Bu gün Linus VPN interfeysləri ilə şəbəkənin növbəti filialını özünə köçürdü . Bu hadisə haqqında poçt siyahısında WireGuard.
Yeni nüvə üçün kod toplanması hazırda davam edir. Linux 5.6. WireGuard — müasir kriptoqrafiyanı tətbiq edən sürətli, yeni nəsil VPN. Əvvəlcə mövcud VPN-lərə daha sadə və daha rahat alternativ kimi hazırlanmışdır. Kanadalı informasiya təhlükəsizliyi üzrə mütəxəssis Jason A. Donenfeld tərəfindən hazırlanmışdır. 2018-ci ilin avqust ayında WireGuard Linus Torvaldsdan. Təxminən həmin dövrdə VPN-in nüvəyə daxil edilməsi üzərində işlərə başlanıldı. LinuxProses bir az daha uzun çəkdi.
"Gördüm ki, Ceyson əlavə etmək üçün pull sorğusu edib" WireGuard Linus 2 avqust 2018-ci ildə "nüvəyə daxil" yazırdı. "Bu VPN-ə olan sevgimi təkrarlaya və tez bir zamanda birləşməyə ümid edə bilərəmmi? Kod mükəmməl olmaya bilər, amma mən ona baxdım və dəhşətlərlə müqayisə etdim." OpenVPN və IPSec, bu, əsl sənət əsəridir."
Linusun istəklərinə baxmayaraq, birləşmə bir il yarım uzandı. Əsas problem, performansı yaxşılaşdırmaq üçün istifadə edilən kriptoqrafik funksiyaların mülkiyyət tətbiqi ilə bağlı olduğu ortaya çıxdı. Uzun danışıqlardan sonra 2019-cu ilin sentyabrında oldu Yamaları, tərtibatçıların daxil ola biləcəyi nüvədə mövcud olan Kripto API funksiyalarına tərcümə edin WireGuard Performans və ümumi təhlükəsizliklə bağlı bəzi şikayətlər var idi. Lakin yerli kriptovalyuta funksiyaları problemi həll etdi. WireGuard aşağı səviyyəli Sink API-lərini ayırın və zamanla onları nüvəyə portlayın. Noyabr ayında nüvə tərtibatçıları vədlərinə əməl etdilər və kodun bir hissəsini sinkdən əsas nüvəyə köçürün. Məsələn, Crypto API-də hazırlanmış WireGuard ChaCha20 və Poly1305 alqoritmlərinin sürətli tətbiqləri.
Nəhayət, 9 dekabr 2019-cu ildə nüvə şəbəkəsi altsistemindən məsul olan David S. Miller... Linux, net-növbəti filiala layihədən VPN interfeysinin həyata keçirilməsi ilə WireGuard.
Və bu gün, 29 yanvar 2020-ci il, dəyişikliklər nüvəyə daxil olmaq üçün Linus-a getdi.
İddia edilən faydalar WireGuard digər VPN həlləri üzərində:
- Istifadə etmək asan.
- Müasir kriptoqrafiyadan istifadə edir: Səs protokolu çərçivəsi, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF və s.
- Yığcam oxuna bilən kod, zəiflikləri araşdırmaq daha asandır.
- Yüksək performans.
- Aydın və ətraflı .
Bütün əsas məntiq WireGuard 4000 sətirdən az kod tələb edir, halbuki OpenVPN və IPSec yüz minlərlə xəttdən ibarətdir.
"İçərisində WireGuard Şifrələmə açar marşrutlaşdırması konsepsiyasından istifadə olunur ki, bu da hər bir şəbəkə interfeysinə şəxsi açarın bağlanmasını və onun açıq açarın bağlanması üçün istifadəsini nəzərdə tutur. Açıq açarlar SSH-yə bənzər şəkildə əlaqə yaratmaq üçün mübadilə edilir. İstifadəçi məkanında ayrı bir daemon işə salmadan açarları müzakirə etmək və əlaqə yaratmaq üçün Noise_IK mexanizmi SSH-də səlahiyyətli_açarların saxlanmasına bənzəyir. Məlumatların ötürülməsi UDP paketlərində inkapsulyasiya yolu ilə həyata keçirilir. Müştərinin avtomatik yenidən konfiqurasiyası ilə əlaqəni kəsmədən VPN serverinin IP ünvanının dəyişdirilməsini (rouminq) dəstəkləyir, - Opennet.
Şifrələmə üçün axın şifrəsi və mesaj identifikasiyası alqoritmi (MAC) Daniel Bernstein tərəfindən hazırlanmışdır (), Tanja Lange və Peter Schwabe. ChaCha20 və Poly1305 AES-256-CTR və HMAC-ın daha sürətli və təhlükəsiz analoqları kimi yerləşdirilib, proqram təminatının tətbiqi xüsusi aparat dəstəyindən istifadə etmədən sabit icra müddətinə nail olmağa imkan verir. Paylaşılan gizli açar yaratmaq üçün həyata keçirmə zamanı elliptik əyri Diffie-Hellman protokolundan istifadə olunur. , həmçinin Daniel Bernstein tərəfindən təklif edilmişdir. Hashing üçün istifadə olunan alqoritmdir .
Tapıntılar rəsmi internet saytından:
Bant genişliyi (meqabit/s)
Ping (ms)
Test konfiqurasiyası:
- Intel Core i7-3820QM və Intel Core i7-5200U
- Gigabit kartları Intel 82579LM və Intel I218LM
- Linux 4.6.1
- Konfiqurasiya WireGuardMAC üçün Poly1305 ilə 256-bit ChaCha20
- İlk IPsec konfiqurasiyası: MAC üçün Poly256 ilə 20 bit ChaCha1305
- İkinci IPsec konfiqurasiyası: AES-256-GCM-128 (AES-NI ilə)
- Konfiqurasiya OpenVPN: HMAC-SHA2-256, UDP rejimi ilə 256 bitlik AES-in ekvivalent şifrə dəsti
- Performans istifadə edərək ölçüldü
iperf3, 30 dəqiqə ərzində orta nəticəni göstərir.
Nəzəri olaraq, şəbəkə yığınına inteqrasiya edildikdən sonra WireGuard daha da sürətli işləməlidir. Amma əslində, Crypto API-nin daxili kriptoqrafik funksiyalarına keçid səbəbindən bu, mütləq belə olmayacaq. Onların hamısının hələ yerli versiyanın performans səviyyəsinə optimallaşdırılmaması mümkündür. WireGuard.
"Mənim nöqteyi-nəzərimdən, WireGuard Bu, istifadəçi üçün tamamilə idealdır. Bütün aşağı səviyyəli qərarlar spesifikasiyada nəzərə alınır, buna görə də tipik VPN infrastrukturunun qurulması cəmi bir neçə dəqiqə çəkir. Konfiqurasiyanı pozmaq praktik olaraq mümkün deyil. 2018-ci ildə Habré-də. - Quraşdırma prosesi rəsmi saytında, əla ayrıca qeyd etmək istərdim . Kod bazasının bu istifadəsi asanlığı və yığcamlığı açarların paylanmasını aradan qaldırmaqla əldə edilmişdir. Heç bir mürəkkəb sertifikat sistemi yoxdur və bütün bu korporativ dəhşət; qısa şifrələmə açarları SSH açarları kimi paylanır.
Layihə WireGuard 2015-ci ildən bəri inkişaf edir, auditdən keçib və Dəstək WireGuard NetworkManager və systemd-ə inteqrasiya olunub və kernel yamaları baza paylanmalarına daxil edilib Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph və ALT.
Mənbə: www.habr.com
