Sanctum || A pq-safe and sandboxed VPN daemon
a year ago
- #VPN
- #OpenBSD
- #Security
- Sanctum是一个专为OpenBSD、Linux和MacOS设计的特权分离式VPN守护进程,通过隔离关键资产来确保安全性。
- 它支持可穿透NAT的对等隧道,无需进行防火墙端口配置。
- Sanctum由多个进程组成,每个进程具有特定功能,例如加密(bless)、解密(confess)和密钥派生(chapel)。
- 除具有更广泛系统访问权限的guardian和bishop外,所有进程均在沙盒环境下以独立用户身份运行。
- 该VPN采用后量子安全的密钥交换机制,结合ECDH(x25519)和ML-KEM-1024算法,并使用AES256-GCM进行流量加密。
- 支持单向隧道(pilgrim和shrine模式)及通过cathedrals实现的对等连接——这些中继节点无法访问会话密钥。
- 配置需设置实例详情、共享密钥、隧道参数及进程用户。
- Sanctum可在支持平台上从源码构建,并依赖libsodium库执行加密操作。