mezník vydání VPN , což znamenalo dodávku komponent WireGuard v hlavním jádru a stabilizaci rozvoje. Kód obsažený v jádře Linuxu dodatečný bezpečnostní audit prováděný nezávislou společností specializující se na tyto audity. Audit neodhalil žádné problémy.
Protože se WireGuard nyní vyvíjí v hlavním linuxovém jádře, bylo připraveno úložiště pro distribuce a uživatele, kteří nadále používají starší verze jádra . Úložiště obsahuje zpětně portovaný kód WireGuard a vrstvu compat.h pro zajištění kompatibility se staršími jádry. Je třeba poznamenat, že dokud budou mít vývojáři příležitost a uživatelé ji budou potřebovat, bude v pracovní podobě podporována samostatná verze oprav. V současné podobě lze samostatnou verzi WireGuard používat s jádry z и a také dostupné jako opravy pro linuxová jádra и . Distribuce využívající nejnovější jádra jako Arch, Gentoo a
Fedora 32 bude moci používat WireGuard s aktualizací jádra 5.6.
Hlavní vývojový proces nyní probíhá v úložišti , který zahrnuje kompletní strom linuxového jádra se změnami z projektu Wireguard. Záplaty z tohoto úložiště budou zkontrolovány pro zahrnutí do hlavního jádra a budou pravidelně odesílány do větví net/net-next. Vývoj utilit a skriptů běžících v uživatelském prostoru, jako je wg a wg-quick, se provádí v úložišti , který lze použít k vytváření balíčků v distribucích.
Připomeňme, že VPN WireGuard je implementován na bázi moderních šifrovacích metod, poskytuje velmi vysoký výkon, je snadno ovladatelný, bez komplikací a osvědčil se v řadě velkých nasazení zpracovávajících velké objemy provozu. Projekt se rozvíjí od roku 2015, prošel auditem a používané šifrovací metody. Podpora WireGuard je již integrována do NetworkManageru a systemd a záplaty jádra jsou součástí základních distribucí , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard využívá koncept směrování šifrovacího klíče, který zahrnuje připojení soukromého klíče ke každému síťovému rozhraní a jeho použití ke spojení veřejných klíčů. Veřejné klíče se vyměňují za účelem navázání spojení podobným způsobem jako SSH. Chcete-li vyjednat klíče a připojit se bez spuštění samostatného démona v uživatelském prostoru, použijte mechanismus Noise_IK podobně jako udržování autorizovaných_klíčů v SSH. Přenos dat se provádí zapouzdřením do UDP paketů. Podporuje změnu IP adresy VPN serveru (roaming) bez přerušení spojení s automatickou rekonfigurací klienta.
Pro šifrování proudová šifra a algoritmus ověřování zpráv (MAC) , navržený Danielem Bernsteinem (), Tanya Lange
(Tanja Lange) a Peter Schwabe. ChaCha20 a Poly1305 jsou umístěny jako rychlejší a bezpečnější analogy AES-256-CTR a HMAC, jejichž softwarová implementace umožňuje dosáhnout pevné doby provádění bez použití speciální hardwarové podpory. Pro generování sdíleného tajného klíče je v implementaci použit protokol Diffie-Hellman eliptické křivky , kterou rovněž navrhl Daniel Bernstein. Algoritmus používaný pro hashování je .
Pod starou Výkon WireGuard prokázal 3.9krát vyšší propustnost a 3.8krát vyšší odezvu ve srovnání s OpenVPN (256bitový AES s HMAC-SHA2-256). Ve srovnání s IPsec (256-bit ChaCha20+Poly1305 a AES-256-GCM-128) vykazuje WireGuard mírné zlepšení výkonu (13–18 %) a nižší latenci (21–23 %). Výsledky testů zveřejněné na webu projektu pokrývají starou samostatnou implementaci WireGuard a jsou označeny jako nedostatečně kvalitní. Od testování byl kód WireGuard a IPsec dále optimalizován a je nyní rychlejší. Kompletnější testování zahrnující implementaci integrovanou do jádra ještě nebylo provedeno. Je však třeba poznamenat, že WireGuard v některých situacích stále překonává IPsec kvůli multi-threadingu, zatímco OpenVPN zůstává velmi pomalý.
Zdroj: opennet.ru