grava VPN-eldono , kiu markis la liveron de WireGuard-komponentoj en la ĉefkerno kaj stabiligo de evoluo. Kodo inkluzivita en la Linukso-kerno kroma sekureca revizio farita de sendependa firmao specialiĝanta pri tiaj revizioj. La revizio ne malkaŝis problemojn.
Ĉar WireGuard nun estas evoluigita en la ĉefa Linukso-kerno, deponejo estis preparita por distribuoj kaj uzantoj daŭre uzi pli malnovajn versiojn de la kerno. . La deponejo inkluzivas retroportitan WireGuard-kodon kaj kompat.h-tavolon por certigi kongruon kun pli malnovaj kernoj. Oni rimarkas, ke kondiĉe ke programistoj havas la ŝancon kaj uzantoj bezonas ĝin, aparta versio de la flikaĵoj estos subtenata en funkcia formo. En ĝia nuna formo, memstara versio de WireGuard povas esti uzata kun kernoj de и , kaj ankaŭ haveblaj kiel flikoj por Linukso-kernoj и . Distribuoj uzante la plej novajn kernojn kiel Arch, Gentoo kaj
Fedora 32 povos uzi WireGuard kun la ĝisdatigo de 5.6 kerno.
La ĉefa evoluprocezo nun estas efektivigita en la deponejo , kiu inkluzivas la kompletan Linuksan kernarbon kun ŝanĝoj de la Wireguard-projekto. Flikaĵoj de ĉi tiu deponejo estos reviziitaj por inkluzivi en la ĉefa kerno kaj regule puŝitaj al la net/net-next branĉoj. Disvolviĝo de utilecoj kaj skriptoj rulitaj en uzantspaco, kiel wg kaj wg-quick, estas efektivigita en la deponejo. , kiu povas esti uzata por krei pakaĵojn en distribuoj.
Ni memorigu al vi, ke VPN WireGuard estas efektivigita surbaze de modernaj ĉifradmetodoj, provizas tre altan rendimenton, estas facile uzebla, sen komplikaĵoj kaj pruvis sin en kelkaj grandaj deplojoj, kiuj prilaboras grandajn volumojn de trafiko. La projekto disvolviĝas ekde 2015, estis reviziita kaj ĉifrado metodoj uzataj. WireGuard-subteno jam estas integrita en NetworkManager kaj systemd, kaj kernaj diakiloj estas inkluzivitaj en la bazaj distribuoj. , Mageia, Alpa, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard uzas la koncepton de ĉifrada ŝlosilvojigo, kiu implikas alkroĉi privatan ŝlosilon al ĉiu retinterfaco kaj uzi ĝin por ligi la publikajn ŝlosilojn. Publikaj ŝlosiloj estas interŝanĝitaj por establi konekton en simila maniero al SSH. Por negoci ŝlosilojn kaj konekti sen ruli apartan demonon en uzantspaco, la mekanismo Noise_IK de simila al konservado de rajtigitaj_ŝlosiloj en SSH. Transdono de datumoj estas efektivigita per enkapsuligo en UDP-pakaĵoj. Ĝi subtenas ŝanĝi la IP-adreson de la VPN-servilo (roaming) sen malkonekti la konekton kun aŭtomata kliento-reagordo.
Por ĉifrado stream ĉifro kaj mesaĝo-aŭtentikiga algoritmo (MAC) , dizajnita fare de Daniel Bernstein (), Tanya Lange
(Tanja Lange) kaj Peter Schwabe. ChaCha20 kaj Poly1305 estas poziciigitaj kiel pli rapidaj kaj sekuraj analogoj de AES-256-CTR kaj HMAC, kies programaro efektivigas ebligas atingi fiksan ekzekuttempon sen la uzo de speciala aparatara subteno. Por generi komunan sekretan ŝlosilon, la elipsa kurbo Diffie-Hellman-protokolo estas uzata en la efektivigo , ankaŭ proponita fare de Daniel Bernstein. La algoritmo uzata por hashing estas .
Sub la malnova Efikeco WireGuard montris 3.9 fojojn pli altan trairon kaj 3.8 fojojn pli altan respondecon kompare kun OpenVPN (256-bita AES kun HMAC-SHA2-256). Kompare kun IPsec (256-bita ChaCha20 + Poly1305 kaj AES-256-GCM-128), WireGuard montras iometan rendimentan plibonigon (13-18%) kaj pli malaltan latentecon (21-23%). La testrezultoj afiŝitaj en la retejo de la projekto kovras la malnovan memstaran efektivigon de WireGuard kaj estas markitaj kiel nesufiĉe altkvalitaj. Ekde testado, la WireGuard kaj IPsec-kodo estis plue optimumigita kaj nun estas pli rapida. Pli kompleta testado kovranta la efektivigon integritan en la kernon ankoraŭ ne estis farita. Tamen oni rimarkas, ke WireGuard ankoraŭ superas IPsec en iuj situacioj pro multfadenado, dum OpenVPN restas tre malrapida.
fonto: opennet.ru