Я создал WG YubiKey Manager, потому что устал от того, что конфигурации WireGuard лежат на диске в открытом виде. У каждого разработчика, заботящегося о безопасности, наступает момент осознания, что приватные ключи VPN, это просто файлы, ждущие кражи. Это macOS-приложение решает проблему, сохраняя ключи WireGuard на аппаратном YubiKey, где им и место.
Проблема: ключи на диске
WireGuard отличный протокол, но стандартный подход размещает приватные ключи в конфигурационных файлах на диске. Это угроза безопасности, которую я не мог игнорировать. Любой с доступом к файловой системе, малварь, физический доступ, уязвимости облачной синхронизации, может извлечь эти ключи.
Мне нужно было что-то лучше. Аппаратные ключи безопасности вроде YubiKey существуют именно для таких случаев: хранение криптографического материала там, где программа не может его просто взять. Вопрос был в том, как соединить WireGuard с хранилищем YubiKey.
Архитектура: Go + Svelte + YubiKey PIV
Решение объединяет несколько технологий в единое настольное приложение. Бэкенд работает на Go 1.25, обрабатывая операции с YubiKey, управление туннелями WireGuard и системную интеграцию. Фронтенд использует Svelte 4 для интерфейса, подключенный через фреймворк Wails v2.
Слоты YubiKey PIV хранят конфигурации WireGuard. Я использую слоты с 5f0001 по 5f00ff, что даёт место для до 255 VPN-туннелей. Каждая конфигурация шифруется через GnuPG с использованием AES-256 перед сохранением, с PIN-кодом YubiKey в качестве пароля шифрования.
Модель безопасности: ключи не касаются диска
Вот как работает безопасность: когда вы импортируете конфигурацию WireGuard, приложение шифрует её через GPG с AES-256 и сохраняет зашифрованный блок на YubiKey. Приватный ключ никогда не касается диска в открытом виде.
При подключении вы вводите PIN, приложение расшифровывает конфигурацию прямо с YubiKey в память, извлекает приватный ключ и передает его в WireGuard через stdin. Ключ существует только в RAM во время активной сессии, никаких записей на диск, файлов подкачки, постоянного хранения.
Основные возможности
Приложение предоставляет подключение и отключение в один клик. Нажмите карточку туннеля, введите PIN, и вы подключены. Меню показывает статус, заполненный круг при подключении, пустой при отключении. Живая статистика отображает время рукопожатия, скорость передачи, задержку и информацию о пирах.
Импорт конфигураций поддерживает вставку и загрузку файлов. Приложение проверяет синтаксис WireGuard перед сохранением, выявляя ошибки конфигурации заранее. Поддержка нескольких туннелей означает, что вы можете управлять десятками VPN-конфигураций из одного интерфейса.
Автообнаружение помогает при переходе между машинами. Вставьте YubiKey, нажмите «Синхронизация», и приложение просканирует все PIV-слоты для восстановления списка туннелей. Ручная переконфигурация не нужна, ваши VPN-настройки путешествуют с аппаратным ключом.
Техническая реализация
Система повышения привилегий использует одноразовую настройку sudoers через диалоги авторизации macOS. После первоначальной настройки приложение выполняет VPN-операции без пароля, используя ограниченные sudo-разрешения. Операции YubiKey выполняются под вашим обычным пользователем, повышенные привилегии не требуются.
UI в стиле glassmorphism адаптируется к светлым и темным темам, что даёт нативную интеграцию с macOS. Полупрозрачные эффекты окон следуют системным предпочтениям внешнего вида автоматически. Интеграция с меню делает приложение доступным без загромождения дока.
Многопоточность обрабатывает обновления в реальном времени безопасно. Статус подключения, статистика передачи и присутствие YubiKey отслеживаются через защищенное мьютексами управление состоянием. Фронтенд Svelte получает обновления через привязки событий Wails, поддерживая отзывчивый UI во время сетевых операций.
Начало работы
Для установки требуется macOS 12.0+ и YubiKey 5 серии с поддержкой PIV. Вам также понадобятся ykman, GnuPG и инструменты WireGuard, установленные через Homebrew. GitHub-репозиторий содержит полные инструкции по сборке и управлению зависимостями.
После запуска приложение один раз запросит доступ администратора для установки правил sudoers. Вставьте YubiKey, импортируйте первую конфигурацию, и вы готовы. Приложение обрабатывает криптографическую сложность, вы просто нажимаете «подключить».
Для разработки клонируйте репозиторий и выполните wails dev для разработки с горячей перезагрузкой. Production-сборки используют включенный shell-скрипт для создания правильного bundle-приложения macOS, готового к установке.
Почему это важно
Хранение ключей на аппаратном уровне, это не просто паранойя, а практическая безопасность. Ваши ключи WireGuard представляют сетевой доступ, потенциально к чувствительным средам. Хранение их на выделенном аппаратном обеспечении добавляет физический уровень защиты, который программное обеспечение само по себе предоставить не может.
Этот подход также обеспечивает лучшую операционную безопасность. Ключи не могут утекать через синхронизацию файлов, системы резервного копирования или криминалистический анализ диска. Даже при полной компрометации системы злоумышленникам нужен физический доступ к YubiKey и знание PIN-кода.
Лицензия MIT сохраняет проект открытым для аудита безопасности и вклада сообщества. Я создал это для собственного использования, но потребность в лучшем управлении VPN-ключами выходит за рамки личных проектов. Организации, заботящиеся о безопасности, могут проанализировать, модифицировать и развернуть этот подход согласно своим требованиям.
Если вам нужны качественные консультации по безопасности или помощь в реализации подобных решений в вашей инфраструктуре, я предоставляю услуги IT-консультирования и работаю как фракционный CTO для улучшения позиции безопасности организаций.
FAQ
В: Работает ли это с другими VPN-протоколами?
О: В настоящее время приложение специфично для WireGuard. Архитектура может быть адаптирована для других протоколов, но простой формат ключей WireGuard делает его идеальным для данного подхода.
В: Что происходит, если я потеряю YubiKey?
О: Ваши конфигурации хранятся только на YubiKey. Ведите резервные копии конфигураций WireGuard отдельно или рассмотрите использование нескольких YubiKey для избыточности.
В: Можно ли использовать это на Windows или Linux?
О: Текущая реализация специфична для macOS из-за нативной интеграции с меню и потоков авторизации системы. Основные концепции могут быть портированы на другие платформы.
В: Насколько безопасна PIN-защита?
О: YubiKey PIV реализует аппаратные ограничения на повторы PIN. После последовательных неудачных попыток устройство блокируется, требуя сброса администратором. Это обеспечивает сильную защиту против атак перебора PIN.
В: Поддерживает ли это несколько YubiKey?
О: Приложение работает с одним YubiKey за раз. Смена ключей требует ручных операций синхронизации для обнаружения конфигураций. Будущие версии могут поддерживать управление несколькими устройствами.
Есть вопросы о реализации подобных решений безопасности? Свяжитесь со мной и расскажите, как вы подходите к управлению VPN-ключами в вашей среде.
