David Miller (), responsab pou subsistèm rezo nwayo Linux la, nan branch net-pwochen an ak aplikasyon an nan koòdone nan VPN soti nan pwojè a . Nan kòmansman ane pwochèn, chanjman ki akimile nan branch net-next la pral fòme baz pou lage Linux Kernel 5.6.
Tantativ pou pouse kòd WireGuard la nan nwayo prensipal la te fèt pandan kèk ane ki sot pase yo, men yo te rete san siksè paske yo te mare nan aplikasyon propriétaires nan fonksyon kriptografik ki te itilize pou amelyore pèfòmans. Okòmansman, fonksyon sa yo te pou nwayo a kòm yon API Zenk ba-nivo adisyonèl, ki ta ka evantyèlman ranplase API Crypto estanda.
Apre diskisyon nan konferans Kernel Recipes, kreyatè WireGuard nan mwa septanm nan transfere plak ou yo pou itilize Crypto API ki disponib nan nwayo a, kote devlopè WireGuard yo gen plent nan domèn pèfòmans ak sekirite jeneral. Li te deside kontinye devlope Zenk API a, men kòm yon pwojè separe.
Nan mwa novanm, devlopè nwayo an repons a yon konpwomi ak te dakò yo transfere yon pati nan kòd la soti nan Zenk nan nwayo prensipal la. Esansyèlman, kèk eleman Zenk yo pral deplase nan nwayo a, men se pa kòm yon API separe, men kòm yon pati nan subsistèm Crypto API. Pou egzanp, Crypto API a deja aplikasyon rapid nan algoritm ChaCha20 ak Poly1305 prepare nan WireGuard.
An koneksyon avèk livrezon an k ap vini nan WireGuard nan nwayo prensipal la, fondatè a nan pwojè a sou restriktirasyon depo a. Pou senplifye devlopman, depo monolitik "WireGuard.git", ki te fèt pou egziste nan izolasyon, pral ranplase pa twa depo separe, pi byen adapte pou òganize travay ak kòd nan nwayo prensipal la:
- - yon pye bwa nwayo konplè ak chanjman nan pwojè Wireguard la, plak ki soti nan ki pral revize pou enklizyon nan nwayo a epi yo transfere regilyèman nan filè yo nèt/nèt-next.
- - yon depo pou sèvis piblik ak scripts kouri nan espas itilizatè, tankou wg ak wg-quick. Yo ka itilize depo a pou kreye pakè pou distribisyon.
- - yon repozitwa ak yon varyant nan modil la, apwovizyone separeman de nwayo a ak ki gen ladan kouch nan compat.h asire konpatibilite ak nwayo ki pi gran yo. Devlopman prensipal la pral fèt nan repozitwa wireguard-linux.git, men osi lontan ke gen yon opòtinite ak bezwen nan mitan itilizatè yo, yo pral sipòte yon vèsyon separe nan plak yo tou nan fòm k ap travay.
Se pou nou raple w ke VPN WireGuard aplike sou baz metòd chifreman modèn, li bay pèfòmans trè wo, li fasil pou itilize, san konplikasyon e li pwouve tèt li nan yon kantite gwo deplwaman ki trete gwo volim trafik. Pwojè a ap devlope depi 2015, te odit ak metòd chifreman yo itilize. WireGuard sipò deja entegre nan NetworkManager ak systemd, ak plak nwayo yo enkli nan distribisyon baz yo. , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard sèvi ak konsèp nan routage kle chifreman, ki enplike tache yon kle prive nan chak koòdone rezo epi sèvi ak li yo mare kle piblik yo. Kle piblik yo echanje pou etabli yon koneksyon nan yon fason ki sanble ak SSH. Pou negosye kle epi konekte san yo pa kouri yon demon separe nan espas itilizatè a, mekanis Noise_IK soti nan menm jan ak kenbe authorized_keys nan SSH. Transmisyon done fèt atravè ankapsulasyon nan pake UDP. Li sipòte chanje adrès IP sèvè VPN a (itinerans) san yo pa dekonekte koneksyon an ak otomatikman rekonfigirasyon kliyan an.
Pou chifreman chifre kouran ak algorithm otantifikasyon mesaj (MAC) , ki fèt pa Daniel Bernstein (), Tanya Lange
(Tanja Lange) ak Peter Schwabe. ChaCha20 ak Poly1305 yo pozisyone kòm pi vit ak pi an sekirite analogue nan AES-256-CTR ak HMAC, aplikasyon an lojisyèl ki pèmèt reyalize yon tan ekzekisyon fiks san yo pa itilize sipò pyès ki nan konpitè espesyal. Pou jenere yon kle sekrè pataje, yo itilize pwotokòl Diffie-Hellman koub eliptik la nan aplikasyon an , pwopoze tou pa Daniel Bernstein. Algorithm yo itilize pou hachage se .
Nan Pèfòmans WireGuard demontre 3.9 fwa pi wo debi ak 3.8 fwa pi wo repons konpare ak OpenVPN (256-bit AES ak HMAC-SHA2-256). Konpare ak IPsec (256-bit ChaCha20 + Poly1305 ak AES-256-GCM-128), WireGuard montre yon ti amelyorasyon pèfòmans (13-18%) ak pi ba latansi (21-23%). Tès yo te fèt lè l sèvi avèk aplikasyon rapid nan algoritm chifreman devlope pa pwojè a - transfere nan estanda Crypto API nan nwayo a ka mennen nan pi mal pèfòmans.
Sous: opennet.ru