Perché portare le VPN WireGuard su FPGA?

Le VPN (Virtual Private Network) rappresentano un elemento imprescindibile per la protezione dei dati e la connessione sicura tra reti geograficamente distribuite. Esse costruiscono canali cifrati che permettono di instradare il traffico attraverso Internet come se viaggiasse all’interno di una rete privata. Tuttavia, i protocolli tradizionali — come IPsec o OpenVPN — iniziano a mostrare i loro limiti in termini di efficienza, semplicità di configurazione e prestazioni. Negli ultimi anni, WireGuard si è imposto come la risposta moderna a queste problematiche, offrendo una VPN minimale ad alte prestazioni e basata su principi di crittografia contemporanea.

Se le implementazioni software di WireGuard hanno già raggiunto una notevole maturità, il passo successivo per la ricerca e l’innovazione è quello di portare il protocollo direttamente sull’hardware, sfruttando la programmabilità e la parallelizzazione offerte dai dispositivi FPGA (Field-Programmable Gate Array).

Un progetto che mira a portare la crittografia WireGuard in hardware

Il progetto WireGuard FPGA nasce con l’obiettivo di realizzare un’implementazione completamente open source del protocollo WireGuard in SystemVerilog, eseguibile su piattaforme FPGA a basso costo e compatibili con toolchain aperte come OpenXC7.

SystemVerilog è un linguaggio di descrizione hardware utilizzato per progettare e simulare circuiti digitali complessi, combinando modellazione, sintesi e verifica in un unico strumento. OpenXC7, invece, è un insieme di strumenti gratuiti e liberamente utilizzabili che permettono di progettare, sintetizzare e programmare FPGA Xilinx Serie 7. Il pacchetto tutto ciò che serve per trasformare il codice scritto in SystemVerilog in un bitstream eseguibile su FPGA.

L’ambizione è quella di superare i limiti delle precedenti soluzioni hardware, come Blackwire, che pur rappresentando un traguardo tecnologico (100 Gbps di throughput su schede Alveo U50), restavano confinati a ecosistemi chiusi, costosi e legati a strumenti proprietari AMD/Xilinx.

L’approccio del progetto WireGuard FPGA è radicalmente diverso: puntare su una piattaforma economica — basata su FPGA Artix-7 con quattro porte 1000Base-T — e su una progettazione completamente aperta, accessibile anche a università, laboratori indipendenti e maker.

Perché è importante

Portare WireGuard su FPGA rappresenta un passo fondamentale per ottenere una VPN moderna che combini sicurezza avanzata e prestazioni elevate.

WireGuard si distingue per la sua architettura minimale, l’uso di algoritmi crittografici moderni come ChaCha20 per la cifratura simmetrica, Poly1305 per l’autenticazione dei messaggi, Curve25519 per lo scambio di chiavi e BLAKE2s per l’hashing. Nelle implementazioni software, tutte queste elaborazioni sono gestite dalla CPU, limitando la velocità di elaborazione dei pacchetti e aumentando la latenza in reti ad alto throughput.

Spostare WireGuard su FPGA permette di implementare la pipeline di crittografia e decifratura direttamente in hardware, con processi paralleli e deterministici, riducendo drasticamente il carico sulla CPU e garantendo throughput vicino alla velocità assicurata dalle interfacce Ethernet.

Inoltre, la separazione tra piano dati (data plane) e piano di controllo (control plane) consente di delegare all’hardware l’elaborazione dei pacchetti mentre il processore softcore RISC-V gestisce solo handshake, gestione chiavi e controllo delle sessioni, ottimizzando l’efficienza complessiva.

Come accennato in precedenza, inoltre, l’uso di FPGA a basso costo e la scelta di una toolchain open source come OpenXC7, rendono la soluzione accessibile, trasparente e replicabile, permettendo a università, laboratori indipendenti e sviluppatori di sperimentare, ottimizzare e adattare WireGuard senza vincoli di licenza, aprendo la strada a VPN hardware sicure, scalabili e ad alte prestazioni.

Stato attuale del progetto WireGuard FPGA e supporto NLnet Foundation

Il progetto WireGuard FPGA si trova ancora in una fase iniziale ma l’architettura hardware e software risulta ben definita, pronta per supportare le prossime tappe.

Nonostante sia ancora sperimentale, il lavoro in corso crea le basi per le fasi successive, che includono l’implementazione completa dei canali WireGuard, la gestione dinamica delle sessioni, il testing a piena velocità e il porting definitivo su OpenXC7, avvicinandosi sempre di più all’obiettivo di una VPN hardware sicura e ad alte prestazioni.

A promuovere e sostenere l’iniziativa c’è NLnet Foundation, storica organizzazione no-profit olandese che finanzia idee innovative per un’Internet sicura, aperta e decentralizzata. Grazie a  questi sforzi, il progetto punta a rendere accessibile a università, laboratori e sviluppatori indipendenti una soluzione VPN hardware di “ultimo grido”, replicabile e completamente trasparente.