mugarriko VPN bertsioa , Nukleo nagusian WireGuard osagaien entrega markatu zuena eta garapenaren egonkortzea. Linux nukleoan sartutako kodea auditoretza horietan espezializatutako enpresa independente batek egindako segurtasun-ikuskaritza gehigarria. Ikuskaritzak ez zuen arazorik agertu.
WireGuard Linux nukleo nagusian garatzen ari denez, biltegi bat prestatu da distribuzioentzat eta nukleoaren bertsio zaharragoak erabiltzen jarraitzen duten erabiltzaileentzat. . Biltegiak Backported WireGuard kodea eta compat.h geruza ditu nukleo zaharragoekin bateragarritasuna ziurtatzeko. Kontuan izan behar da garatzaileek aukera badute eta erabiltzaileek behar duten bitartean, adabakien bertsio bereizi bat onartuko dela lan moduan. Gaur egungo moduan, WireGuard-en bertsio autonomo bat erabil daiteke nukleoekin ΠΈ , eta Linux nukleoetarako adabaki gisa ere eskuragarri ΠΈ . Banaketa azken nukleoak erabiliz, hala nola Arch, Gentoo eta
Fedora 32-k WireGuard erabili ahal izango du 5.6 nukleoaren eguneraketarekin.
Garapen prozesu nagusia biltegian egiten da orain , Linux kernel zuhaitz osoa barne hartzen duena Wireguard proiektuaren aldaketekin. Biltegi honetako adabakiak berrikusiko dira nukleo nagusian sartzeko eta aldian-aldian net/net-next adarretara bidaliko dira. Erabiltzaileen espazioan exekutatzen diren utilitateen eta scripten garapena, hala nola wg eta wg-quick, biltegian egiten da. , banaketetan paketeak sortzeko erabil daitekeena.
Gogora dezagun VPN WireGuard enkriptazio-metodo modernoetan oinarrituta inplementatzen dela, errendimendu oso altua eskaintzen duela, erabiltzeko erraza dela, konplikaziorik gabekoa eta trafiko-bolumen handiak prozesatzen dituzten hainbat inplementazio handitan frogatu duela. Proiektua 2015etik garatzen ari da, ikuskatu egin da eta erabilitako zifratze metodoak. WireGuard-en euskarria dagoeneko NetworkManager eta systemd-en integratuta dago, eta nukleoaren adabakiak oinarrizko banaketetan sartzen dira. , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, ΠΈ .
WireGuard-ek enkriptazio-gakoen bideratzearen kontzeptua erabiltzen du, hau da, sareko interfaze bakoitzari gako pribatu bat erantsi eta gako publikoak lotzeko erabiltzea dakar. Gako publikoak trukatzen dira konexio bat ezartzeko SSH-ren antzera. Gakoak negoziatzeko eta erabiltzailearen espazioan deabru bereizirik exekutatu gabe konektatzeko, Noise_IK mekanismoa SSHn baimendutako_gakoak mantentzearen antzekoa. Datuen transmisioa UDP paketeetan enkapsulatu bidez egiten da. VPN zerbitzariaren IP helbidea aldatzea onartzen du (roaming) bezeroaren birkonfigurazio automatikoarekin konexioa deskonektatu gabe.
Zifratzeko korronte zifratua eta mezuen autentifikazio algoritmoa (MAC) , Daniel Bernsteinek diseinatua (), Tanya Lange
(Tanja Lange) eta Peter Schwabe. ChaCha20 eta Poly1305 AES-256-CTR eta HMAC-en analogo azkarrago eta seguruago gisa kokatzen dira, eta horien softwarearen ezarpenak exekuzio-denbora finko bat lortzea ahalbidetzen du hardware-laguntza berezirik erabili gabe. Gako sekretu partekatu bat sortzeko, inplementazioan Diffie-Hellman kurba eliptikoa erabiltzen da , Daniel Bernsteinek ere proposatuta. Hashing egiteko erabiltzen den algoritmoa da .
Zaharren azpian Errendimendua WireGuard-ek 3.9 aldiz errendimendu handiagoa eta 3.8 aldiz erantzun handiagoa erakutsi du OpenVPNrekin alderatuta (256 biteko AES HMAC-SHA2-256-rekin). IPsec-ekin alderatuta (256 biteko ChaCha20 + Poly1305 eta AES-256-GCM-128), WireGuard-ek errendimenduaren hobekuntza apur bat (% 13-18) eta latentzia txikiagoa (% 21-23) erakusten du. Proiektuaren webgunean argitaratutako proben emaitzek WireGuard-en inplementazio autonomo zaharra estaltzen dute eta nahikoa kalitate handiko gisa markatzen dira. Proba egin zutenetik, WireGuard eta IPsec kodea gehiago optimizatu da eta orain azkarragoa da. Nukleoan integratutako inplementazioari buruzko proba osoagoak ez dira egin oraindik. Hala ere, nabarmentzen da WireGuard-ek egoera batzuetan IPsec-a gainditzen duela hari anitzeko hariagatik, eta OpenVPN oso motela izaten jarraitzen du.
Iturria: opennet.ru