VPN WireGuard vastu võetud net-next harusse ja kavandatud lisamiseks põhitegevusalasse Linux 5.6

David Miller (David S. Miller), mis vastutab kerneli võrgu alamsüsteemi eest Linux, aktsepteeritud net-järgmisse harusse plaastrid projektist VPN-liidese juurutamisega WireGuardJärgmise aasta alguses moodustavad net-next harus kogunenud muudatused põhiversiooni väljalaske aluse. Linux 5.6.

Koodi reklaamimise katsed WireGuard Põhikernelis on viimastel aastatel tehtud pingutusi, kuid need on jäänud edutuks, kuna need sõltuvad jõudluse parandamiseks kasutatud krüptograafiliste funktsioonide patenteeritud implementatsioonidest. Algselt olid need funktsioonid välja pakutud kerneli jaoks täiendava madala tasemega Zinc API-na, mis võib lõpuks asendada standardse krüpto API.

Pärast Kernel Recipes konverentsil toimunud ettekandeid loojad WireGuard septembris tegi kompromissotsuse teisendage oma plaastrid kasutama olemasolevat Crypto API-t tuumas, millele arendajatel on juurdepääs WireGuard On kaebusi jõudluse ja üldise turvalisuse kohta. Otsustati jätkata Zinc API arendamist, kuid eraldi projektina.

Novembris kerneli arendajad läks vastuseks kompromissile ja nõustus kandma osa koodist Zincilt põhikernelile. Põhimõtteliselt teisaldatakse mõned tsinki komponendid tuuma, kuid mitte eraldi API-na, vaid osana Crypto API alamsüsteemist. Näiteks Crypto API juba kaasatud valmistatud WireGuard ChaCha20 ja Poly1305 algoritmide kiire implementatsioon.

Seoses eelseisva kohaletoimetamisega WireGuard põhimeeskonnas, projekti asutaja teatas hoidla ümberkorraldamise kohta. Arenduse lihtsustamiseks asendati monoliitne hoidla järgmisega:WireGuard.git", mis oli loodud eraldi eksisteerima, saab kolm eraldi repositooriumi, mis sobivad paremini põhituuma koodiga töötamise korraldamiseks:

• wireguard-linux.git — täielik kerneli puu koos projektist tehtud muudatustega Wireguard, mille parandusi vaadatakse üle tuumikusse lisamiseks ja regulaarselt net/net-next harudesse migreeritakse.
• wireguard-tools.git - hoidla kasutajaruumis töötavate utiliitide ja skriptide jaoks, nagu wg ja wg-quick. Hoidlast saab kasutada distributsioonide pakettide loomiseks.
• wireguard-linux-compat.git — repositoorium mooduli versiooniga, mis tarnitakse kernelist eraldi ja sisaldab compat.h kihti, et tagada ühilduvus vanemate kernelitega. Esmane arendus toimub repositooriumis. wireguard-linux.git, aga seni kuni on võimalus ja kasutajate nõudlus, toetatakse ka eraldi versiooni parandustest töökujul.

Tuletame teile meelde, et VPN WireGuard Kaasaegsete krüpteerimismeetodite abil rakendatud süsteem pakub väga head jõudlust, on hõlpsasti kasutatav, komplikatsioonideta ja on ennast tõestanud mitmetes suuremahulistes juurutustes, mis käsitlevad suuri liiklusmahtusid. Projekti on arendatud alates 2015. aastast ning seda on auditeeritud ja ametlik kontroll kasutatavad krüpteerimismeetodid. Tugi WireGuard See on juba integreeritud NetworkManagerisse ja systemd-sse ning kerneli parandused on baasjaotustes kaasas. Debian Ebastabiilne, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Alamgraaf и ALT.

В WireGuard Kasutusel on krüpteerimisvõtme marsruutimise kontseptsioon, mis hõlmab privaatvõtme sidumist iga võrguliidesega ja selle kasutamist avaliku võtme sidumiseks. Avalikke võtmeid vahetatakse ühenduse loomiseks sarnaselt SSH-ga. Võtmete üle läbirääkimiseks ja ühenduse loomiseks ilma eraldi deemonit kasutajaruumis käivitamata kasutatakse Noise_IK mehhanismi Müraprotokolli raamistiksarnane SSH-s volitatud_võtmete säilitamisega. Andmeedastus toimub UDP-pakettidesse kapseldamise teel. See toetab VPN-serveri IP-aadressi muutmist (rändlus) ilma ühendust katkestamata ja klienti automaatselt ümber konfigureerimata.

Krüpteerimiseks kasutatud voo šifr ChaCha20 ja sõnumi autentimisalgoritm (MAC) Poly1305, kujundanud Daniel Bernstein (Daniel J. Bernstein), Tanya Lange
(Tanja Lange) ja Peter Schwabe. ChaCha20 ja Poly1305 on positsioneeritud kui AES-256-CTR ja HMAC kiiremad ja turvalisemad analoogid, mille tarkvaraline teostus võimaldab saavutada fikseeritud täitmisaja ilma spetsiaalset riistvaralist tuge kasutamata. Jagatud salavõtme genereerimiseks kasutatakse juurutamisel elliptilise kõvera Diffie-Hellmani protokolli Curve25519, mille pakkus välja ka Daniel Bernstein. Räsimisel kasutatav algoritm on BLAKE2s (RFC7693).

juures testimine tootlikkus WireGuard näitas 3.9 korda suuremat läbilaskevõimet ja 3.8 korda suuremat reageerimisvõimet võrreldes OpenVPN (256-bitine AES koos HMAC-SHA2-256-ga). Võrreldes IPsec-iga (256-bitine ChaCha20+Poly1305 ja AES-256-GCM-128) WireGuard Täheldati väikest jõudluse paranemist (13–18%) ja latentsuse vähenemist (21–23%). Testid viidi läbi projekti enda kiirete krüpteerimisalgoritmide implementatsioonide abil; üleminek tuuma natiivsele Crypto API-le võib põhjustada jõudluse halvenemist.

Allikas: opennet.ru