skelsættende VPN-udgivelse , som markerede leveringen af WireGuard-komponenter i hovedkernen og stabilisering af udviklingen. Kode inkluderet i Linux-kernen yderligere sikkerhedsrevision udført af et uafhængigt firma med speciale i sådanne revisioner. Revisionen viste ingen problemer.
Da WireGuard nu udvikles i Linux-hovedkernen, er der udarbejdet et lager til distributioner og brugere, der fortsætter med at bruge ældre versioner af kernen . Lagret inkluderer backporteret WireGuard-kode og et compat.h-lag for at sikre kompatibilitet med ældre kerner. Det bemærkes, at så længe udviklere har muligheden, og brugerne har brug for det, vil en separat version af patches blive understøttet i arbejdsform. I sin nuværende form kan en selvstændig version af WireGuard bruges med kerner fra и , og også tilgængelig som patches til Linux-kerner и . Distributioner ved hjælp af de nyeste kerner såsom Arch, Gentoo og
Fedora 32 vil være i stand til at bruge WireGuard med 5.6-kerneopdateringen.
Hovedudviklingsprocessen udføres nu i depotet , som inkluderer det komplette Linux-kernetræ med ændringer fra Wireguard-projektet. Patches fra dette lager vil blive gennemgået for inkludering i hovedkernen og regelmæssigt skubbet til net/net-next-grenene. Udvikling af hjælpeprogrammer og scripts, der køres i brugerrum, såsom wg og wg-quick, udføres i repository , som kan bruges til at oprette pakker i distributioner.
Lad os minde dig om, at VPN WireGuard er implementeret på basis af moderne krypteringsmetoder, giver meget høj ydeevne, er nem at bruge, fri for komplikationer og har bevist sig selv i en række store implementeringer, der behandler store mængder trafik. Projektet har været under udvikling siden 2015, er blevet revideret og anvendte krypteringsmetoder. WireGuard-understøttelse er allerede integreret i NetworkManager og systemd, og kernepatches er inkluderet i basisdistributionerne , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard bruger konceptet med krypteringsnøgle routing, som involverer at knytte en privat nøgle til hver netværksgrænseflade og bruge den til at binde de offentlige nøgler. Offentlige nøgler udveksles for at etablere en forbindelse på samme måde som SSH. For at forhandle nøgler og oprette forbindelse uden at køre en separat dæmon i brugerrummet, kan Noise_IK-mekanismen fra svarende til at vedligeholde autoriserede_nøgler i SSH. Datatransmission udføres gennem indkapsling i UDP-pakker. Det understøtter ændring af IP-adressen på VPN-serveren (roaming) uden at afbryde forbindelsen med automatisk klientomkonfiguration.
Til kryptering stream chiffer og meddelelsesgodkendelsesalgoritme (MAC) , designet af Daniel Bernstein (), Tanya Lange
(Tanja Lange) og Peter Schwabe. ChaCha20 og Poly1305 er placeret som hurtigere og sikrere analoger af AES-256-CTR og HMAC, hvis softwareimplementering gør det muligt at opnå en fast udførelsestid uden brug af speciel hardwaresupport. For at generere en delt hemmelig nøgle bruges den elliptiske kurve Diffie-Hellman protokol i implementeringen , også foreslået af Daniel Bernstein. Algoritmen der bruges til hashing er .
Under det gamle Ydeevne WireGuard demonstrerede 3.9 gange højere gennemløb og 3.8 gange højere reaktionsevne sammenlignet med OpenVPN (256-bit AES med HMAC-SHA2-256). Sammenlignet med IPsec (256-bit ChaCha20+Poly1305 og AES-256-GCM-128), viser WireGuard en lille ydelsesforbedring (13-18%) og lavere latenstid (21-23%). Testresultaterne offentliggjort på projektets hjemmeside dækker den gamle selvstændige implementering af WireGuard og er markeret som utilstrækkelig høj kvalitet. Siden test er WireGuard- og IPsec-koden blevet yderligere optimeret og er nu hurtigere. Mere komplet test, der dækker implementeringen integreret i kernen, er endnu ikke blevet udført. Det bemærkes dog, at WireGuard stadig overgår IPsec i nogle situationer på grund af multi-threading, mens OpenVPN forbliver meget langsom.
Kilde: opennet.ru