lanzamiento histórico de VPN , que marcó la entrega de los componentes WireGuard en el núcleo principal y estabilización del desarrollo. Código incluido en el kernel de Linux Auditoría de seguridad adicional realizada por una empresa independiente especializada en este tipo de auditorías. La auditoría no reveló ningún problema.
Dado que WireGuard ahora se está desarrollando en el kernel principal de Linux, se ha preparado un repositorio para las distribuciones y los usuarios que continúan usando versiones anteriores del kernel. . El repositorio incluye código WireGuard respaldado y una capa compat.h para garantizar la compatibilidad con kernels más antiguos. Cabe señalar que mientras los desarrolladores tengan la oportunidad y los usuarios la necesiten, se admitirá una versión separada de los parches en forma funcional. En su forma actual, se puede utilizar una versión independiente de WireGuard con kernels de и , y también disponible como parches para kernels de Linux и . Distribuciones que utilizan los últimos kernels como Arch, Gentoo y
Fedora 32 podrá utilizar WireGuard con la actualización del kernel 5.6.
El proceso de desarrollo principal ahora se lleva a cabo en el repositorio. , que incluye el árbol completo del kernel de Linux con cambios del proyecto Wireguard. Los parches de este repositorio se revisarán para incluirlos en el kernel principal y se enviarán periódicamente a las ramas net/net-next. El desarrollo de utilidades y scripts ejecutados en el espacio del usuario, como wg y wg-quick, se lleva a cabo en el repositorio. , que se puede utilizar para crear paquetes en distribuciones.
Le recordamos que VPN WireGuard se implementa sobre la base de métodos de cifrado modernos, proporciona un rendimiento muy alto, es fácil de usar, no presenta complicaciones y ha demostrado su eficacia en una serie de grandes implementaciones que procesan grandes volúmenes de tráfico. El proyecto se viene desarrollando desde 2015, ha sido auditado y métodos de cifrado utilizados. El soporte de WireGuard ya está integrado en NetworkManager y systemd, y los parches del kernel están incluidos en las distribuciones básicas. , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard utiliza el concepto de enrutamiento de claves de cifrado, que implica adjuntar una clave privada a cada interfaz de red y utilizarla para vincular las claves públicas. Las claves públicas se intercambian para establecer una conexión de forma similar a SSH. Para negociar claves y conectarse sin ejecutar un demonio separado en el espacio del usuario, el mecanismo Noise_IK de similar a mantener claves_autorizadas en SSH. La transmisión de datos se realiza mediante encapsulación en paquetes UDP. Admite cambiar la dirección IP del servidor VPN (roaming) sin desconectar la conexión con la reconfiguración automática del cliente.
Para cifrado cifrado de flujo y algoritmo de autenticación de mensajes (MAC) , diseñado por Daniel Bernstein (), Tania Lange
(Tanja Lange) y Peter Schwabe. ChaCha20 y Poly1305 se posicionan como análogos más rápidos y seguros de AES-256-CTR y HMAC, cuya implementación de software permite lograr un tiempo de ejecución fijo sin el uso de soporte de hardware especial. Para generar una clave secreta compartida, en la implementación se utiliza el protocolo de curva elíptica Diffie-Hellman. , también propuesto por Daniel Bernstein. El algoritmo utilizado para el hash es .
bajo el viejo Rendimiento WireGuard demostró un rendimiento 3.9 veces mayor y una capacidad de respuesta 3.8 veces mayor en comparación con OpenVPN (AES de 256 bits con HMAC-SHA2-256). En comparación con IPsec (ChaCha256+Poly20 de 1305 bits y AES-256-GCM-128), WireGuard muestra una ligera mejora en el rendimiento (13-18%) y una menor latencia (21-23%). Los resultados de las pruebas publicados en el sitio web del proyecto cubren la antigua implementación independiente de WireGuard y están marcados como de calidad insuficiente. Desde las pruebas, el código WireGuard e IPsec se ha optimizado aún más y ahora es más rápido. Aún no se han realizado pruebas más completas que cubran la implementación integrada en el kernel. Sin embargo, cabe señalar que WireGuard aún supera a IPsec en algunas situaciones debido al subproceso múltiple, mientras que OpenVPN sigue siendo muy lento.
Fuente: opennet.ru