<div dir="ltr">It's not possible within the tunnel, but it's still possible anywhere else in the path.<div><br></div><div>That said, you should never rely on the IP/TCP/UDP checksums at the application layer. Most modern router ASICs unconditionally recalculate the checksum right before transmission (to account for any packet mangling that happened in the ASIC pipeline), so it's very common for routers with faulty RAM or a faulty ASIC to corrupt a packet and then recalculate all the L3/L4 checksums to be "correct" before transmitting the broken packet.</div><div><br></div><div>If you need to verify traffic integrity, you need your own integrity check at L7 - ideally bound to a cryptographic exchange so you can be certain that it's an e2e integrity check that cannot be tampered with even by "smart" proxies. Wireguard can provide you some "integrity by proxy" if you're not routing traffic on either end of the tunnel, but that won't save you in any other cases :)</div><div><br></div><div>- Dave</div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Jan 2, 2019 at 11:37 AM Matt Avery <<a href="mailto:matthewaveryusa@gmail.com">matthewaveryusa@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-family:monospace,monospace;font-size:small;color:rgb(0,0,0)">It dawned to me today that if I write an application that sends udp datagrams through the wireguard interface that corruption of the data within the datagram is not possible even if I decide to zero-out my datagram checksums (assuming the datagram doesn't get intentionally corrupted within the kernel.)</div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small;color:rgb(0,0,0)"><br></div><div class="gmail_default" style="font-family:monospace,monospace;font-size:small;color:rgb(0,0,0)">Is that assumption correct?<br><br>Thanks,<br>-Matt</div></div>
_______________________________________________<br>
WireGuard mailing list<br>
<a href="mailto:WireGuard@lists.zx2c4.com" target="_blank">WireGuard@lists.zx2c4.com</a><br>
<a href="https://lists.zx2c4.com/mailman/listinfo/wireguard" rel="noreferrer" target="_blank">https://lists.zx2c4.com/mailman/listinfo/wireguard</a><br>
</blockquote></div>