wegweisende VPN-Veröffentlichung , was die Lieferung von WireGuard-Komponenten im Hauptkern markierte und Stabilisierung der Entwicklung. Im Linux-Kernel enthaltener Code zusätzliches Sicherheitsaudit durch ein unabhängiges Unternehmen, das auf solche Audits spezialisiert ist. Die Prüfung ergab keine Probleme.
Da WireGuard nun im Hauptkernel von Linux entwickelt wird, wurde ein Repository für Distributionen und Benutzer vorbereitet, die weiterhin ältere Versionen des Kernels verwenden . Das Repository enthält zurückportierten WireGuard-Code und eine compat.h-Schicht, um die Kompatibilität mit älteren Kerneln sicherzustellen. Es wird darauf hingewiesen, dass eine separate Version der Patches in funktionsfähiger Form unterstützt wird, solange Entwickler die Möglichkeit haben und Benutzer sie benötigen. In seiner aktuellen Form kann eine eigenständige Version von WireGuard mit Kerneln von verwendet werden и und auch als Patches für Linux-Kernel verfügbar и . Distributionen, die die neuesten Kernel wie Arch, Gentoo und verwenden
Fedora 32 wird WireGuard mit dem 5.6-Kernel-Update nutzen können.
Der Hauptentwicklungsprozess wird nun im Repository durchgeführt , das den vollständigen Linux-Kernelbaum mit Änderungen aus dem Wireguard-Projekt enthält. Patches aus diesem Repository werden auf ihre Aufnahme in den Hauptkernel überprüft und regelmäßig in die Net/Net-Next-Zweige gepusht. Die Entwicklung von Dienstprogrammen und Skripten, die im Benutzerbereich ausgeführt werden, wie z. B. wg und wg-quick, erfolgt im Repository , mit dem Pakete in Distributionen erstellt werden können.
Wir möchten Sie daran erinnern, dass VPN WireGuard auf Basis moderner Verschlüsselungsmethoden implementiert ist, eine sehr hohe Leistung bietet, einfach zu bedienen und komplikationslos ist und sich in einer Reihe großer Einsätze mit großen Datenverkehrsmengen bewährt hat. Das Projekt befindet sich seit 2015 in der Entwicklung, wurde geprüft und verwendete Verschlüsselungsmethoden. Die WireGuard-Unterstützung ist bereits in NetworkManager und systemd integriert und Kernel-Patches sind in den Basisdistributionen enthalten , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard nutzt das Konzept des Verschlüsselungsschlüssel-Routings, bei dem an jede Netzwerkschnittstelle ein privater Schlüssel angehängt und dieser zum Binden der öffentlichen Schlüssel verwendet wird. Der Austausch öffentlicher Schlüssel zum Verbindungsaufbau erfolgt ähnlich wie bei SSH. Um Schlüssel auszuhandeln und eine Verbindung herzustellen, ohne einen separaten Daemon im Benutzerbereich auszuführen, wird der Noise_IK-Mechanismus von verwendet Ähnlich wie bei der Verwaltung autorisierter_Schlüssel in SSH. Die Datenübertragung erfolgt durch Kapselung in UDP-Paketen. Es unterstützt das Ändern der IP-Adresse des VPN-Servers (Roaming), ohne die Verbindung zu trennen, mit automatischer Client-Neukonfiguration.
Zur Verschlüsselung Stream Chiffre und Nachrichtenauthentifizierungsalgorithmus (MAC) , entworfen von Daniel Bernstein (), Tanya Lange
(Tanja Lange) und Peter Schwabe. ChaCha20 und Poly1305 gelten als schnellere und sicherere Analoga von AES-256-CTR und HMAC, deren Softwareimplementierung das Erreichen einer festen Ausführungszeit ohne den Einsatz spezieller Hardwareunterstützung ermöglicht. Um einen gemeinsamen geheimen Schlüssel zu generieren, wird in der Implementierung das Elliptic-Curve-Diffie-Hellman-Protokoll verwendet , ebenfalls vorgeschlagen von Daniel Bernstein. Der für das Hashing verwendete Algorithmus ist .
Unter dem alten Leistung WireGuard zeigte einen 3.9-mal höheren Durchsatz und eine 3.8-mal höhere Reaktionsfähigkeit im Vergleich zu OpenVPN (256-Bit-AES mit HMAC-SHA2-256). Im Vergleich zu IPsec (256-Bit ChaCha20+Poly1305 und AES-256-GCM-128) zeigt WireGuard eine leichte Leistungsverbesserung (13–18 %) und eine geringere Latenz (21–23 %). Die auf der Projektwebsite veröffentlichten Testergebnisse beziehen sich auf die alte eigenständige Implementierung von WireGuard und werden als nicht ausreichend hochwertig eingestuft. Seit dem Testen wurde der WireGuard- und IPsec-Code weiter optimiert und ist jetzt schneller. Eine umfassendere Prüfung der im Kernel integrierten Implementierung wurde noch nicht durchgeführt. Allerdings ist zu beachten, dass WireGuard IPsec aufgrund von Multithreading in manchen Situationen immer noch übertrifft, während OpenVPN weiterhin sehr langsam ist.
Source: opennet.ru