<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <div class="moz-cite-prefix">On 18.06.2018 14:08, Vivien Malerba
      wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:CAEP1ZN=6aqe3B1sJNhDfB5c86emK+Gk2YJ9d-GaVVYuRzeXYGA@mail.gmail.com">
      <div class="gmail_default"
        style="font-family:arial,helvetica,sans-serif">However, for any
        organization which will use WireGuard, even if admins are very
        effective at applying updates, updating all the endpoint systems
        simultaneously is not realistic. At the same time, it may be the
        case that the organization can't afford the downtime, in which
        case using WireGuard will simply not be an option, which is too
        bad.</div>
    </blockquote>
    <p>Fixing any crypto weakness will require kernel updates and
      configuration changes. A very easy config change, compared to all
      the other work you'd have to do if a flaw is discovered that
      forces a different crypto algorithm, is "use a second WG instance
      with a different UDP port".</p>
    <p>A script that monitors connections to the new WG instance and
      auto-disables the associated peer keys in the old instance is easy
      enough to write.</p>
    <p>Problem solved, no downgrade attack possible.<br>
    </p>
    <pre class="moz-signature" cols="72">-- 
-- Matthias Urlichs</pre>
  </body>
</html>