

cargo run --example psk-exchange "10.64.0.1" PUBLIC_KEY

onde PUBLIC_KEYestá WIREGUARD KEY mostrado Manage WireGuard keysno site da Mullvad o perfil que você acabou de criar. Também pode ser exibido através de:

grep -m1 "PrivateKey = " ./xx-xxx-wg-xxx.conf  | cut -c14- | wg pubkey

Depois de executar psk-exchange, você deverá ver uma saída como esta:

private key: PRIVATE_KEY
psk: PRESHARED_KEY

4. Copie um arquivo de configuração do WireGuard para alterar com uma extensão PresharedKey.

   # Note that the max length of a Linux interface name is 15 characters.
   cp /path/to/xx-xxx-wg-xxx.conf /path/to/xx-xxx-wgq-xxx.conf
   

5. Edite o arquivo copiado e adicione - PresharedKey = KEYo em [Peer]e atualize PrivateKeypara corresponder ao valor mostrado acima. Arquivo de exemplo mostrado neste wiki em Peer A setup.
6. Use a configuração atualizada com o cliente WireGuard e confirme a conexão.

Você também pode usar um script como o seguinte para gerar uma configuração rapidamente:

#!/bin/sh
set -o errexit -o nounset

MULLVAD_REPO="/path/to/mullvadvpn-app"
SCRIPT_NAME="$(basename "$0")"

main() (
    if [ $# != 2 ]; then
        echo "Usage: $SCRIPT_NAME <public_key> <config>" >&2
        exit 1
    fi

    public_key="$1"
    config="$(realpath "$2")"
    config_dir="$(dirname "$config")"
    config_basename="$(basename "$config" .conf)"
    cd "$MULLVAD_REPO/talpid-tunnel-config-client"
    echo "Generating PSK for $config_basename.conf..."
    {
        read -r private_key
        read -r preshared_key
    } <<EOF
$(cargo run --example psk-exchange "10.64.0.1" "$public_key")
EOF
    private_key="$(echo "$private_key" | cut -c14-)"
    preshared_key="$(echo "$preshared_key" | cut -c6-)"
    updated_config_basename="$(echo "$config_basename" | sed "s/-wg-/-wgq-/g")"

    sed "s:PrivateKey = [^[:space:]]*:PrivateKey = $private_key:;s:\[Peer\]:&\nPresharedKey = $preshared_key:" \
        "$config" >"$config_dir/$updated_config_basename.conf"
    echo "Wrote config $updated_config_basename.conf"
)

main "$@"

Inicialmente investiguei isso para melhorar o desempenho do desktop, já que o Mullvad usa um frontend Electron. Mas acontece que Mullvad também tem uma CLI dedicada que funciona mesmo quando a GUI está fechada, então agora estou preferindo isso. No entanto, a configuração do WireGuard ainda é útil para executar o Mullvad em um roteador e em sistemas que não suportam seus clientes.

A especificação de criptografia resistente a quantum de Mullvad está documentada aqui .