versión de VPN histórica , que marcou a entrega de compoñentes WireGuard no núcleo principal e estabilización do desenvolvemento. Código incluído no núcleo de Linux auditoría de seguridade adicional realizada por unha empresa independente especializada en tales auditorías. A auditoría non revelou ningún problema.
Dado que WireGuard está a ser desenvolvido no núcleo principal de Linux, preparouse un repositorio para distribucións e usuarios que sigan usando versións antigas do núcleo. . O repositorio inclúe código WireGuard retroportado e unha capa compat.h para garantir a compatibilidade cos núcleos máis antigos. Nótese que sempre que os desenvolvedores teñan a oportunidade e os usuarios a necesiten, admitirase unha versión separada dos parches en forma de traballo. Na súa forma actual, pódese usar unha versión independente de WireGuard con núcleos de и , e tamén dispoñible como parches para os núcleos de Linux и . Distribucións que utilizan os últimos núcleos como Arch, Gentoo e
Fedora 32 poderá usar WireGuard coa actualización do núcleo 5.6.
O proceso de desenvolvemento principal realízase agora no repositorio , que inclúe a árbore completa do núcleo de Linux con cambios do proxecto Wireguard. Os parches deste repositorio serán revisados para a súa inclusión no núcleo principal e empuxados regularmente ás ramas net/net-next. O desenvolvemento de utilidades e scripts executados no espazo do usuario, como wg e wg-quick, realízase no repositorio , que se pode usar para crear paquetes en distribucións.
Lembrámosche que VPN WireGuard está implementado sobre a base de métodos de cifrado modernos, ofrece un rendemento moi alto, é fácil de usar, libre de complicacións e demostrou a súa valía nunha serie de grandes despregamentos que procesan grandes volumes de tráfico. O proxecto desenvólvese dende 2015, foi auditado e métodos de cifrado utilizados. O soporte de WireGuard xa está integrado en NetworkManager e systemd, e os parches do núcleo están incluídos nas distribucións base , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard usa o concepto de enrutamento de claves de cifrado, que implica anexar unha clave privada a cada interface de rede e utilizala para vincular as claves públicas. As chaves públicas intercámbianse para establecer unha conexión dun xeito similar ao SSH. Para negociar claves e conectarse sen executar un daemon separado no espazo do usuario, o mecanismo Noise_IK de similar a manter as claves_autorizadas en SSH. A transmisión de datos realízase mediante o encapsulamento en paquetes UDP. Admite cambiar o enderezo IP do servidor VPN (roaming) sen desconectar a conexión coa reconfiguración automática do cliente.
Para cifrado cifrado de fluxo e algoritmo de autenticación de mensaxes (MAC) , deseñado por Daniel Bernstein (), Tanya Lange
(Tanja Lange) e Peter Schwabe. ChaCha20 e Poly1305 sitúanse como análogos máis rápidos e seguros de AES-256-CTR e HMAC, cuxa implementación de software permite acadar un tempo de execución fixo sen o uso de soporte especial de hardware. Para xerar unha clave secreta compartida, utilízase na implementación o protocolo Diffie-Hellman de curva elíptica , proposto tamén por Daniel Bernstein. O algoritmo usado para o hash é .
Baixo o vello Rendemento WireGuard demostrou un rendemento 3.9 veces maior e unha capacidade de resposta 3.8 veces maior en comparación con OpenVPN (AES de 256 bits con HMAC-SHA2-256). En comparación con IPsec (ChaCha256+Poly20 de 1305 bits e AES-256-GCM-128), WireGuard mostra unha lixeira mellora de rendemento (13-18%) e unha menor latencia (21-23%). Os resultados das probas publicados no sitio web do proxecto cobren a antiga implementación autónoma de WireGuard e están marcados como de calidade insuficiente. Desde a proba, o código WireGuard e IPsec optimizouse aínda máis e agora é máis rápido. Aínda non se realizaron probas máis completas que cobren a implementación integrada no núcleo. Non obstante, nótase que WireGuard aínda supera a IPsec nalgunhas situacións debido ao multi-threading, mentres que OpenVPN segue sendo moi lento.
Fonte: opennet.ru