Tá WireGuard ag fáil go leor airde le déanaí, go deimhin is é an réalta nua i measc VPNanna é. Ach an bhfuil sé chomh maith agus is cosúil? Ba mhaith liom roinnt tuairimí a phlé agus athbhreithniú a dhéanamh ar chur i bhfeidhm WireGuard chun a mhíniú cén fáth nach bhfuil sé ina réiteach athsholáthar IPsec nó OpenVPN.
San Airteagal seo, ba mhaith liom roinnt de na miotais [timpeall WireGuard] a scriosadh. Sea, tógfaidh sé go leor ama é a léamh, mar sin mura bhfuil cupán tae nó caife déanta agat féin, tá sé in am é a dhéanamh. Ba mhaith liom freisin buíochas a ghabháil le Peter as mo chuid smaointe chaotic a cheartú.
Ní shocraigh mé féin an sprioc chun míchlú a dhéanamh ar fhorbróirí WireGuard, ag díluacháil a n-iarrachtaí nó a gcuid smaointe. Tá a dtáirge ag obair, ach go pearsanta is dóigh liom go gcuirtear i láthair é go hiomlán difriúil ón méid atá ann i ndáiríre - cuirtear i láthair é mar ionadach do IPsec agus OpenVPN, rud nach bhfuil ann anois i ndáiríre.
Mar nóta, ba mhaith liom a chur in iúl go luíonn an fhreagracht as a leithéid de shuíomh WireGuard leis na meáin a labhair faoi, agus ní leis an tionscadal féin nó lena chruthaitheoirí.
Ní raibh mórán dea-scéala faoin eithne Linux le déanaí. Mar sin, dúradh linn faoi leochaileachtaí monstrous an phróiseálaí, a bhí leibhéalta ag bogearraí, agus labhair Linus Torvalds faoi ró-rudely agus leadránach, i dteanga utilitarian an fhorbróra. Níl sceidealóir nó stoic líonraithe ar leibhéal nialais ina n-ábhar an-soiléir freisin d’irisí cruinne. Agus anseo a thagann WireGuard.
Ar pháipéar, is iontach an rud é: teicneolaíocht nua spreagúil.
Ach déanaimis féachaint air beagán níos dlúithe.
Páipéar bán WireGuard
Tá an t-alt seo bunaithe ar Scríofa ag Jason Donenfeld. Míníonn sé ansin coincheap, cuspóir agus cur i bhfeidhm teicniúil [WireGuard] san eithne Linux.
Léann an chéad abairt:
Tá sé mar aidhm ag WireGuard […] an dá IPsec a athsholáthar sa chuid is mó de chásanna úsáide agus réitigh eile atá bunaithe ar spás úsáideora agus/nó TLS ar nós OpenVPN agus iad níos sláine, níos feidhmiúla agus níos éasca le húsáid [uirlis].
Ar ndóigh, is é príomhbhuntáiste na dteicneolaíochtaí nua go léir a gcuid simplíocht [i gcomparáid leis na réamhtheachtaithe]. Ach ba cheart VPN a bheith ann freisin éifeachtach agus sábháilte.
Mar sin, cad é seo chugainn?
Má deir tú nach é seo a theastaíonn uait [ó VPN], is féidir leat deireadh a chur leis an léamh anseo. Mar sin féin, tabharfaidh mé faoi deara go leagtar tascanna den sórt sin le haghaidh aon teicneolaíocht tollánaithe eile.
Tá an ceann is suimiúla den athfhriotail thuas sna focail "i bhformhór na gcásanna", a ndearna an preas neamhaird ar ndóigh. Agus mar sin, tá muid áit a chríochnaigh muid suas mar gheall ar an chaos cruthaithe ag an fhaillí - san Airteagal seo.
An dtiocfaidh WireGuard in ionad mo VPN suíomh-go-láithreán [IPsec]?
Níl. Níl aon seans ann go gceannóidh díoltóirí móra ar nós Cisco, Juniper agus daoine eile WireGuard dá gcuid táirgí. Ní "léimeann siad ar thraenacha a théann" agus iad ag bogadh ach amháin má tá géarghá le déanamh. Níos déanaí, rachaidh mé thar roinnt de na cúiseanna nach dócha go mbeidh siad in ann a gcuid táirgí WireGuard a fháil ar bord fiú dá mba mhian leo.
An dtógfaidh WireGuard mo RoadWarrior ó mo ríomhaire glúine go dtí an ionad sonraí?
Níl. Faoi láthair, níl líon mór gnéithe tábhachtacha curtha i bhfeidhm ag WireGuard le go mbeidh sé in ann rud éigin mar seo a dhéanamh. Mar shampla, ní féidir leis seoltaí IP dinimiciúla a úsáid ar thaobh an fhreastalaí tolláin, agus is é seo amháin a bhriseann an cás iomlán maidir le húsáid den sórt sin an táirge.
Is minic a úsáidtear IPFire le haghaidh naisc Idirlín saor, mar naisc DSL nó cábla. Déanann sé seo ciall do ghnólachtaí beaga nó meánmhéide nach bhfuil snáithín tapa ag teastáil uathu. [Nóta ón aistritheoir: ná déan dearmad, i dtéarmaí cumarsáide, go bhfuil an Rúis agus roinnt tíortha CIS i bhfad chun tosaigh ar an Eoraip agus na Stáit Aontaithe, mar gheall ar thosaigh muid ag tógáil ár líonraí i bhfad níos déanaí agus le teacht Ethernet agus líonraí snáthoptaice mar a caighdeánach, bhí sé níos éasca dúinn a atógáil. Sna tíortha céanna san AE nó sna Stáit Aontaithe, tá rochtain leathanbhanda xDSL ag luas 3-5 Mbps fós mar an norm ginearálta, agus cosnaíonn nasc snáthoptaice roinnt airgid neamhréadúil de réir ár gcaighdeán. Mar sin, labhraíonn údar an ailt ar DSL nó nasc cábla mar an norm, agus ní am ársa.] Mar sin féin, tá seoltaí IP dinimiciúil ag DSL, cábla, LTE (agus modhanna rochtana gan sreang eile). Ar ndóigh, uaireanta ní athraíonn siad go minic, ach athraíonn siad.
Tá fothionscadal ar a dtugtar , a chuireann deamhan spás úsáideora leis chun an easnamh seo a shárú. Fadhb ollmhór leis an gcás úsáideora a bhfuil cur síos air thuas is ea an dul chun cinn ar an seoladh IPv6 dinimiciúil.
Ó thaobh an dáileora, ní fhéachann sé seo go léir go han-mhaith ach an oiread. Ba é ceann de na spriocanna dearaidh an prótacal a choinneáil simplí agus glan.
Ar an drochuair, tá sé seo go léir tar éis éirí ró-simplí agus primitive, ionas go gcaithfimid bogearraí breise a úsáid le go mbeidh an dearadh iomlán seo inmharthana i bhfíorúsáid.
An bhfuil WireGuard chomh furasta sin le húsáid?
Fós. Níl mé ag rá nach mbeidh WireGuard ina rogha malartach maith le haghaidh tollánú idir dhá phointe, ach faoi láthair níl ann ach leagan alfa den táirge atá ceaptha a bheith.
Ach ansin cad a dhéanann sé i ndáiríre? An bhfuil sé sin i bhfad níos deacra i ndáiríre IPsec a choimeád ar bun?
Is léir nach bhfuil. Tá an díoltóir IPsec tar éis smaoineamh air seo agus seolann sé a dtáirge chomh maith le comhéadan, mar shampla le IPFire.
Chun tollán VPN a chur ar bun thar IPsec, beidh cúig thacar sonraí de dhíth ort a chaithfidh tú a chur isteach sa chumraíocht: do sheoladh IP poiblí féin, seoladh IP poiblí an pháirtí glactha, na folíonta ar mhaith leat a phoibliú tríothu. an nasc VPN seo agus an eochair réamhroinnte. Mar sin, socraítear an VPN laistigh de nóiméad agus tá sé ag luí le haon díoltóir.
Ar an drochuair, tá roinnt eisceachtaí sa scéal seo. Tá a fhios ag aon duine a rinne iarracht tollánú thar IPsec chuig meaisín OpenBSD cad atá á rá agam. Tá cúpla sampla níos pianmhaire ann, ach i ndáiríre, tá go leor, i bhfad níos mó dea-chleachtais ann maidir le IPsec a úsáid.
Maidir le castacht prótacail
Ní gá don úsáideoir deiridh a bheith buartha faoi chastacht an phrótacail.
Dá mba rud é go raibh cónaí orainn i ndomhan ina raibh sé seo ina ábhar imní don úsáideoir, ba mhaith linn i bhfad ó shin fáil réidh le SIP, H.323, FTP agus prótacail eile a cruthaíodh níos mó ná deich mbliana ó shin nach n-oibríonn go maith le NAT.
Tá cúiseanna ann go bhfuil IPsec níos casta ná WireGuard: déanann sé i bhfad níos mó rudaí. Mar shampla, fíordheimhniú úsáideora ag baint úsáide as logáil isteach / pasfhocal nó cárta SIM le EAP. Tá cumas leathnaithe aige nua a chur leis .
Agus níl sé sin ag WireGuard.
Agus ciallaíonn sé seo go mbrisfidh WireGuard ag pointe éigin, toisc go mbeidh ceann de na primitives cripteagrafacha lagú nó go gcuirfear isteach go hiomlán é. Deir údar an doiciméid theicniúil seo:
Is fiú a thabhairt faoi deara go bhfuil WireGuard tuairimí cryptographically. Tá easpa solúbthachta na scipéir agus na bprótacal ann d'aon ghnó. Má aimsítear poill thromchúiseacha i mbunphrimitives, beidh gá le gach críochphointe a nuashonrú. Mar a fheiceann tú ón sruth leanúnach leochaileachtaí SLL/TLS, tá méadú ollmhór tagtha ar sholúbthacht an chriptiúcháin anois.
Tá an abairt dheireanach iomlán ceart.
Trí chomhdhearcadh a bhaint amach maidir le cén criptiú atá le húsáid, cruthaítear prótacail mar IKE agus TLS níos mó casta. Ró-chasta? Sea, tá leochaileachtaí coitianta go leor in TLS/SSL, agus níl aon rogha eile ann dóibh.
Ar neamhaird a dhéanamh ar fhadhbanna fíor
Samhlaigh go bhfuil freastalaí VPN agat le 200 cliant comhraic áit éigin ar fud an domhain. Is cás úsáide caighdeánach go leor é seo. Má tá ort an criptiú a athrú, ní mór duit an nuashonrú a sheachadadh ar gach cóip de WireGuard ar na ríomhairí glúine, na fóin chliste seo, agus mar sin de. Ag an am céanna seachadadh. Tá sé dodhéanta go litriúil. Tógfaidh riarthóirí atá ag iarraidh é seo a dhéanamh míonna chun na cumraíochtaí riachtanacha a imscaradh, agus go litriúil tógfaidh sé blianta cuideachta meánmhéide chun imeacht den sórt sin a tharraingt siar.
Cuireann IPsec agus OpenVPN gné idirbheartaíochta cipher ar fáil. Dá bhrí sin, ar feadh tamaill tar éis duit an criptiú nua a chur ar siúl, oibreoidh an seancheann freisin. Tabharfaidh sé seo deis do chustaiméirí reatha uasghrádú go dtí an leagan nua. Tar éis an nuashonrú a rolladh amach, ní dhéanann tú ach an criptiú leochaileach a mhúchadh. Agus sin é! Réidh! tá tú go hálainn! Ní thabharfaidh cliaint faoi deara fiú é.
Is cás an-choitianta é seo i ndáiríre maidir le himscaradh móra, agus tá deacracht éigin ag OpenVPN fiú leis seo. Tá comhoiriúnacht ar gcúl tábhachtach, agus cé go n-úsáideann tú criptiú níos laige, i gcás go leor, ní cúis é seo chun gnó a dhúnadh. Toisc go gcuirfidh sé pairilis ar obair na gcéadta custaiméirí mar gheall ar neamhábaltacht a gcuid oibre a dhéanamh.
Tá a bprótacal déanta ag foireann WireGuard níos simplí, ach níl sé inúsáidte go hiomlán do dhaoine nach bhfuil smacht leanúnach acu ar an mbeirt phiaraí ina dtollán. I mo thaithí féin, is é seo an cás is coitianta.
Cripteagrafaíocht!
Ach cad é an criptiú nua suimiúil seo a úsáideann WireGuard?
Úsáideann WireGuard Curve25519 le haghaidh malartú eochrach, ChaCha20 le haghaidh criptithe agus Poly1305 le haghaidh fíordheimhnithe sonraí. Oibríonn sé freisin le SipHash le haghaidh eochracha hash agus BLAKE2 le haghaidh hashing.
Tá ChaCha20-Poly1305 caighdeánaithe do IPsec agus OpenVPN (os cionn TLS).
Is léir go n-úsáidtear forbairt Daniel Bernstein go minic. Tagann BLAKE2 i gcomharbacht ar BLAKE, cluiche ceannais SHA-3 nár bhuaigh mar gheall ar a chosúlacht le SHA-2. Dá ndéanfaí SHA-2 a bhriseadh, bhí seans maith ann go gcuirfí BLAKE i gcontúirt freisin.
Níl SipHash de dhíth ar IPsec agus OpenVPN mar gheall ar a ndearadh. Mar sin is é an t-aon rud nach féidir a úsáid leo faoi láthair ná BLAKE2, agus sin amháin go dtí go mbeidh sé caighdeánaithe. Ní míbhuntáiste mór é seo, toisc go n-úsáideann VPNanna HMAC chun sláine a chruthú, a mheastar a bheith ina réiteach láidir fiú i gcomhar le MD5.
Mar sin tháinig mé ar an tátal go n-úsáidtear beagnach an tsraith uirlisí cripteagrafach céanna i ngach VPN. Mar sin, níl WireGuard slán níos mó nó níos lú ná aon táirge reatha eile maidir le criptiú nó sláine na sonraí tarchurtha.
Ach fiú ní hé seo an rud is tábhachtaí, ar fiú aird a thabhairt air de réir doiciméadú oifigiúil an tionscadail. Tar éis an tsaoil, is é an rud is mó ná luas.
An bhfuil WireGuard níos tapúla ná réitigh VPN eile?
I mbeagán focal: ní hea, ní níos tapúla.
Is sruth-siffr é ChaCha20 atá níos éasca le cur i bhfeidhm i mbogearraí. Criptíonn sé giotán amháin ag an am. Criptíonn prótacail bloc cosúil le AES bloc 128 giotán ag an am. Tá i bhfad níos mó trasraitheoirí ag teastáil chun tacaíocht crua-earraí a chur i bhfeidhm, mar sin tagann próiseálaithe níos mó le AES-NI, síneadh tacair treoracha a chomhlíonann cuid de thascanna an phróisis criptithe chun é a bhrostú.
Bhíothas ag súil nach gcuirfeadh AES-NI isteach ar fhóin chliste choíche [ach rinne sé - thart ar. per.]. Mar sin, forbraíodh an ChaCha20 mar mhalairt éadrom, coigilte ceallraí. Mar sin, d'fhéadfadh sé teacht mar nuacht duit go bhfuil luasghéarú AES de shaghas éigin ag gach fón cliste is féidir leat a cheannach inniu agus go ritheann sé níos tapúla agus le tomhaltas cumhachta níos ísle leis an criptiú seo ná le ChaCha20.
Ar ndóigh, tá AES-NI ag beagnach gach próiseálaí deisce/freastalaí a cheannaigh le cúpla bliain anuas.
Mar sin, táim ag súil go sáróidh AES ChaCha20 i ngach cás amháin. Luann doiciméadú oifigiúil WireGuard, le AVX512, go sáróidh ChaCha20-Poly1305 AES-NI, ach ní bheidh an síneadh tacair treoracha seo ar fáil ach ar CPUanna níos mó, rud nach gcuideoidh arís le crua-earraí níos lú agus níos mó soghluaiste, a bheidh i gcónaí níos tapúla le AES - N.I.
Níl mé cinnte an bhféadfaí é seo a thuar le linn fhorbairt WireGuard, ach inniu is míbhuntáiste é an fhíric go bhfuil sé nailed le criptiú amháin cheana féin agus b'fhéidir nach gcuireann sé isteach ar a oibriú go han-mhaith.
Ligeann IPsec duit an criptiú is fearr do do chás a roghnú faoi shaoirse. Agus ar ndóigh, tá sé seo riachtanach más mian leat, mar shampla, 10 ghigibheart nó níos mó de shonraí a aistriú trí nasc VPN.
Saincheisteanna comhtháthú i Linux
Cé gur roghnaigh WireGuard prótacal criptithe nua-aimseartha, cruthaíonn sé seo go leor fadhbanna cheana féin. Agus mar sin, in ionad an méid a thacaítear leis an eithne as an mbosca a úsáid, cuireadh moill ar chomhtháthú WireGuard ar feadh na mblianta mar gheall ar easpa na primitives seo i Linux.
Níl mé iomlán cinnte cad é an scéal maidir le córais oibriúcháin eile, ach is dócha nach bhfuil sé i bhfad níos difriúil ná ar Linux.
Cén chuma atá ar an réaltacht?
Ar an drochuair, gach uair a iarrann cliant orm nasc VPN a bhunú dóibh, ritheann mé isteach sa cheist go bhfuil siad ag baint úsáide as dintiúir agus criptiú atá as dáta. Tá 3DES i gcomhar le MD5 fós ina ghnáthchleachtas, mar atá AES-256 agus SHA1. Agus cé go bhfuil an dara ceann beagán níos fearr, ní rud é seo ba cheart a úsáid in 2020.
Le haghaidh malartú eochair i gcónaí Úsáidtear RSA - uirlis mall ach measartha sábháilte.
Tá baint ag mo chliaint le húdaráis chustaim agus le heagraíochtaí agus le hinstitiúidí eile rialtais, chomh maith le corparáidí móra a bhfuil a n-ainmneacha ar eolas ar fud an domhain. Úsáideann siad go léir foirm iarratais a cruthaíodh fiche nó tríocha bliain ó shin, agus níor cuireadh an cumas SHA-512 a úsáid riamh leis. Ní féidir liom a rá go gcuireann sé isteach go soiléir ar bhealach éigin ar dhul chun cinn teicneolaíochta, ach is léir go mhoillíonn sé an próiseas corparáideach.
Is mór an trua dom é seo a fheiceáil mar tá IPsec ag tacú le cuair éilipseacha ó 2005. Tá Curve25519 níos nuaí agus ar fáil le húsáid freisin. Tá roghanna eile ann freisin seachas AES cosúil le Camellia agus ChaCha20, ach is léir nach dtugann díoltóirí móra cosúil le Cisco agus daoine eile tacaíocht dóibh go léir.
Agus baineann daoine leas as. Tá go leor feisteáin Cisco ann, tá go leor feisteáin deartha chun oibriú le Cisco. Is ceannairí margaidh iad sa deighleog seo agus níl an-suim acu in aon chineál nuálaíochta.
Sea, tá an scéal [sa deighleog chorparáideach] uafásach, ach ní fheicfimid aon athruithe mar gheall ar WireGuard. Is dócha nach bhfeicfidh díoltóirí aon saincheisteanna feidhmíochta leis an uirlisiú agus an criptiú atá á n-úsáid acu cheana féin, ní fheicfidh siad aon fhadhbanna le IKEv2, agus mar sin níl siad ag lorg roghanna eile.
Go ginearálta, ar smaoinigh tú riamh ar Cisco a thréigean?
Tagarmharcanna
Agus anois bogadh ar aghaidh go dtí na tagarmharcanna ó na doiciméid WireGuard. Cé nach alt eolaíoch é an [doiciméadúchán] seo, bhí mé fós ag súil go nglacfadh na forbróirí cur chuige níos eolaíche, nó go n-úsáidfeadh siad cur chuige eolaíoch mar thagairt. Tá aon tagarmharcanna gan úsáid mura féidir iad a atáirgeadh, agus is mó an úsáid a bhíonn siad nuair a fhaightear sa tsaotharlann iad.
I dtógáil Linux WireGuard, baineann sé leas as GSO - Díluchtú Deighilte Cineálach a úsáid. A bhuíochas leis, cruthaíonn an cliant paicéad ollmhór de 64 cilibheart agus criptíonn / díchriptíonn sé in aon turas amháin. Mar sin, laghdaítear an costas a bhaineann le hoibríochtaí cripteagrafacha a agairt agus a chur chun feidhme. Más mian leat tréchur do nasc VPN a uasmhéadú, is smaoineamh maith é seo.
Ach, mar is gnách, níl an réaltacht chomh simplí. Chun paicéad mór den sórt sin a sheoladh chuig cuibheoir líonra ní mór é a ghearradh i go leor paicéid níos lú. Is é an gnáthmhéid seolta ná 1500 beart. Is é sin le rá, déanfar ár bhfathach de 64 cilibheart a roinnt ina 45 paicéad (1240 beart faisnéise agus 20 beart den cheanntásc IP). Ansin, ar feadh tamaill, cuirfidh siad bac ar obair an oiriúnaitheora líonra go hiomlán, toisc go gcaithfear iad a sheoladh le chéile agus ag an am céanna. Mar thoradh air sin, beidh léim tosaíochta mar thoradh air seo, agus cuirfear paicéid mar VoIP, mar shampla, i scuaine.
Mar sin, baintear amach an tréchur ard a éilíonn WireGuard chomh dána sin ar an gcostas a bhaineann le líonrú feidhmchlár eile a mhoilliú. Agus tá an fhoireann WireGuard cheana féin is é seo mo chonclúid.
Ach a ligean ar bogadh ar aghaidh.
De réir na dtagarmharcanna sna doiciméid theicniúla, léiríonn an nasc tréchur 1011 Mbps.
Go hiontach.
Is díol suntais é seo go háirithe toisc gurb é 966 Mbps an tréchur teoiriciúil uasta de nasc aonair Gigabit Ethernet le méid paicéad 1500 bytes lúide 20 beart don cheanntásc IP, 8 beart don cheanntásc UDP agus 16 beart don cheanntásc de an WireGuard féin . Tá ceanntásc IP amháin eile sa phaicéad imchochlaithe agus ceann eile in TCP ar feadh 20 beart. Mar sin, cén áit ar tháinig an bandaleithead breise seo?
Le frámaí ollmhóra agus buntáistí GSO ar labhair muid thuas, is é 9000 Mbps an t-uasmhéid teoiriciúil do mhéid fráma 1014 bytes. De ghnáth ní féidir tréchur den sórt sin a bhaint amach i ndáiríre, toisc go bhfuil baint aige le deacrachtaí móra. Mar sin, ní féidir liom ach glacadh leis go ndearnadh an tástáil trí úsáid a bhaint as frámaí ró-mhóra fiú níos déine de 64 cilibheart le huasmhéid teoiriciúil de 1023 Mbps, a fhaigheann tacaíocht ó roinnt oiriúnaitheoirí líonra amháin. Ach tá sé seo fíor-neamh-infheidhme i bhfíorchoinníollacha, nó ní féidir é a úsáid ach amháin idir dhá stáisiún atá nasctha go díreach, go heisiach laistigh den bhinse tástála.
Ach ós rud é go gcuirtear an tollán VPN ar aghaidh idir dhá óstach ag baint úsáide as nasc Idirlín nach dtacaíonn frámaí jumbo ar chor ar bith, ní féidir an toradh a baineadh amach ar an mbinse a ghlacadh mar thagarmharc. Níl anseo ach éacht neamhréadúil saotharlainne atá dodhéanta agus nach bhfuil infheidhme i bhfíorchoinníollacha comhraic.
Fiú amháin i mo shuí sa lárionad sonraí, ní raibh mé in ann frámaí níos mó ná 9000 bytes a aistriú.
Sáraítear go hiomlán an critéar maidir le hinfheidhmeacht sa saol fíor agus, mar is dóigh liom, rinne údar an "tomhais" a rinneadh droch-chreidmheas air féin ar chúiseanna soiléire.
An glimmer deireanach de dhóchas
Labhraíonn láithreán gréasáin WireGuard go leor faoi choimeádáin agus bíonn sé soiléir cad atá beartaithe dó i ndáiríre.
VPN simplí agus tapa nach bhfuil aon chumraíocht ag teastáil uaidh agus is féidir é a imscaradh agus a chumrú le huirlisí ceolfhoirne ollmhóra mar atá ag Amazon ina néal. Go sonrach, úsáideann Amazon na gnéithe crua-earraí is déanaí a luaigh mé níos luaithe, mar shampla an AVX512. Déantar é seo chun an obair a bhrostú agus gan a bheith ceangailte le x86 nó le haon ailtireacht eile.
Déanann siad tréchur agus paicéid níos mó ná 9000 beart a bharrfheabhsú - beidh siad seo ina bhfrámaí imchochlaithe ollmhóra le go mbeidh coimeádáin in ann cumarsáid a dhéanamh lena chéile, nó le haghaidh oibríochtaí cúltaca, ag cruthú grianghraif nó ag imscaradh na gcoimeádán céanna sin. Ní dhéanfaidh fiú seoltaí IP dinimiciúla difear d'oibriú WireGuard ar bhealach ar bith i gcás an scéil a ndearna mé cur síos air.
Déanta go maith agat. Cur i bhfeidhm iontach agus prótacal tagartha an-tanaí, beagnach.
Ach ní oireann sé i ndomhan lasmuigh d'ionad sonraí a rialaíonn tú go hiomlán. Má ghlacann tú an riosca agus má thosaíonn tú ag baint úsáide as WireGuard, beidh ort comhréiteach leanúnach a dhéanamh maidir le dearadh agus cur i bhfeidhm an phrótacail criptithe.
Aschur
Tá sé éasca dom a thabhairt ar an tuairim nach bhfuil WireGuard réidh fós.
Ceapadh é mar réiteach éadrom tapa ar roinnt fadhbanna le réitigh reatha. Ar an drochuair, ar mhaithe leis na réitigh seo, d'íobair sé go leor gnéithe a bheidh ábhartha don chuid is mó d'úsáideoirí. Sin é an fáth nach féidir é a athsholáthar IPsec nó OpenVPN.
Chun WireGuard a bheith iomaíoch, ní mór dó socrú seoladh IP ar a laghad agus cumraíocht ródúcháin agus DNS a chur leis. Ar ndóigh, is chuige seo atá bealaí criptithe.
Is í an tslándáil mo phríomhthosaíocht, agus faoi láthair níl aon chúis agam a chreidiúint go bhfuil IKE nó TLS i gcontúirt nó briste ar bhealach éigin. Tacaítear le criptiú nua-aimseartha sa dá cheann acu, agus tá siad cruthaithe le blianta fada anuas. Díreach mar go bhfuil rud éigin níos nuaí, ní chiallaíonn sé go bhfuil sé níos fearr.
Tá idir-inoibritheacht thar a bheith tábhachtach nuair a dhéanann tú cumarsáid le tríú páirtithe nach bhfuil smacht agat ar a stáisiúin. Is é IPsec an caighdeán de facto agus tacaítear leis beagnach i ngach áit. Agus oibríonn sé. Agus is cuma conas a bhreathnaíonn sé, go teoiriciúil, ní fhéadfaidh WireGuard sa todhchaí a bheith ag luí fiú le leaganacha éagsúla de féin.
Déantar aon chosaint cripteagrafach a bhriseadh luath nó mall agus, dá réir sin, ní mór é a athsholáthar nó a nuashonrú.
Níl ann ach na fíricí seo go léir a dhiúltú agus go dall ag iarraidh WireGuard a úsáid chun do iPhone a nascadh le do stáisiún oibre baile ach máistir-rang chun do cheann a ghreamú sa ghaineamh.
Foinse: will.com