VPN WireGuard 1.0.0 זמין

שהוגש על ידי שחרור VPN מוביל WireGuard 1.0.0, שסימן את אספקת רכיבי WireGuard בליבה הראשית לינוקס 5.6 וייצוב הפיתוח. קוד כלול בליבת לינוקס עבר ביקורת אבטחה נוספת המבוצעת על ידי חברה עצמאית המתמחה בביקורות מסוג זה. הביקורת לא העלתה בעיות.

מאז WireGuard מפותח כעת בקרנל הראשי של לינוקס, הוכן מאגר להפצות ומשתמשים שממשיכים להשתמש בגרסאות ישנות יותר של הליבה wireguard-linux-compat.git. המאגר כולל קוד WireGuard עם העברה אחורית ושכבת compat.h כדי להבטיח תאימות עם ליבות ישנות יותר. יצוין כי כל עוד למפתחים יש את ההזדמנות והמשתמשים זקוקים לה, גרסה נפרדת של התיקונים תתמוך בצורת עבודה. בצורתה הנוכחית, ניתן להשתמש בגרסה עצמאית של WireGuard עם גרעינים מ אובונטו 20.04 и דביאן 10 "באסטר", וזמין גם בתור תיקונים עבור ליבות לינוקס 5.4 и 5.5. הפצות באמצעות הגרעינים העדכניים ביותר כגון Arch, Gentoo ו
פדורה 32 תוכל להשתמש ב-WireGuard עם עדכון ליבת 5.6.

תהליך הפיתוח העיקרי מתבצע כעת במאגר wireguard-linux.git, הכולל את עץ ליבת לינוקס המלא עם שינויים מפרויקט Wireguard. תיקונים ממאגר זה ייבדקו לצורך הכללה בליבה הראשית וידחפו באופן קבוע לענפי net/net-next. פיתוח כלי עזר וסקריפטים המופעלים במרחב המשתמש, כגון wg ו-wg-quick, מתבצע במאגר wireguard-tools.git, שבו ניתן להשתמש כדי ליצור חבילות בהפצות.

נזכיר לכם ש-VPN WireGuard מיושם על בסיס שיטות הצפנה מודרניות, מספק ביצועים גבוהים מאוד, קל לשימוש, ללא סיבוכים והוכיח את עצמו במספר פריסות גדולות המעבדות נפחי תעבורה גדולים. הפרויקט מתפתח משנת 2015, עבר ביקורת ו אימות פורמלי שיטות הצפנה בשימוש. תמיכת WireGuard כבר משולבת ב-NetworkManager וב-systemd, ותיקוני ליבה כלולים בהפצות הבסיסיות דביאן לא יציב, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, סובגרף и ALT.

WireGuard משתמש בקונספט של ניתוב מפתחות הצפנה, הכולל הצמדת מפתח פרטי לכל ממשק רשת ושימוש בו כדי לאגד את המפתחות הציבוריים. מפתחות ציבוריים מוחלפים כדי ליצור חיבור בצורה דומה ל-SSH. כדי לנהל משא ומתן על מפתחות ולהתחבר מבלי להפעיל דמון נפרד במרחב המשתמש, מנגנון Noise_IK מ מסגרת פרוטוקול רעשבדומה לתחזוקת המפתחות המאושרים ב-SSH. העברת הנתונים מתבצעת באמצעות אנקפסולציה במנות UDP. זה תומך בשינוי כתובת ה-IP של שרת ה-VPN (נדידה) מבלי לנתק את החיבור עם קונפיגורציה אוטומטית של הלקוח.

להצפנה משמש צופן זרם ChaCha20 ואלגוריתם אימות הודעות (MAC) Poly1305, בעיצובו של דניאל ברנשטיין (דניאל ברנשטיין), טניה לנגה
(טנחה לאנג) ופיטר שוואבה. ChaCha20 ו- Poly1305 ממוקמים כאנלוגים מהירים ובטוחים יותר של AES-256-CTR ו-HMAC, שהטמעת התוכנה שלהם מאפשרת השגת זמן ביצוע קבוע ללא שימוש בתמיכת חומרה מיוחדת. כדי ליצור מפתח סודי משותף, נעשה שימוש בפרוטוקול העקומה האליפטית Diffie-Hellman ביישום CurveXNXX, גם הוצע על ידי דניאל ברנשטיין. האלגוריתם המשמש לגיבוב הוא BLAKE2s (RFC7693).

מתחת לישן בדיקה Performance WireGuard הפגין תפוקה גבוהה פי 3.9 ותגובתיות גבוהה פי 3.8 בהשוואה ל-OpenVPN (256 סיביות AES עם HMAC-SHA2-256). בהשוואה ל-IPsec (256 סיביות ChaCha20+Poly1305 ו-AES-256-GCM-128), WireGuard מציג שיפור קל בביצועים (13-18%) והשהייה נמוכה יותר (21-23%). תוצאות הבדיקה המפורסמות באתר הפרויקט מכסות את היישום העצמאי הישן של WireGuard ומסומנות כלא איכותיות מספיק. מאז הבדיקה, קוד ה-WireGuard וה-IPsec עבר אופטימיזציה נוספת וכעת הוא מהיר יותר. בדיקות מלאות יותר המכסות את היישום המשולב בקרנל טרם בוצעו. עם זאת, יש לציין ש-WireGuard עדיין מתעלה על IPsec במצבים מסוימים עקב ריבוי הליכים, בעוד ש-OpenVPN נשאר איטי מאוד.

מקור: OpenNet.ru