version VPN historique , qui a marqué la livraison des composants WireGuard dans le noyau principal et la stabilisation du développement. Code inclus dans le noyau Linux audit de sécurité complémentaire réalisé par une société indépendante spécialisée dans de tels audits. L'audit n'a révélé aucun problème.
Puisque WireGuard est désormais développé dans le noyau Linux principal, un référentiel a été préparé pour les distributions et les utilisateurs continuant à utiliser les anciennes versions du noyau. . Le référentiel comprend du code WireGuard rétroporté et une couche compat.h pour garantir la compatibilité avec les anciens noyaux. Il est à noter que tant que les développeurs en ont la possibilité et que les utilisateurs en ont besoin, une version distincte des correctifs sera prise en charge sous forme fonctionnelle. Dans sa forme actuelle, une version autonome de WireGuard peut être utilisée avec les noyaux de и , et également disponible sous forme de correctifs pour les noyaux Linux и . Distributions utilisant les derniers noyaux tels que Arch, Gentoo et
Fedora 32 pourra utiliser WireGuard avec la mise à jour du noyau 5.6.
Le principal processus de développement est désormais effectué dans le référentiel , qui comprend l'arborescence complète du noyau Linux avec les modifications du projet Wireguard. Les correctifs de ce référentiel seront examinés pour être inclus dans le noyau principal et régulièrement poussés vers les branches net/net-next. Le développement d'utilitaires et de scripts exécutés dans l'espace utilisateur, tels que wg et wg-quick, est effectué dans le référentiel , qui peut être utilisé pour créer des packages dans les distributions.
Rappelons que VPN WireGuard est mis en œuvre sur la base de méthodes de cryptage modernes, offre des performances très élevées, est facile à utiliser, sans complications et a fait ses preuves dans un certain nombre de déploiements à grande échelle traitant de gros volumes de trafic. Le projet se développe depuis 2015, a été audité et méthodes de cryptage utilisées. La prise en charge de WireGuard est déjà intégrée dans NetworkManager et systemd, et les correctifs du noyau sont inclus dans les distributions de base , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard utilise le concept de routage de clé de chiffrement, qui consiste à attacher une clé privée à chaque interface réseau et à l'utiliser pour lier les clés publiques. Les clés publiques sont échangées pour établir une connexion de la même manière que SSH. Pour négocier les clés et se connecter sans exécuter de démon séparé dans l'espace utilisateur, le mécanisme Noise_IK de similaire à la gestion des clés_autorisées dans SSH. La transmission des données s'effectue par encapsulation dans des paquets UDP. Il prend en charge la modification de l'adresse IP du serveur VPN (roaming) sans déconnecter la connexion avec reconfiguration automatique du client.
Pour le cryptage chiffrement de flux et algorithme d'authentification des messages (MAC) , conçu par Daniel Bernstein (), Tanya Lange
(Tanja Lange) et Peter Schwabe. ChaCha20 et Poly1305 se positionnent comme des analogues plus rapides et plus sûrs d'AES-256-CTR et de HMAC, dont la mise en œuvre logicielle permet d'atteindre un temps d'exécution fixe sans utiliser de support matériel spécial. Pour générer une clé secrète partagée, le protocole Diffie-Hellman à courbe elliptique est utilisé dans l'implémentation , également proposé par Daniel Bernstein. L'algorithme utilisé pour le hachage est .
Sous l'ancien Performances WireGuard a démontré un débit 3.9 fois supérieur et une réactivité 3.8 fois supérieure à ceux d'OpenVPN (AES 256 bits avec HMAC-SHA2-256). Par rapport à IPsec (ChaCha256+Poly20 1305 bits et AES-256-GCM-128), WireGuard présente une légère amélioration des performances (13-18 %) et une latence plus faible (21-23 %). Les résultats des tests publiés sur le site Web du projet couvrent l'ancienne implémentation autonome de WireGuard et sont marqués comme étant de qualité insuffisante. Depuis les tests, le code WireGuard et IPsec a été encore optimisé et est désormais plus rapide. Des tests plus complets couvrant l'implémentation intégrée au noyau n'ont pas encore été réalisés. Cependant, il convient de noter que WireGuard surpasse toujours IPsec dans certaines situations en raison du multi-threading, tandis qu'OpenVPN reste très lent.
Source: opennet.ru