ProHoster > WireGuard sal na die Linux-kern "kom" - hoekom?
WireGuard sal na die Linux-kern "kom" - hoekom?
Aan die einde van Julie het die ontwikkelaars van die WireGuard VPN-tonnel voorgestel pleister stel, wat hul VPN-tonnelsagteware deel van die Linux-kern sal maak. Die presiese datum van implementering van die "idee" bly egter onbekend. Onder die snit sal ons in meer besonderhede oor hierdie instrument praat.
WireGuard is 'n volgende generasie VPN-tonnel wat geskep is deur Jason A. Donenfeld, uitvoerende hoof van Edge Security. Die projek is ontwikkel as vereenvoudig en 'n vinnige alternatief vir OpenVPN en IPsec. Die eerste weergawe van die produk het slegs 4 duisend reëls kode bevat. Ter vergelyking, OpenVPN het ongeveer 120 duisend lyne, en IPSec - 420 duisend.
Op volgens ontwikkelaars, WireGuard is maklik om te konfigureer en protokolsekuriteit word bereik deur bewese kriptografiese algoritmes. Wanneer netwerk verander word: Wi-Fi, LTE of Ethernet moet elke keer weer aan die VPN-bediener koppel. WireGuard-bedieners beëindig nie die verbinding nie, selfs al het die gebruiker 'n nuwe IP-adres ontvang.
Ten spyte van die feit dat WireGuard oorspronklik vir die Linux-kern ontwerp is, het die ontwikkelaars afgehandel en oor 'n draagbare weergawe van die instrument vir Android-toestelle. Die toepassing is nog nie ten volle ontwikkel nie, maar jy kan dit nou probeer. Hiervoor benodig jy word een van die toetsers.
В amptelike dokumentasie (bl. 18) word opgemerk dat die deurset van WireGuard vier keer hoër is as dié van OpenVPN: 1011 Mbit/s teenoor 258 Mbit/s, onderskeidelik. WireGuard is ook voor die standaardoplossing vir Linux IPsec – dit het 881 Mbit/s. Dit oortref dit ook in gemak van opstelling.
Nadat die sleutels uitgeruil is (die VPN-verbinding is baie soos SSH geïnisialiseer) en die verbinding tot stand gebring is, hanteer WireGuard alle ander take op sy eie: daar hoef nie bekommerd te wees oor roetering, staatsbeheer, ens. Bykomende konfigurasiepogings sal slegs gedoen word nie. vereis as jy simmetriese enkripsie wil gebruik.
Soos die redakteurs van xakep.ru opmerk, is selfsamestelling vanaf brontekste ook maklik. Dit is genoeg om die koppelvlak oop te maak en publieke en private sleutels te genereer:
$ sudo ip link add dev wg0 type wireguard
$ wg genkey | tee privatekey | wg pubkey > publickey
WireGuard gebruik nie koppelvlak om met 'n kripto-verskaffer te werk CryptoAPI. In plaas daarvan word 'n stroomsyfer gebruik ChaCha20, kriptografiese nagemaakte insetsel Poly1305 en eie kriptografiese hash-funksies.
In hierdie geval gebruik WireGuard die ioctl-funksie om I/O (voorheen gebruik Netskakel), wat die kode skoner en eenvoudiger maak. Jy kan dit verifieer deur na te kyk konfigurasie kode.
Ontwikkelaar planne
Vir nou is WireGuard 'n buite-boom kernmodule. Maar die skrywer van die projek is Jason Donenfeld hy praat, dat die tyd aangebreek het vir volledige implementering in die Linux-kern. Omdat dit eenvoudiger en meer betroubaar is as ander oplossings. Jason in hierdie verband ondersteun selfs Linus Torvalds het self die WireGuard-kode 'n "kunswerk" genoem.
Maar niemand praat oor die presiese datums vir die bekendstelling van WireGuard in die kern nie. EN skaars dit sal gebeur met die vrystelling van die Augustus Linux-kern 4.18. Daar is egter 'n moontlikheid dat dit in die baie nabye toekoms sal gebeur: in weergawe 4.19 of 5.0.
Wanneer WireGuard by die kern gevoeg word, sal ontwikkelaars wil finaliseer die toepassing vir Android-toestelle en begin 'n toepassing vir iOS skryf. Daar is ook planne om implementerings in Go en Rust te voltooi en dit na macOS, Windows en BSD oor te dra. Daar word ook beplan om WireGuard vir meer "eksotiese stelsels" te implementeer: DPDK, FPGA, asook baie ander interessante dinge. Almal van hulle is gelys in doenlys skrywers van die projek.
NS Nog 'n paar artikels van ons korporatiewe blog: