David Miller (), ábyrgur fyrir netkerfi undirkerfi Linux kjarna, í net-næstu útibú með innleiðingu á VPN viðmóti úr verkefninu . Snemma á næsta ári munu breytingar sem safnast í net-næsta grein mynda grunninn að útgáfu Linux kjarna 5.6.
Tilraunir til að ýta WireGuard kóðanum inn í aðalkjarnann hafa verið gerðar á undanförnum árum, en hafa verið árangurslausar vegna þess að það var bundið við sérútfærslur á dulritunaraðgerðum sem voru notaðar til að bæta afköst. Upphaflega voru þessar aðgerðir fyrir kjarnann sem viðbótar lágstigs sink API, sem gæti að lokum komið í stað staðlaða Crypto API.
Eftir umræður á Kernel Recipes ráðstefnunni, höfundar WireGuard í september fluttu plástrana þína til að nota Crypto API sem er tiltækt í kjarnanum, sem WireGuard forritarar hafa kvartanir yfir á sviði frammistöðu og almenns öryggis. Ákveðið var að halda áfram að þróa Zinc API, en sem sérstakt verkefni.
Í nóvember, kjarna verktaki til að bregðast við málamiðlun og samþykkti að flytja hluta kóðans frá Zinc yfir í aðalkjarnann. Í meginatriðum verða sumir sink hlutir fluttir inn í kjarnann, en ekki sem sérstakt API, heldur sem hluti af Crypto API undirkerfinu. Til dæmis, Crypto API nú þegar hraðvirkar útfærslur á ChaCha20 og Poly1305 reikniritunum útbúnar í WireGuard.
Í tengslum við væntanlega afhendingu WireGuard í aðalkjarna, stofnandi verkefnisins um endurskipulagningu geymslunnar. Til að einfalda þróun verður einlita „WireGuard.git“ geymslunni, sem var hönnuð til að vera til í einangrun, skipt út fyrir þrjár aðskildar geymslur, sem henta betur til að skipuleggja vinnu með kóða í aðalkjarnanum:
- - fullkomið kjarnatré með breytingum frá Wireguard verkefninu, plástrar sem verða skoðaðir fyrir innlimun í kjarnann og fluttir reglulega yfir í net/net-next greinar.
- - geymsla fyrir tól og forskriftir sem keyrðar eru í notendarými, svo sem wg og wg-quick. Geymslan er hægt að nota til að búa til pakka fyrir dreifingar.
- - geymsla með afbrigði af einingunni, afhent aðskilið frá kjarnanum og inniheldur compat.h lagið til að tryggja samhæfni við eldri kjarna. Aðalþróunin fer fram í wireguard-linux.git geymslunni, en svo framarlega sem tækifæri og þörf er á meðal notenda, verður sérstök útgáfa af plástunum einnig studd í vinnuformi.
Við skulum minna þig á að VPN WireGuard er útfært á grundvelli nútíma dulkóðunaraðferða, veitir mjög mikla afköst, er auðvelt í notkun, laust við flækjur og hefur sannað sig í fjölda stórra dreifinga sem vinna mikið magn af umferð. Verkefnið hefur verið í þróun síðan 2015, hefur verið endurskoðað og dulkóðunaraðferðir sem notaðar eru. WireGuard stuðningur er þegar samþættur í NetworkManager og systemd, og kjarnaplástrar eru innifalin í grunndreifingunum , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard notar hugtakið dulkóðunarlyklaleið, sem felur í sér að festa einkalykil við hvert netviðmót og nota það til að binda opinberu lyklana. Skipt er á almennum lyklum til að koma á tengingu á svipaðan hátt og SSH. Til að semja um lykla og tengjast án þess að keyra sérstakan púka í notendarými, er Noise_IK vélbúnaðurinn frá svipað og að viðhalda authorized_keys í SSH. Gagnaflutningur fer fram með hjúpun í UDP pakka. Það styður breytingu á IP tölu VPN netþjónsins (reiki) án þess að aftengja tenginguna og sjálfkrafa endurstilla biðlarann.
Fyrir dulkóðun straum dulmál og skilaboðaauthentication algorithm (MAC) , hannað af Daniel Bernstein (), Tanya Lange
(Tanja Lange) og Peter Schwabe. ChaCha20 og Poly1305 eru staðsettir sem hraðari og öruggari hliðstæður AES-256-CTR og HMAC, en hugbúnaðarútfærslan gerir kleift að ná föstum framkvæmdartíma án þess að nota sérstakan vélbúnaðarstuðning. Til að búa til sameiginlegan leynilykil er sporöskjulaga feril Diffie-Hellman siðareglur notuð í útfærslunni , einnig lagt fram af Daniel Bernstein. Reikniritið sem notað er fyrir hashing er .
á Flutningur WireGuard sýndi 3.9 sinnum meiri afköst og 3.8 sinnum meiri svörun miðað við OpenVPN (256 bita AES með HMAC-SHA2-256). Í samanburði við IPsec (256-bita ChaCha20+Poly1305 og AES-256-GCM-128), sýnir WireGuard lítilsháttar frammistöðubót (13-18%) og minni leynd (21-23%). Prófin voru gerðar með því að nota hraðvirkar útfærslur á dulkóðunaralgrímum sem þróaðar voru af verkefninu - flutningur yfir í staðlaða Crypto API kjarnans gæti leitt til verri árangurs.
Heimild: opennet.ru