מימוש VPN חדש, WireGuard, נוסף לבסיס הקוד של FreeBSD.

עץ המקור של FreeBSD עודכן ביישום חדש של VPN WireGuard, המבוסס על קוד מודול ליבה המיוצר במשותף על ידי צוותי הפיתוח של FreeBSD ו-WireGuard הליבה עם תרומות של ג'ייסון א. דוננפלד, מחבר ה-VPN WireGuard, וג'ון ה. בולדווין). מפתח ידוע של GDB ו-FreeBSD, שהטמיע תמיכה עבור SMP ו-NUMA בליבת FreeBSD בתחילת שנות ה-2000. לאחר שהנהג יתקבל ל-FreeBSD (sys/dev/wg), הפיתוח והתחזוקה שלו יבוצעו מעתה במאגר FreeBSD.

לפני קבלת הקוד, נערכה סקירה מלאה של השינויים בתמיכת קרן FreeBSD, במהלכה נותחה גם האינטראקציה של הדרייבר עם שאר תתי המערכות של הליבה והאפשרות להשתמש בפרימיטיבים קריפטוגרפיים שסופקה על ידי הליבה הוערך.

כדי להשתמש באלגוריתמים ההצפנה הנדרשים על ידי מנהל ההתקן, הורחב ה-API של תת-הקריפטו-תת-הקריפטו של ליבת FreeBSD, אליו נוספה רתמה המאפשרת שימוש באלגוריתמים שאינם נתמכים ב-FreeBSD דרך ה-crypto-API הסטנדרטי, תוך שימוש ביישום של אלגוריתמים נחוצים מספריית הליבסודיום. מבין האלגוריתמים המובנים במנהל ההתקן, נותר רק הקוד לחישוב גיבובים של Blake2, מכיוון שהיישום של אלגוריתם זה המסופק ב-FreeBSD קשור לגודל גיבוב קבוע.

בנוסף, במהלך תהליך הסקירה בוצעה אופטימיזציה של קוד, שאפשרה להגביר את יעילות חלוקת העומס על מעבדים מרובי ליבות (הובטח איזון אחיד של הקצאת משימות הצפנת מנות ופענוח לליבות CPU). כתוצאה מכך, התקורה בעת עיבוד מנות הייתה קרובה לזו של יישום מנהל ההתקן של לינוקס. הקוד מספק גם את היכולת להשתמש במנהל ההתקן של ossl כדי להאיץ את פעולות ההצפנה.

בניגוד לניסיון הקודם לשלב את WireGuard ב-FreeBSD, המימוש החדש משתמש בתוכנת ה-wg הסטנדרטית, ולא בגרסה שונה של ifconfig, המאפשרת לאחד את התצורה ב-Linux וב-FreeBSD. כלי השירות wg, כמו גם מנהל ההתקן, כלולים בקוד המקור של FreeBSD, שהתאפשר על ידי שינוי הרישיון עבור קוד wg (הקוד זמין כעת תחת רישיונות MIT ו-GPL). הניסיון האחרון לכלול את WireGuard ב-FreeBSD נעשה בשנת 2020, אך הסתיים בשערורייה, שבעקבותיה הוסר הקוד שכבר התווסף עקב איכות ירודה, עבודה רשלנית עם חוצצים, שימוש בסטאב במקום צ'קים, הטמעה לא מלאה של הפרוטוקול והפרה של רישיון GPL.

נזכיר לכם ש-VPN WireGuard מיושם על בסיס שיטות הצפנה מודרניות, מספק ביצועים גבוהים מאוד, קל לשימוש, נקי מסיבוכים והוכיח את עצמו במספר פריסות גדולות המעבדות כמויות גדולות של תעבורה. הפרויקט מתפתח משנת 2015, ועבר ביקורת ואימות פורמלי של שיטות ההצפנה בהן נעשה שימוש. WireGuard משתמש במושג של ניתוב מפתחות הצפנה, הכולל הצמדת מפתח פרטי לכל ממשק רשת ושימוש בו כדי לאגד את המפתחות הציבוריים.

מפתחות ציבוריים מוחלפים כדי ליצור חיבור בצורה דומה ל-SSH. כדי לנהל משא ומתן על מפתחות ולהתחבר מבלי להפעיל דמון נפרד במרחב המשתמש, נעשה שימוש במנגנון Noise_IK של Noise_IK של מסגרת פרוטוקול הרעש, בדומה לתחזוקה של Authorized_keys ב-SSH. העברת הנתונים מתבצעת באמצעות אנקפסולציה במנות UDP. זה תומך בשינוי כתובת ה-IP של שרת ה-VPN (נדידה) מבלי לנתק את החיבור עם קונפיגורציה אוטומטית של הלקוח.

ההצפנה משתמשת בצופן הזרם ChaCha20 ובאלגוריתם אימות ההודעות Poly1305 (MAC), שפותחו על ידי Daniel J. Bernstein, Tanja Lange ופיטר Schwabe. ChaCha20 ו- Poly1305 ממוקמים כאנלוגים מהירים ובטוחים יותר של AES-256-CTR ו-HMAC, שהטמעת התוכנה שלהם מאפשרת השגת זמן ביצוע קבוע ללא שימוש בתמיכת חומרה מיוחדת. כדי ליצור מפתח סודי משותף, נעשה שימוש בפרוטוקול העקומה האליפטית Diffie-Hellman ביישום Curve25519, שהוצע גם על ידי דניאל ברנשטיין. האלגוריתם של BLAKE2s (RFC7693) משמש לגיבוב.

מקור: OpenNet.ru