Thig WireGuard “thig” chun kernel Linux - carson?

Aig deireadh an Iuchair, mhol luchd-leasachaidh an tunail WireGuard VPN seata paiste, a nì am bathar-bog tunail VPN aca mar phàirt den kernel Linux. Ach, chan eil fios cinnteach cuin a chaidh an “bheachd” a chuir an gnìomh. Fon gearradh bruidhnidh sinn mun inneal seo ann am barrachd mionaideachd.

/ dealbh Tambako An Jaguar CC

Beagan mun phròiseact

Tha WireGuard na thunail VPN an ath ghinealach air a chruthachadh le Jason A. Donenfeld, Ceannard Edge Security. Chaidh am pròiseact a leasachadh mar simplidh agus roghainn luath eile an àite OpenVPN agus IPsec. Anns a 'chiad dreach den toradh cha robh ach 4 mìle loidhne de chòd. Airson coimeas a dhèanamh, tha timcheall air 120 mìle loidhne aig OpenVPN, agus IPSec - 420 mìle.

Le a rèir luchd-leasachaidh, tha WireGuard furasta a rèiteachadh agus tha tèarainteachd protocol air a choileanadh tro algorithms criptografach dearbhte. Nuair a dh'atharraicheas an lìonra: Feumaidh Wi-Fi, LTE no Ethernet ath-cheangal ris an fhrithealaiche VPN a h-uile turas. Cha bhith frithealaichean WireGuard a’ cur crìoch air a’ cheangal, eadhon ged a tha an neach-cleachdaidh air seòladh IP ùr fhaighinn.

A dh ’aindeoin gun deach WireGuard a dhealbhadh an toiseach airson an kernel Linux, an luchd-leasachaidh air an gabhail cùram agus mu dhreach so-ghiùlain den inneal airson innealan Android. Chan eil an tagradh làn leasaichte fhathast, ach faodaidh tu feuchainn air a-nis. Airson seo feumaidh tu a bhith mar aon den luchd-dearbhaidh.

San fharsaingeachd, tha fèill mhòr air WireGuard agus tha e eadhon air a bhith air a chur an gnìomh grunn sholaraichean VPN, leithid Mullvad agus AzireVPN. Air fhoillseachadh air-loidhne àireamh mhòr stiùiridhean rèiteachaidh an co-dhùnadh seo. Mar eisimpleir, tha luchd-iùil ann, a tha air an cruthachadh le luchd-cleachdaidh, agus tha treòrachadh ann, air ullachadh le ùghdaran a’ phròiseict.

teicnigeach

В sgrìobhainnean oifigeil (td. 18) tha e air a thoirt fa-near gu bheil an teachd-a-steach de WireGuard ceithir tursan nas àirde na an ìre de OpenVPN: 1011 Mbit/s an aghaidh 258 Mbit/s, fa leth. Tha WireGuard cuideachd air thoiseach air an fhuasgladh àbhaisteach airson Linux IPsec - tha 881 Mbit / s aige. Bidh e cuideachd a 'dol thairis air ann an rèiteachadh furasta.

Às deidh na h-iuchraichean a bhith air an iomlaid (tha an ceangal VPN air a thòiseachadh gu math coltach ri SSH) agus an ceangal air a stèidheachadh, bidh WireGuard a’ làimhseachadh a h-uile gnìomh eile leis fhèin: chan fheumar dragh a ghabhail mu shlighe, smachd stàite, msaa. Cha bhith ann ach oidhirpean rèiteachaidh a bharrachd riatanach ma tha thu airson crioptachadh co-chothromach a chleachdadh.

/ dealbh Anders Hojbjerg CC

Gus a stàladh, bidh feum agad air cuairteachadh le kernel Linux nas sine na 4.1. Gheibhear e ann an stòran prìomh sgaoilidhean Linux.

$ sudo add-apt-repository ppa:hda-me/wireguard
$ sudo apt update
$ sudo apt install wireguard-dkms wireguard-tools

Mar luchd-deasachaidh xakep.ru nota, fèin-chruinneachadh bho thùs teacsaichean e cuideachd furasta. Tha e gu leòr airson an eadar-aghaidh fhosgladh agus iuchraichean poblach is prìobhaideach a ghineadh:

$ sudo ip link add dev wg0 type wireguard
$ wg genkey | tee privatekey | wg pubkey > publickey

Air adhart gu clàr na làraich chan eil a 'cleachdadh eadar-aghaidh airson a bhith ag obair le solaraiche crypto CryptoAPI. An àite sin, thathas a’ cleachdadh cipher sruth ChaCha20, cryptographic cuir a-steach aithris Poly1305 agus gnìomhan hash criptografach seilbh.

Tha an iuchair dhìomhair air a ghineadh le bhith a’ cleachdadh Pròtacal Diffie-Hellman stèidhichte air lùb elliptic Curve25519. Nuair a bhios iad a 'fuaigheal, bidh iad a' cleachdadh gnìomhan hash BLAR 2 и SipHash. Air sgàth cruth clàr-ama TAI64N bidh am protocol a’ tilgeadh air falbh pacaidean le luach stampa-ama nas lugha, mar sin casg air DoS- и ionnsaighean ath-chluich.

Anns a ’chùis seo, bidh WireGuard a’ cleachdadh a ’ghnìomh ioctl gus smachd a chumail air I / O (air a chleachdadh roimhe seo lìonradh), a nì an còd nas glaine agus nas sìmplidhe. Faodaidh tu seo a dhearbhadh le bhith a’ coimhead còd rèiteachaidh.

Planaichean luchd-leasachaidh

Airson a-nis, tha WireGuard na mhodal kernel taobh a-muigh na craoibhe. Ach is e ùghdar a’ phròiseict Jason Donenfeld ag ràdh, gu bheil an t-àm ann airson làn bhuileachadh anns an kernel Linux. Leis gu bheil e nas sìmplidh agus nas earbsaiche na fuasglaidhean eile. Jason a thaobh seo a ’toirt taic dh’ ainmich eadhon Linus Torvalds fhèin an còd WireGuard mar “obair ealain.”

Ach chan eil duine a’ bruidhinn mu na dearbh chinn-latha airson WireGuard a thoirt a-steach don kernel. AGUS cha mhòr bidh seo a’ tachairt nuair a thèid an Lùnastal Linux kernel 4.18. Ach, tha e comasach gun tachair seo a dh’ aithghearr: ann an dreach 4.19 no 5.0.

Nuair a thèid WireGuard a chur ris an kernel, luchd-leasachaidh iarraidh cuir crìoch air an tagradh airson innealan Android agus tòisich a’ sgrìobhadh tagradh airson iOS. Tha planaichean ann cuideachd buileachadh a chrìochnachadh ann an Go and Rust agus an cur gu macOS, Windows agus BSD. Thathas cuideachd an dùil WireGuard a chuir an gnìomh airson barrachd “shiostaman coimheach”: DPDK, FPGA, a bharrachd air tòrr rudan inntinneach eile. Tha iad uile air an liostadh ann an liosta ri dhèanamh ùghdaran a’ phròiseict.

PS Beagan artaigilean eile bhon bhlog corporra againn:

• Teicneòlasan sgòthan anns an roinn ionmhais: eòlas chompanaidhean Ruiseanach
• A’ dèanamh deuchainn air siostam diosc san sgòth
• Na tha falaichte air cùl an teirm vCloud Director - sealladh a-staigh

Is e prìomh stiùir ar gnìomhachd solarachadh sheirbheisean sgòthan:

Bun-structar Mas-fhìor (IaaS) | Aoigheachd PCI DSS | Cloud FZ-152 | Aoigheachd SAP | Stòradh mas-fhìor | A’ crioptachadh dàta san sgòth | Stòradh neòil

Source: www.habr.com