David Miller (), Linux nüvəsinin şəbəkə alt sistemi üçün cavabdehdir, net-növbəti filiala layihədən VPN interfeysinin həyata keçirilməsi ilə . Gələn ilin əvvəlində şəbəkə-növbəti filialda yığılan dəyişikliklər Linux nüvəsi 5.6-nın buraxılması üçün əsas təşkil edəcək.
WireGuard kodunu əsas nüvəyə daxil etmək cəhdləri son bir neçə il ərzində edilib, lakin performansı yaxşılaşdırmaq üçün istifadə edilən kriptoqrafik funksiyaların özəl tətbiqləri ilə əlaqəli olduğuna görə uğursuz qalıb. Əvvəlcə bu funksiyalar idi kernel üçün əlavə aşağı səviyyəli Sink API kimi, nəticədə standart Crypto API-ni əvəz edə bilər.
Kernel Recipes konfransında müzakirələrdən sonra, sentyabr ayında WireGuard yaradıcıları WireGuard tərtibatçılarının performans və ümumi təhlükəsizlik sahəsində şikayətləri olduğu nüvədə mövcud olan Crypto API-dən istifadə etmək üçün yamaqlarınızı köçürün. Sink API-ni inkişaf etdirməyə davam etmək qərara alındı, lakin ayrıca bir layihə olaraq.
Noyabr ayında kernel developers güzəştə cavab olaraq kodun bir hissəsini Sinkdən əsas nüvəyə köçürməyə razılaşdı. Əslində, bəzi Sink komponentləri nüvəyə köçürüləcək, lakin ayrıca API kimi deyil, Crypto API alt sisteminin bir hissəsi kimi. Məsələn, artıq Kripto API WireGuard-da hazırlanmış ChaCha20 və Poly1305 alqoritmlərinin sürətli tətbiqləri.
WireGuard-ın qarşıdan gələn tədarükü ilə əlaqədar olaraq, layihənin təsisçisi əsas nüvədə repozitoriyanın yenidən qurulması haqqında. İnkişafı sadələşdirmək üçün ayrı-ayrılıqda mövcud olmaq üçün nəzərdə tutulmuş monolit “WireGuard.git” repozitoriyası əsas nüvədə kodla işin təşkili üçün daha uyğun olan üç ayrı repozitoriya ilə əvəz olunacaq:
- - Wireguard layihəsindən dəyişiklikləri olan tam nüvə ağacı, yamaqlar nüvəyə daxil edilmək üçün nəzərdən keçiriləcək və müntəzəm olaraq net/net-növbəti filiallara köçürüləcək.
- - wg və wg-quick kimi istifadəçi məkanında işləyən kommunal proqramlar və skriptlər üçün depo. Repozitoriya paylamalar üçün paketlər yaratmaq üçün istifadə edilə bilər.
- - köhnə nüvələrlə uyğunluğu təmin etmək üçün kerneldən ayrıca təchiz edilmiş və compat.h qatı daxil olmaqla modulun variantı olan repozitoriya. Əsas inkişaf wireguard-linux.git repozitoriyasında həyata keçiriləcək, lakin istifadəçilər arasında imkan və ehtiyac olduğu müddətdə yamaqların ayrıca versiyası da işçi formada dəstəklənəcək.
Nəzərinizə çatdıraq ki, VPN WireGuard müasir şifrələmə metodları əsasında həyata keçirilir, çox yüksək performans təmin edir, istifadəsi asan, fəsadsızdır və böyük həcmdə trafiki emal edən bir sıra iri quraşdırmalarda özünü sübut etmişdir. Layihə 2015-ci ildən inkişaf etdirilir, auditdən keçmiş və istifadə edilən şifrələmə üsulları. WireGuard dəstəyi artıq NetworkManager və systemd-ə inteqrasiya olunub və nüvə yamaqları əsas paylamalara daxil edilib. , Mageia, Alp, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard, hər bir şəbəkə interfeysinə şəxsi açarın əlavə edilməsini və açıq açarları birləşdirmək üçün istifadə etməyi nəzərdə tutan şifrələmə açarının yönləndirilməsi konsepsiyasından istifadə edir. Açıq açarlar SSH ilə oxşar şəkildə əlaqə yaratmaq üçün mübadilə edilir. Açarları müzakirə etmək və istifadəçi məkanında ayrıca bir demon çalıştırmadan qoşulmaq üçün Noise_IK mexanizmi SSH-də səlahiyyətli_açarların saxlanmasına bənzəyir. Məlumatların ötürülməsi UDP paketlərində inkapsulyasiya yolu ilə həyata keçirilir. Bağlantını kəsmədən və müştərini avtomatik olaraq yenidən konfiqurasiya etmədən VPN serverinin IP ünvanının dəyişdirilməsini (rouminq) dəstəkləyir.
Şifrələmə üçün axın şifrəsi və mesaj identifikasiyası alqoritmi (MAC) Daniel Bernstein tərəfindən hazırlanmışdır (), Tanya Lange
(Tanja Lange) və Peter Schwabe. ChaCha20 və Poly1305 AES-256-CTR və HMAC-ın daha sürətli və təhlükəsiz analoqları kimi yerləşdirilib, proqram təminatının tətbiqi xüsusi aparat dəstəyindən istifadə etmədən sabit icra müddətinə nail olmağa imkan verir. Paylaşılan gizli açar yaratmaq üçün həyata keçirmə zamanı elliptik əyri Diffie-Hellman protokolundan istifadə olunur. , həmçinin Daniel Bernstein tərəfindən təklif edilmişdir. Hashing üçün istifadə olunan alqoritmdir .
Hazırda Performans WireGuard OpenVPN (HMAC-SHA3.9-3.8 ilə 256-bit AES) ilə müqayisədə 2 dəfə daha yüksək ötürmə qabiliyyəti və 256 dəfə yüksək cavab qabiliyyəti nümayiş etdirdi. IPsec (256-bit ChaCha20+Poly1305 və AES-256-GCM-128) ilə müqayisədə WireGuard cüzi performans yaxşılaşması (13-18%) və daha az gecikmə (21-23%) göstərir. Testlər layihə tərəfindən hazırlanmış şifrələmə alqoritmlərinin sürətli tətbiqlərindən istifadə etməklə həyata keçirilib - nüvənin standart Crypto API-yə ötürülməsi daha pis performansa səbəb ola bilər.
Mənbə: opennet.ru