WireGuard for Securing Constrained Application Protocol for IoT Devices (CoAP)

Abstract

With the ever-rising popularity of Internet of Things (IoT) devices, the issue of securing communication between the constrained nodes in the IoT network while still achieving adequate speed and performance is as significant as always. One of the protocols widely used for that purpose is the Constrained Application Protocol (CoAP). Designed as a lightweight and optimised version of Hypertext Transfer Protocol (HTTP), CoAP utilises the client/server REST architecture and runs on UDP. To secure communication, CoAP uses Datagram Transport Layer Security (DTLS) protocol. However, prior research and analysis of DTLS security mechanisms and performance overhead have shown that DTLS is yet to become the most efficient and secure protocol for IoT communication.

At the beginning of 2020, a new protocol has emerged, which could potentially solve some of the CoAP/DTLS issues. WireGuard is a cryptographic encapsulation IP tunnel protocol initially designed to implement a minimal Virtual Private Network (VPN) into the Linux kernel. Similarly to DTLS, WireGuard runs on UDP; however, unlike DTLS, it is cryptographically opinionated, meaning that it utilises a fixed set of encryption algorithms. Furthermore, it presents some modifications which make the protocol more energy-efficient than its alternatives.

This study explores the central security and performance requirements for IoT devices and summarises them in terms of Confidentiality, Integrity, Availability (CIA) triad. Furthermore, it presents CoAP in greater detail, followed by a presentation of DTLS and WireGuard. The fundamental part of the project is a comparative study between CoAP and CoAP over DTLS and WireGuard respectively. The reference implementations of the protocols are used to acquire the necessary data, and the experimental results are evaluated based on the criteria and attributes chosen beforehand. The results are further used to determine whether it could be beneficial to use WireGuard instead of DTLS.

Populariteten til Internet of Things-enheter (IoT) har vært i stadig økning de siste årene, og spørsmålet om hvordan man kan sikre kommunikasjonen innad i IoT-nettverket og fremdeles beholde tilstrekkelig hastighet og ytelse er like relevant som alltid. En av protokollene som er mye brukt til det formålet er Constrained Application Protocol (CoAP). CoAP ble designet som en lettere og mer optimalisert versjon av Hypertext Transfer Protocol (HTTP) og bruker klient / server REST-arkitektur og kjører på UDP. For å sikre kommunikasjon, bruker CoAP Datagram Transport Layer Security (DTLS)-protokoll. Tidligere analyse av DTLS sine sikkerhetsmekanismer og ytelsesomkostninger har imidlertid vist at DTLS ikke nødvendigvis er den mest effektive og sikre protokollen for IoT-kommunikasjon.

En ny protokoll, som først ble presentert i begynnelsen av 2020, kan imidlertid løse noen av CoAP/DTLS sine problemer. WireGuard er en protokoll for kryptografisk innklapsling av IP-tuneller, og ble opprinnelig designet for å implementere en VPN tjeneste direkte i Linux-kjernen. Til tross for at både DTLS and WireGuard kjører på UDP, er WireGuard cryptographically opinionated, noe som betyr at den bruker et fast sett med krypteringsalgoritmer. Videre anvender den noen modifikasjoner som gjør protokollen mer energieffektiv enn de alternative protokollene.

Denne oppgaven utforsker de sentrale sikkerhetskravene til IoT-enheter og oppsummerer dem med tanke på CIA triad (Konfidensialitet, Integritet og Tilgjengelighet). Videre gir den en mer detaljert presentasjon av CoAP, etterfulgt av en grundigere presentasjon av både DTLS og WireGuard. Den grunnleggende delen av prosjektet er en komparativ studie mellom CoAP, CoAP over DTLS og CoAP over WireGuard. Referanseimplementeringene av protokollene er brukt til å skaffe de nødvendige dataene, og de eksperimentelle resultatene er evaluert basert på kriteriene og attributtene som er valgt på forhånd. Disse resultatene er videre brukt til å fastslå om det kunne være fordelaktig å bruke WireGuard i stedet for DTLS.