У канцы ліпеня распрацоўшчыкі VPN-тунэля WireGuard прапанавалі , якія зробяць іх ПА для арганізацыі VPN-тунэляў часткай ядра Linux. Аднак дакладная дата рэалізацыі "задумкі" пакуль застаецца невядомай. Пад катом пагаворым аб гэтай прыладзе падрабязней.
/ фота
Коратка аб праекце
WireGuard – VPN-тунэль новага пакалення, створаны Джэйсанам Даненфельдам (Jason A. Donenfeld), кіраўніком кампаніі Edge Security. Праект распрацоўваўся як і шустрая альтэрнатыва OpenVPN і IPsec. Першая версія прадукта ўтрымоўвала ўсяго 4 тыс. радкоў кода. Для параўнання, у OpenVPN каля 120 тыс. радкоў, а ў IPSec – 420 тыс. радкоў.
Па распрацоўнікаў, WireGuard нескладана наладзіць, а бяспека пратаколу дасягаецца . : Wi-Fi, LTE або Ethernet трэба кожны раз перападключацца да VPN-сервера. Серверы WireGuard ж не раздзіраюць злучэнне, нават калі карыстач атрымаў новы IP-адрас.
Нягледзячы на тое што WireGuard першапачаткова заменчаны пад Linux-ядро, распрацоўнікі і аб партатыўнай версіі інструмента для Android-прылад. Прыкладанне пакуль недапрацавана, аднак паспрабаваць яго ў справе можна ўжо зараз. Для гэтага трэба .
У цэлым WireGuard карыстаецца даволі вялікай папулярнасцю і нават быў некалькімі VPN-правайдэрамі, напрыклад Mullvad і AzireVPNВ. У сетцы апублікавана гэтага рашэння. Напрыклад, , якія ствараюць карыстальнікі, а ёсць гайды, .
Тэхнічныя падрабязнасці
В (стр.18) адзначана, што прапускная здольнасць у WireGuard у чатыры разы вышэй, чым у OpenVPN: 1011 Мбіт/з супраць 258 Мбіт/з адпаведна. WireGuard апярэджвае і стандартнае рашэнне для Linux IPsec у таго 881 Мбіт/с. Пераўзыходзіць ён яго і па прастаце налады.
Пасля абмену ключамі (VPN-падлучэнне ініцыялізуецца амаль як у SSH) і ўсталяванні злучэння WireGuard самастойна вырашае ўсе астатнія задачы: няма неабходнасці турбавацца маршрутызацыі, кантролі стану і інш. Дадатковыя высілкі на наладу спатрэбіцца прыкласці толькі ў тым выпадку, калі жадаецца задзейнічаць сіметрычнае шыфраванне.
/ фота
Для ўсталёўкі спатрэбіцца дыстрыбутыў з ядром Linux "старэйшыя" 4.1. Яго можна знайсці ў рэпазітарах асноўных дыстрыбутываў Linux.
$ sudo add-apt-repository ppa:hda-me/wireguard
$ sudo apt update
$ sudo apt install wireguard-dkms wireguard-tools
Як адзначаюць рэдактары xakep.ru, самастойная зборка з зыходных тэкстаў таксама нескладаная. Досыць падняць інтэрфейс і згенераваць адчынены і зачынены ключы:
$ sudo ip link add dev wg0 type wireguard
$ wg genkey | tee privatekey | wg pubkey > publickey
WireGuard інтэрфейс для працы з крыптаправайдэрам . Замест яго выкарыстоўваецца струменевы шыфр. , крыптаграфічная Poly1305 і ўласныя крыптаграфічныя хэш-функцыі.
Сакрэтны ключ генеруецца з ужываннем на базе эліптычнай крывой . Пры хэшаванні задзейнічаюцца и . За кошт фармату пазнак часу пратакол адкідае пакеты з меншым значэннем timestamp, тым самым и .
Пры гэтым WireGuard задзейнічае функцыю ioctl для кантролю ўводу/высновы (раней выкарыстоўваўся ), што робіць код чысцей і прасцей. Пераканацца ў гэтым можна, зазірнуўшы ў .
Планы распрацоўшчыкаў
Пакуль што WireGuard – гэта out-of-tree модуль ядра. Але аўтар праекта Джэйсан Даненфельд , што ўжо надышоў час для паўнавартаснай рэалізацыі ў ядры Linux. Бо ён прасцей і надзейней іншых рашэнняў. Джэйсана ў гэтым плане нават сам Лінус Торвальдс - ён назваў код WireGuard "творам мастацтва".
Але аб дакладных датах укаранення WireGuard у ядро пакуль ніхто не кажа. І гэта здарыцца з выхадам жнівеньскага Linux kernel 4.18. Аднак ёсць верагоднасць, што гэта адбудзецца ў найбліжэйшай будучыні: у версіі 4.19 ці 5.0.
Калі WireGuard будзе дададзены ў ядро, распрацоўшчыкі дапрацаваць прыкладанне для Android-прылад і пачаць пісаць прыкладанне пад iOS. Акрамя таго, плануецца завяршыць рэалізацыі на Go і Rust і партаваць іх на macOS, Windows і BSD. Таксама плануецца рэалізацыя WireGuard для больш "экзатычных сістэм": , , а таксама мноства іншых забаўных рэчаў. Усе яны пералічаны ў аўтараў праекту.
PS Яшчэ некалькі артыкулаў з нашага карпаратыўнага блога:
Асноўны напрамак нашай дзейнасці - прадастаўленне хмарных сэрвісаў:
| | | | | |
Крыніца: habr.com