Bu gün Linus VPN interfeysləri ilə şəbəkənin növbəti filialını özünə köçürdü . Bu hadisə haqqında WireGuard poçt siyahısında.
Yeni Linux 5.6 nüvəsi üçün kod toplanması hazırda davam edir. WireGuard ən müasir kriptoqrafiyadan istifadə edən sürətli, yeni nəsil VPN-dir. Əvvəlcə mövcud VPN-lərə daha sadə və daha rahat alternativ kimi hazırlanmışdır. Müəllif Kanadanın informasiya təhlükəsizliyi üzrə mütəxəssisi Ceyson A. Donenfelddir. 2018-ci ilin avqust ayında WireGuard Linus Torvalds tərəfindən. Təxminən o vaxtlar Linux nüvəsinə VPN-in daxil edilməsi işinə başladı. Proses bir az daha uzun çəkdi.
Linus 2 avqust 2018-ci ildə yazıb: "Görürəm ki, Ceyson WireGuard-ı nüvəyə daxil etmək üçün çəkmə tələbi edib". — Mən bir daha bu VPN-ə sevgimi bəyan edib tezliklə birləşməyə ümid edə bilərəmmi? Kod mükəmməl olmaya bilər, amma mən ona baxdım və OpenVPN və IPSec-in dəhşətləri ilə müqayisədə bu, əsl sənət əsəridir."
Linusun istəklərinə baxmayaraq, birləşmə bir il yarım uzandı. Əsas problem, performansı yaxşılaşdırmaq üçün istifadə edilən kriptoqrafik funksiyaların mülkiyyət tətbiqi ilə bağlı olduğu ortaya çıxdı. Uzun danışıqlardan sonra 2019-cu ilin sentyabrında oldu WireGuard tərtibatçılarının performans və ümumi təhlükəsizlik sahəsində şikayətləri olan nüvədə mövcud olan Crypto API funksiyalarına yamaqları tərcümə edin. Lakin onlar yerli WireGuard kripto funksiyalarını ayrıca aşağı səviyyəli Sink API-yə ayırmağa və nəticədə onları nüvəyə köçürməyə qərar verdilər. Noyabr ayında kernel tərtibatçıları vədlərinə əməl etdilər və kodun bir hissəsini sinkdən əsas nüvəyə köçürün. Məsələn, Crypto API-də WireGuard-da hazırlanmış ChaCha20 və Poly1305 alqoritmlərinin sürətli tətbiqləri.
Nəhayət, 9 dekabr 2019-cu ildə, Linux nüvəsinin şəbəkə altsisteminə cavabdeh olan David S. Miller, net-növbəti filiala WireGuard layihəsindən VPN interfeysinin tətbiqi ilə.
Və bu gün, 29 yanvar 2020-ci il, dəyişikliklər nüvəyə daxil olmaq üçün Linus-a getdi.
WireGuard-ın digər VPN həlləri üzərində iddia edilən üstünlükləri:
- Istifadə etmək asan.
- Müasir kriptoqrafiyadan istifadə edir: Səs protokolu çərçivəsi, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF və s.
- Yığcam oxuna bilən kod, zəiflikləri araşdırmaq daha asandır.
- Yüksək performans.
- Aydın və ətraflı .
WireGuard-ın bütün əsas məntiqi 4000 sətirdən az kod tutur, halbuki OpenVPN və IPSec yüz minlərlə sətir tələb edir.
“WireGuard hər bir şəbəkə interfeysinə şəxsi açarın əlavə edilməsini və onu bağlamaq üçün açıq açarların istifadəsini nəzərdə tutan şifrələmə açarının marşrutlaşdırma konsepsiyasından istifadə edir. Açıq açarlar SSH ilə oxşar şəkildə əlaqə yaratmaq üçün mübadilə edilir. Açarları müzakirə etmək və istifadəçi məkanında ayrıca bir demon çalıştırmadan qoşulmaq üçün Noise_IK mexanizmi SSH-də səlahiyyətli_açarların saxlanmasına bənzəyir. Məlumatların ötürülməsi UDP paketlərində inkapsulyasiya yolu ilə həyata keçirilir. Müştərinin avtomatik yenidən konfiqurasiyası ilə əlaqəni kəsmədən VPN serverinin IP ünvanının dəyişdirilməsini (rouminq) dəstəkləyir, - Opennet.
Şifrələmə üçün axın şifrəsi və mesaj identifikasiyası alqoritmi (MAC) Daniel Bernstein tərəfindən hazırlanmışdır (), Tanja Lange və Peter Schwabe. ChaCha20 və Poly1305 AES-256-CTR və HMAC-ın daha sürətli və təhlükəsiz analoqları kimi yerləşdirilib, proqram təminatının tətbiqi xüsusi aparat dəstəyindən istifadə etmədən sabit icra müddətinə nail olmağa imkan verir. Paylaşılan gizli açar yaratmaq üçün həyata keçirmə zamanı elliptik əyri Diffie-Hellman protokolundan istifadə olunur. , həmçinin Daniel Bernstein tərəfindən təklif edilmişdir. Hashing üçün istifadə olunan alqoritmdir .
Tapıntılar rəsmi internet saytından:
Bant genişliyi (meqabit/s)
Ping (ms)
Test konfiqurasiyası:
- Intel Core i7-3820QM və Intel Core i7-5200U
- Gigabit kartları Intel 82579LM və Intel I218LM
- Linux 4.6.1
- WireGuard Konfiqurasiyası: MAC üçün Poly256 ilə 20 bit ChaCha1305
- İlk IPsec konfiqurasiyası: MAC üçün Poly256 ilə 20 bit ChaCha1305
- İkinci IPsec konfiqurasiyası: AES-256-GCM-128 (AES-NI ilə)
- OpenVPN Konfiqurasiyası: HMAC-SHA256-2, UDP rejimi ilə AES 256 bit ekvivalent şifrə dəsti
- Performans istifadə edərək ölçüldü
iperf3, 30 dəqiqə ərzində orta nəticəni göstərir.
Nəzəri olaraq, şəbəkə yığınına inteqrasiya edildikdən sonra WireGuard daha sürətli işləməlidir. Lakin reallıqda bu, nüvəyə quraşdırılmış Crypto API kriptoqrafik funksiyalarına keçidlə əlaqədar olaraq mütləq olmayacaq. Bəlkə də onların hamısı hələ doğma WireGuard-ın performans səviyyəsinə optimallaşdırılmayıb.
“Mənim fikrimcə, WireGuard ümumiyyətlə istifadəçi üçün idealdır. Bütün aşağı səviyyəli qərarlar spesifikasiyada qəbul edilir, ona görə də tipik VPN infrastrukturunun hazırlanması prosesi cəmi bir neçə dəqiqə çəkir. Konfiqurasiyada səhv etmək demək olar ki, mümkün deyil - 2018-ci ildə Habré-də. - Quraşdırma prosesi rəsmi saytında, əla ayrıca qeyd etmək istərdim . Kod bazasının bu istifadəsi asanlığı və yığcamlığı açarların paylanmasını aradan qaldırmaqla əldə edilmişdir. Heç bir mürəkkəb sertifikat sistemi yoxdur və bütün bu korporativ dəhşət; qısa şifrələmə açarları SSH açarları kimi paylanır.
WireGuard layihəsi 2015-ci ildən inkişaf edir, yoxlanılıb və . WireGuard dəstəyi NetworkManager və systemd-ə inteqrasiya olunub və nüvə yamaqları Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph və ALT-nin əsas paylamalarına daxil edilib.
Mənbə: www.habr.com