Davíð Miller (), sem ber ábyrgð á kjarnakerfi netkerfisins Linux, í net-næstu útibú með innleiðingu VPN-viðmótsins úr verkefninu Snemma næsta árs munu breytingar sem safnast upp í net-next greininni mynda grunninn að kjarnaútgáfunni. Linux 5.6.
Tilraunir til að kynna kóða WireGuard Í aðalkjarnanum hefur verið reynt að gera tilraunir undanfarin ár, en þær hafa ekki borið árangur vegna þess að þær eru háðar einkaleyfisbundnum útfærslum á dulritunarföllum sem voru notuð til að bæta afköst. Upphaflega voru þessi föll... fyrir kjarnann sem viðbótar lágstigs Zinc API, sem gæti að lokum komið í staðinn fyrir staðlaða Crypto API.
Eftir fyrirlestra á ráðstefnunni Kernel Recipes, höfundarnir WireGuard í september umbreyta uppfærslunum þínum til að nota núverandi dulritunarforritaskil (Crypto API) í kjarnanum, sem forritararnir hafa aðgang að WireGuard Kvartanir hafa borist um afköst og almennt öryggi. Ákveðið var að halda áfram þróun Zinc API-sins, en sem sérstakt verkefni.
Í nóvember, kjarnaforritarar Þeir náðu málamiðlun og samþykktu að flytja hluta af Zinc-kóðanum yfir í aðalkjarna. Í meginatriðum verða sumir Zinc-íhlutir fluttir yfir í kjarnann, ekki sem sérstakt API, heldur sem hluti af Crypto API undirkerfinu. Til dæmis er Crypto API þegar... útbúið í WireGuard Hraðvirkar útfærslur á ChaCha20 og Poly1305 reikniritunum.
Í tengslum við væntanlega afhendingu WireGuard í kjarnateyminu, stofnandi verkefnisins um endurskipulagningu geymslunnar. Til að einfalda þróunina var einlita geymslunni skipt út fyrirWireGuard.git", sem var hannað til að vera til sér, mun fá þrjú aðskilin geymslurými sem henta betur til að skipuleggja vinnu með kóða í aðalkjarnanum:
- — allt kjarnatréð með breytingum frá verkefninu Wireguard, uppfærslur frá þeim verða skoðaðar til að taka þær með í kjarnanum og reglulega fluttar yfir í net/net-next greinarnar.
- — geymsla fyrir notendarýmisforrit og forskriftir, eins og wg og wg-quick. Hægt er að nota geymsluna til að búa til pakka fyrir dreifingar.
- — gagnageymslu með útgáfu af einingunni, sem er afhent sérstaklega frá kjarnanum og inniheldur compat.h lag til að tryggja samhæfni við eldri kjarna. Aðalþróunin mun fara fram í gagnageymslunni. wireguard-linux.git, en svo lengi sem möguleiki er á því og eftirspurn er eftir því frá notendum, verður einnig stutt við aðskildar útgáfur af uppfærslum í virku formi.
Leyfðu okkur að minna þig á VPN WireGuard Það er útfært með nútímalegum dulkóðunaraðferðum, býður upp á mjög mikla afköst, er auðvelt í notkun, er laust við fylgikvilla og hefur sannað sig í fjölda stórra innleiðinga sem meðhöndla mikið magn af umferð. Verkefnið hefur verið í þróun síðan 2015 og hefur verið endurskoðað og... Dulkóðunaraðferðir sem notaðar eru. Stuðningur WireGuard Það er þegar samþætt í NetworkManager og systemd, og kjarnauppfærslur eru innifaldar í grunndreifingunum. , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
В WireGuard Notað er hugtakið dulkóðunarlyklaleiðsögn, sem felur í sér að einkalykill er bundinn við hvert netviðmót og notaður til að binda opinbera lykla. Opinberir lyklar eru skipt til að koma á tengingu á svipaðan hátt og SSH. Til að semja um lykla og koma á tengingu án þess að keyra sérstakan þjónustuaðila í notendarýminu er Noise_IK kerfið frá ... notað. , svipað og að viðhalda authorized_keys í SSH. Gagnaflutningur fer fram með innlimun í UDP-pakka. Hægt er að breyta IP-tölu VPN-þjónsins (reiki) án þess að slíta tengingunni og sjálfvirk endurstilling viðskiptavinar er studd.
Fyrir dulkóðun straum dulmál og skilaboðaauthentication algorithm (MAC) , hannað af Daniel Bernstein (), Tanya Lange
(Tanja Lange) og Peter Schwabe. ChaCha20 og Poly1305 eru staðsettir sem hraðari og öruggari hliðstæður AES-256-CTR og HMAC, en hugbúnaðarútfærslan gerir kleift að ná föstum framkvæmdartíma án þess að nota sérstakan vélbúnaðarstuðning. Til að búa til sameiginlegan leynilykil er sporöskjulaga feril Diffie-Hellman siðareglur notuð í útfærslunni , einnig lagt til af Daniel Bernstein. Kjarnreikniritið er .
á frammistaða WireGuard sýndi 3.9 sinnum meiri afköst og 3.8 sinnum meiri svörun samanborið við OpenVPN (256-bita AES með HMAC-SHA2-256). Samanborið við IPsec (256-bita ChaCha20+Poly1305 og AES-256-GCM-128) í WireGuard Lítill ávinningur í afköstum (13-18%) og minnkun á seinkun (21-23%) sést. Prófanirnar voru framkvæmdar með því að nota hraðvirkar útfærslur verkefnisins á dulkóðunaralgrímum; að skipta yfir í innfædda dulritunarforritaskil kjarnans gæti leitt til versnandi afkasta.
Heimild: opennet.ru
