An-diugh ghluais Linus an ath mheur lìon le eadar-aghaidh VPN dha fhèin . Mun tachartas seo air an liosta puist WireGuard.
Tha cruinneachadh còd airson an eithne ùir a’ dol air adhart an-dràsta. Linux 5.6. WireGuard — быстрый VPN нового поколения, в котором реализована современная криптография. Он изначально разрабатывался как более простая и удобная альтернатива существующим VPN. Автор — канадский специалист по информационной безопасности Джейсон Доненфилд (Jason A. Donenfeld). В августе 2018 года WireGuard Bho Linus Torvalds. Timcheall air an àm sin, thòisich obair air VPN a thoirt a-steach don eithne. LinuxThug am pròiseas beagan nas fhaide.
«Вижу, что Джейсон сделал пул-реквест для включения WireGuard в ядро, — писал Линус 2 августа 2018 года. — Могу я просто ещё раз заявить о своей любви к этому VPN и надеяться на скорое слияние? Может, код и не идеален, но я просмотрел его, и по сравнению с ужасами OpenVPN agus IPSec, 's e fìor obair ealain a th' ann."
A dh'aindeoin miann Linus, chaidh an aonachadh air adhart airson bliadhna gu leth. B 'e am prìomh dhuilgheadas a bhith ceangailte ri gnìomhachadh seilbh de ghnìomhan criptografach, a chaidh a chleachdadh gus coileanadh a leasachadh. Às deidh còmhraidhean fada san t-Sultain 2019 bha e перевести патчи на имеющиеся в ядре функции Crypto API, к которым у разработчиков WireGuard есть претензии в области производительности и общей безопасности. Но решили нативные криптофункции WireGuard выделить в отдельный низкоуровневые Zinc API и со временем портировать их в ядро. В ноябре разработчики ядра сдержали обещание и gluais pàirt den chòd bho Zinc chun phrìomh kernel. Mar eisimpleir, anns an Crypto API подготовленные в WireGuard быстрые реализации алгоритмов ChaCha20 и Poly1305.
Mu dheireadh, air 9 Dùbhlachd 2019, David S. Miller, a tha an urra ris an fho-shiostam lìonraidh eithne, Linux, dhan lìon - ath mheur le buileachadh an eadar-aghaidh VPN bhon phròiseact WireGuard.
Agus an-diugh, 29 Faoilleach 2020, chaidh na h-atharrachaidhean gu Linus airson an toirt a-steach don kernel.
Sochairean air an Tagradh WireGuard thairis air fuasglaidhean VPN eile:
- Furasta a chleachdadh.
- A’ cleachdadh crioptachadh ùr-nodha: frèam protocol fuaim, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, msaa.
- Còd teann, furasta a leughadh, nas fhasa a sgrùdadh airson so-leòntachd.
- Coileanadh àrd.
- Soilleir agus mionaideach .
A h-uile loidsig bhunasach WireGuard занимает менее 4000 строк кода, тогда как OpenVPN agus tha IPSec nan ceudan de mhìltean de loidhnichean.
"V. WireGuard Tha bun-bheachd slighe-iuchrach crioptachaidh ga chleachdadh, a tha a’ toirt a-steach ceangal iuchair phrìobhaideach ri gach eadar-aghaidh lìonra agus ga cleachdadh airson ceangal iuchair phoblach. Tha iuchraichean poblach air an iomlaid gus ceangal a stèidheachadh ann an dòigh coltach ri SSH. Gus iuchraichean a cho-rèiteachadh agus ceangal a stèidheachadh gun daemon air leth a ruith ann an àite an neach-cleachdaidh, tha an dòigh-obrach Noise_IK bho coltach ri cumail ùghdarraichte_keys ann an SSH. Tha tar-chur dàta air a dhèanamh tro ghlacadh ann am pacaidean UDP. Tha e a 'toirt taic do bhith ag atharrachadh seòladh IP an fhrithealaiche VPN (gluasad) gun a bhith a' ceangal a 'cheangail ri ath-dhealbhadh fèin-ghluasadach an neach-dèiligidh, - Fosgailte.
Airson crioptachadh cipher sruth agus algorithm dearbhaidh teachdaireachd (MAC) , air a dhealbhadh le Daniel Bernstein (), Tanja Lange agus Peter Schwabe. Tha ChaCha20 agus Poly1305 air an suidheachadh mar analogues nas luaithe agus nas sàbhailte de AES-256-CTR agus HMAC, agus tha buileachadh bathar-bog a’ ceadachadh ùine cur gu bàs stèidhichte gun a bhith a’ cleachdadh taic bathar-cruaidh sònraichte. Gus iuchair dhìomhair co-roinnte a ghineadh, thathas a’ cleachdadh protocol elliptic curve Diffie-Hellman anns a’ bhuileachadh , cuideachd air a mholadh le Daniel Bernstein. Tha an algairim a thathar a 'cleachdadh airson hashing ".
Toraidhean bho làrach-lìn oifigeil:
Bandwidth (megabit/s)
Ping (ms)
Rèiteachadh deuchainn:
- Intel Core i7-3820QM agus Intel Core i7-5200U
- Cairtean Gigabit Intel 82579LM agus Intel I218LM
- Linux 4.6.1
- Rèiteachadh WireGuard: 256-битный ChaCha20 с Poly1305 для MAC
- A’ chiad rèiteachadh IPsec: 256-bit ChaCha20 le Poly1305 airson MAC
- An dàrna rèiteachadh IPsec: AES-256-GCM-128 (le AES-NI)
- Rèiteachadh OpenVPN: sreath co-ionann de AES 256-bit le HMAC-SHA2-256, modh UDP
- Chaidh coileanadh a thomhas a’ cleachdadh
iperf3, a 'sealltainn an toradh cuibheasach thairis air 30 mionaidean.
Теоретически, после интеграции в сетевой стек WireGuard должен работать ещё быстрее. Но в реальности это не обязательно будет так из-за перехода на встроенные в ядро криптографические функции Crypto API. Возможно, не все из них ещё оптимизированы до уровня быстродействия нативного WireGuard.
«С моей точки зрения, WireGuard вообще идеален для пользователя. Все низкоуровневые решения приняты в спецификации, поэтому процесс подготовки типичной VPN инфраструктуры занимает всего несколько минут. Напутать в конфигурации практически невозможно, — air Habré ann an 2018. - Pròiseas stàlaidh air an làrach-lìn oifigeil, bu mhath leam fa-leth a thoirt fa-near an sàr-mhath . Chaidh an furasta seo a chleachdadh agus cho teann sa bha bunait còd a choileanadh le bhith a’ cur às do chuairteachadh iuchraichean. Chan eil siostam teisteanais iom-fhillte ann agus an uabhas corporra seo gu lèir; tha iuchraichean crioptachaidh goirid air an cuairteachadh gu math coltach ri iuchraichean SSH."
Am pròiseact WireGuard развивается с 2015 года, он прошёл аудит и Taic WireGuard интегрирована в NetworkManager и systemd, а патчи для ядра входят в базовый состав дистрибутивов Debian Neo-sheasmhach, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph agus ALT.
Source: www.habr.com
