피드로 돌아가기
A complete tour of Qeli: a self-hosted, post-quantum VPN in Rust
Dev.toDev.to
Security

Rust 기반 Post-Quantum 암호화와 Multi-Transport를 적용한 Self-hosted VPN 설계

A complete tour of Qeli: a self-hosted, post-quantum VPN in Rust

Alexandr Litvinov2026년 6월 18일3advanced

Context

기존 상용 VPN의 중앙 집중형 인프라로 인한 데이터 프라이버시 침해 위험 및 WireGuard의 단일 Transport 제약 존재. 특히 양자 컴퓨팅 발전에 따른 기존 공개키 암호체계의 'Harvest Now, Decrypt Later' 위협에 대한 선제적 대응 필요.

Technical Solution

  • X25519와 ML-KEM-768을 결합한 Hybrid Key Exchange 도입으로 Post-Quantum 보안성 확보
  • Rust로 구현된 Core 로직을 FFI/JNI를 통해 C# 및 Kotlin 클라이언트에 공유하여 플랫폼 간 Wire Format 일관성 유지
  • TUN 인터페이스 기반의 Full VPN 구조 설계로 애플리케이션 단위가 아닌 디바이스 전체 트래픽 제어
  • reality-tls를 포함한 다중 Transport 계층 설계를 통해 HTTPS 채널 내 터널링 및 검열 우회 가능성 확보
  • HKDF-SHA256 기반의 Key Derivation 및 Argon2id를 통한 패스워드 비밀값 생성으로 암호학적 강도 강화
  • 서버, CLI, TLS 기반 Admin Web Panel을 단일 Rust Binary로 통합하여 배포 및 운영 복잡도 최소화

- 양자 내성 암호 도입 시 기존 알고리즘과 신규 알고리즘을 혼합한 Hybrid 방식 검토 - 다중 플랫폼 지원 시 핵심 로직을 Rust로 작성하고 FFI를 통해 바인딩하는 전략 활용 - 네트워크 프로토콜 설계 시 환경에 따라 교체 가능한 Interchangeable Transport 레이어 구축 - Self-hosting 솔루션 설계 시 사용자 관리 및 대역폭 제어 기능을 내장한 통합 바이너리 구조 고려

원문 읽기