забележително издание на VPN , което отбеляза доставката на WireGuard компоненти в основното ядро и стабилизиране на развитието. Код, включен в ядрото на Linux допълнителен одит на сигурността, извършен от независима компания, специализирана в такива одити. Одитът не разкри проблеми.
Тъй като WireGuard сега се разработва в основното ядро на Linux, е подготвено хранилище за дистрибуции и потребители, които продължават да използват по-стари версии на ядрото . Хранилището включва пренесен код на WireGuard и слой compat.h за осигуряване на съвместимост с по-стари ядра. Отбелязва се, че докато разработчиците имат възможност и потребителите се нуждаят от това, отделна версия на корекциите ще се поддържа в работеща форма. В сегашната си форма, самостоятелна версия на WireGuard може да се използва с ядра от и , а също така се предлага като пачове за Linux ядра и . Дистрибуции, използващи най-новите ядра като Arch, Gentoo и
Fedora 32 ще може да използва WireGuard с актуализацията на ядрото 5.6.
Основният процес на разработка вече се извършва в хранилището , който включва пълното дърво на ядрото на Linux с промени от проекта Wireguard. Корекциите от това хранилище ще бъдат преглеждани за включване в основното ядро и редовно изпращани към клоновете net/net-next. Разработването на помощни програми и скриптове, изпълнявани в потребителското пространство, като wg и wg-quick, се извършва в хранилището , който може да се използва за създаване на пакети в дистрибуции.
Спомнете си, че VPN WireGuard е внедрен на базата на съвременни методи за криптиране, осигурява много висока производителност, лесен е за използване, лишен от усложнения и се е доказал в редица големи реализации, които обработват големи количества трафик. Проектът се развива от 2015 г., премина одита и използваните методи за криптиране. Поддръжката на WireGuard вече е интегрирана в NetworkManager и systemd, а корекциите на ядрото са включени в базовите дистрибуции , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard използва концепцията за маршрутизиране на ключове за криптиране, което включва свързване на частен ключ към всеки мрежов интерфейс и използване на публични ключове за свързване. Обменът на публични ключове за установяване на връзка е подобен на SSH. За договаряне на ключове и свързване без стартиране на отделен демон в потребителското пространство, механизмът Noise_IK от , подобно на поддържането на authorized_keys в SSH. Предаването на данни се осъществява чрез капсулиране в UDP пакети. Поддържа промяна на IP адреса на VPN сървъра (роуминг) без прекъсване на връзката с автоматично преконфигуриране на клиента.
За криптиране поточен шифър и алгоритъм за удостоверяване на съобщения (MAC) , проектирана от Даниел Бърнстейн (), Таня Ланге
(Tanja Lange) и Петер Швабе (Peter Schwabe). ChaCha20 и Poly1305 се позиционират като по-бързи и по-сигурни аналози на AES-256-CTR и HMAC, чиято софтуерна реализация позволява постигане на фиксирано време за изпълнение без използване на специална хардуерна поддръжка. За генериране на споделен таен ключ в изпълнението се използва протоколът Diffie-Hellman върху елиптични криви , също предложен от Даниел Бърнстейн. Алгоритъм, използван за хеширане .
Под стария Производителност WireGuard демонстрира 3.9 пъти по-висока производителност и 3.8 пъти по-висока реакция в сравнение с OpenVPN (256-битов AES с HMAC-SHA2-256). В сравнение с IPsec (256-bit ChaCha20+Poly1305 и AES-256-GCM-128), WireGuard показва леко подобрение на производителността (13-18%) и по-ниска латентност (21-23%). Резултатите от тестовете, публикувани на уебсайта на проекта, покриват старата самостоятелна реализация на WireGuard и са маркирани като недостатъчно високо качество. След тестването кодът на WireGuard и IPsec е допълнително оптимизиран и сега е по-бърз. Все още не е извършено по-пълно тестване, обхващащо внедряването, интегрирано в ядрото. Отбелязва се обаче, че WireGuard все още превъзхожда IPsec в някои ситуации поради многопоточност, докато OpenVPN остава много бавен.
Източник: opennet.ru