VPN WireGuard 1.0.0 متاح

مقدم من إصدار VPN مميز WireGuard 1.0.0، والذي يمثل تسليم مكونات WireGuard في النواة الرئيسية لينكس شنومكس واستقرار التنمية. الكود متضمن في نواة لينكس اجتاز تدقيق أمني إضافي تجريه شركة مستقلة متخصصة في عمليات التدقيق هذه. ولم يكشف التدقيق عن أي مشاكل.

نظرًا لأنه يتم الآن تطوير WireGuard في نواة Linux الرئيسية، فقد تم إعداد مستودع للتوزيعات واستمرار المستخدمين في استخدام الإصدارات الأقدم من النواة wireguard-linux-Compatible.git. يشتمل المستودع على كود WireGuard خلفي وطبقة compat.h لضمان التوافق مع النوى الأقدم. تجدر الإشارة إلى أنه طالما أن المطورين لديهم الفرصة ويحتاج المستخدمون إليها، فسيتم دعم إصدار منفصل من التصحيحات في شكل عمل. في شكله الحالي، يمكن استخدام إصدار مستقل من WireGuard مع النواة من أوبونتو 20.04 и ديبيان 10 "باستر"، ومتوفر أيضًا كتصحيحات لنواة Linux 5.4 и 5.5. التوزيعات باستخدام أحدث النوى مثل Arch و Gentoo و
سيتمكن Fedora 32 من استخدام WireGuard مع تحديث kernel 5.6.

يتم الآن تنفيذ عملية التطوير الرئيسية في المستودع wireguard-linux.git، والذي يتضمن شجرة نواة Linux الكاملة مع تغييرات من مشروع Wireguard. ستتم مراجعة التصحيحات من هذا المستودع لتضمينها في النواة الرئيسية وسيتم دفعها بانتظام إلى فروع الشبكة/الشبكة التالية. يتم تطوير الأدوات المساعدة والبرامج النصية التي يتم تشغيلها في مساحة المستخدم، مثل wg وwg-quick، في المستودع Wireguard-tools.gitوالتي يمكن استخدامها لإنشاء الحزم في التوزيعات.

تذكر أن تطبيق VPN WireGuard يتم تنفيذه على أساس أساليب التشفير الحديثة ، ويوفر أداءً عاليًا للغاية ، وسهل الاستخدام ، وخالي من التعقيدات ، وقد أثبت نفسه في عدد من التطبيقات الكبيرة التي تعالج كميات كبيرة من حركة المرور. تم تطوير المشروع منذ عام 2015 ، واجتاز التدقيق و التحقق الرسمي طرق التشفير المستخدمة. تم دمج دعم WireGuard بالفعل في NetworkManager و systemd ، ويتم تضمين تصحيحات kernel في التوزيعات الأساسية ديبيان غير مستقر، Mageia ، Alpine ، Arch ، Gentoo ، OpenWrt ، NixOS ، رسم بياني ثانوي и ALT.

يستخدم WireGuard مفهوم توجيه مفتاح التشفير ، والذي يتضمن ربط مفتاح خاص بكل واجهة شبكة واستخدام المفاتيح العامة للربط. تبادل المفاتيح العامة لإنشاء اتصال مشابه لـ SSH. للتفاوض على المفاتيح والاتصال بدون تشغيل برنامج مساحة مستخدم منفصل ، آلية Noise_IK من إطار بروتوكول الضوضاءيشبه الحفاظ على المفاتيح المعتمدة في SSH. يتم نقل البيانات من خلال التغليف في حزم UDP. وهو يدعم تغيير عنوان IP الخاص بخادم VPN (التجوال) دون قطع الاتصال من خلال إعادة تكوين العميل تلقائيًا.

للتشفير تستخدم تيار الشفرات ChaCha20 وخوارزمية مصادقة الرسائل (MAC) Poly1305، صممه دانيال بيرنشتاين (دانيال بيرنشتاين) ، تانيا لانج
(تانيا لانج) وبيتر شواب (بيتر شوابي). يتم وضع ChaCha20 و Poly1305 كنظيرتين أسرع وأكثر أمانًا من AES-256-CTR و HMAC ، حيث يتيح تطبيق البرنامج تحقيق وقت تنفيذ ثابت دون الحاجة إلى دعم خاص للأجهزة. لإنشاء مفتاح سري مشترك ، يتم استخدام بروتوكول Diffie-Hellman على المنحنيات الناقصية في التنفيذ Curve25519، كما اقترحه دانييل بيرنشتاين. الخوارزمية المستخدمة للتجزئة هي بليك2s (RFC7693).

تحت القديم اختبارات أظهر أداء WireGuard إنتاجية أعلى بمقدار 3.9 مرة واستجابة أعلى بمقدار 3.8 مرة مقارنةً بـ OpenVPN (256-بت AES مع HMAC-SHA2-256). بالمقارنة مع IPsec (256 بت ChaCha20+Poly1305 وAES-256-GCM-128)، يُظهر WireGuard تحسنًا طفيفًا في الأداء (13-18%) وزمن وصول أقل (21-23%). تغطي نتائج الاختبار المنشورة على الموقع الإلكتروني للمشروع التنفيذ المستقل القديم لـ WireGuard وتم تصنيفها على أنها غير عالية الجودة بما فيه الكفاية. منذ الاختبار، تم تحسين كود WireGuard وIPsec بشكل أكبر وأصبح الآن أسرع. لم يتم بعد إجراء المزيد من الاختبارات الكاملة التي تغطي التنفيذ المدمج في النواة. ومع ذلك، تجدر الإشارة إلى أن WireGuard لا يزال يتفوق على IPsec في بعض المواقف بسبب تعدد الخيوط، بينما يظل OpenVPN بطيئًا للغاية.

المصدر: opennet.ru