maamerkki VPN-julkaisu , joka merkitsi WireGuard-komponenttien toimitusta pääytimessä ja kehityksen vakauttaminen. Koodi sisältyy Linux-ytimeen ylimääräinen turvatarkastus, jonka suorittaa tällaisiin tarkastuksiin erikoistunut riippumaton yritys. Tarkastuksessa ei ilmennyt ongelmia.
Koska WireGuardia kehitetään nyt Linuxin pääytimessä, on valmisteltu arkisto jakeluille ja käyttäjille, jotka jatkavat ytimen vanhempien versioiden käyttöä . Arkisto sisältää backported WireGuard-koodin ja compat.h-kerroksen yhteensopivuuden varmistamiseksi vanhempien ytimien kanssa. On huomattava, että niin kauan kuin kehittäjillä on mahdollisuus ja käyttäjät tarvitsevat sitä, erillistä versiota korjauksista tuetaan toimivassa muodossa. Nykyisessä muodossaan WireGuardin erillistä versiota voidaan käyttää ytimien kanssa и , ja saatavilla myös korjaustiedostoina Linux-ytimille и . Jakeluissa käytetään uusimpia ytimiä, kuten Arch, Gentoo ja
Fedora 32 pystyy käyttämään WireGuardia 5.6-ytimen päivityksen kanssa.
Pääkehitysprosessi suoritetaan nyt arkistossa , joka sisältää täydellisen Linux-ytimen puun Wireguard-projektista tehdyin muutoksineen. Tämän arkiston korjaustiedostot tarkistetaan sisällytettäväksi pääytimeen ja lähetetään säännöllisesti net/net-next-haaroihin. Arkistossa suoritetaan apuohjelmien ja käyttäjätilassa ajettavien komentosarjojen, kuten wg ja wg-quick, kehitys , jota voidaan käyttää pakettien luomiseen jakeluissa.
Muistutetaan, että VPN WireGuard on toteutettu nykyaikaisten salausmenetelmien pohjalta, se tarjoaa erittäin korkean suorituskyvyn, on helppokäyttöinen, vailla komplikaatioita ja on osoittautunut useissa suurissa käyttöönotoissa, jotka käsittelevät suuria määriä liikennettä. Hanketta on kehitetty vuodesta 2015, se on auditoitu ja käytettyjä salausmenetelmiä. WireGuard-tuki on jo integroitu NetworkManageriin ja systemd:iin, ja ytimen korjaustiedostot sisältyvät perusjakeluihin. , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard käyttää salausavainten reitityksen käsitettä, joka sisältää yksityisen avaimen liittämisen jokaiseen verkkoliitäntään ja sen käyttämisen julkisten avainten sitomiseen. Julkisia avaimia vaihdetaan yhteyden muodostamiseksi samalla tavalla kuin SSH. Voit neuvotella avaimista ja muodostaa yhteyden ilman erillistä demonia käyttäjätilassa, Noise_IK-mekanismi Samankaltainen kuin authorised_keys ylläpitäminen SSH:ssa. Tiedonsiirto tapahtuu kapseloimalla UDP-paketteihin. Se tukee VPN-palvelimen IP-osoitteen vaihtamista (roaming) katkaisematta yhteyttä automaattisen asiakkaan uudelleenmäärityksen avulla.
Salausta varten virran salaus ja viestien todennusalgoritmi (MAC) , suunnittelija Daniel Bernstein (), Tanya Lange
(Tanja Lange) ja Peter Schwabe. ChaCha20 ja Poly1305 ovat AES-256-CTR:n ja HMAC:n nopeampia ja turvallisempia analogeja, joiden ohjelmistototeutus mahdollistaa kiinteän suoritusajan saavuttamisen ilman erityistä laitteistotukea. Jaetun salaisen avaimen luomiseksi toteutuksessa käytetään elliptisen käyrän Diffie-Hellman-protokollaa , jota myös ehdotti Daniel Bernstein. Hajautusalgoritmi on .
Vanhan alla Performance WireGuard osoitti 3.9 kertaa korkeamman suorituskyvyn ja 3.8 kertaa korkeamman vasteen verrattuna OpenVPN:ään (256-bittinen AES ja HMAC-SHA2-256). Verrattuna IPsec-järjestelmään (256-bittinen ChaCha20+Poly1305 ja AES-256-GCM-128), WireGuardin suorituskyky on parantunut hieman (13-18 %) ja latenssi on pienempi (21-23 %). Projektin verkkosivuilla julkaistut testitulokset kattavat WireGuardin vanhan itsenäisen toteutuksen ja ne on merkitty riittämättömän laadukkaiksi. Testauksen jälkeen WireGuard- ja IPsec-koodia on optimoitu edelleen ja se on nyt nopeampi. Ytimeen integroidun toteutuksen kattavampaa testausta ei ole vielä tehty. On kuitenkin huomattava, että WireGuard ylittää IPsecin joissakin tilanteissa monisäikeisyyden vuoksi, kun taas OpenVPN on edelleen erittäin hidas.
Lähde: opennet.ru