🥇WireGuard "יגיע" לקרנל הלינוקס - למה?

בסוף יולי הציעו מפתחי מנהרת ה-VPN של WireGuard סט תיקון, מה שיהפוך את תוכנת מנהור ה-VPN שלהם לחלק מליבת לינוקס. עם זאת, התאריך המדויק של יישום ה"רעיון" נותר לא ידוע. מתחת לחיתוך נדבר על הכלי הזה ביתר פירוט.

/ תמונה טמבקו היגואר CC

בקצרה על הפרויקט

WireGuard היא מנהרת VPN מהדור הבא שנוצרה על ידי ג'ייסון א. דוננפלד, מנכ"ל Edge Security. הפרויקט פותח כ מְפוּשָׁט ואלטרנטיבה מהירה ל-OpenVPN ו-IPsec. הגרסה הראשונה של המוצר הכילה רק 4 שורות קוד. לשם השוואה, ל-OpenVPN יש כ-120 אלף קווים, ו-IPSec - 420 אלף.

על על פי למפתחים, קל להגדיר את WireGuard והושג אבטחת פרוטוקול באמצעות אלגוריתמים קריפטוגרפיים מוכחים. בעת החלפת רשת: Wi-Fi, LTE או Ethernet צריכים להתחבר מחדש לשרת ה-VPN בכל פעם. שרתי WireGuard אינם מפסיקים את החיבור, גם אם המשתמש קיבל כתובת IP חדשה.

למרות העובדה ש-WireGuard תוכנן במקור עבור ליבת לינוקס, המפתחים מטופל ולגבי גרסה ניידת של הכלי למכשירי אנדרואיד. האפליקציה עדיין לא מפותחת במלואה, אבל אתה יכול לנסות אותה עכשיו. בשביל זה אתה צריך להיות אחד מהבודקים.

באופן כללי, WireGuard הוא די פופולרי ואף היה מוטמע מספר ספקי VPN, כמו Mullvad ו- AzireVPN. פורסם באינטרנט מספר גדול מדריכי התקנה ההחלטה הזו. לדוגמה, יש מדריכים, שנוצרו על ידי משתמשים, ויש מדריכים, הוכן על ידי מחברי הפרויקט.

פרטים טכניים

В תיעוד רשמי (עמ' 18) יצוין כי התפוקה של WireGuard גבוהה פי ארבעה מזו של OpenVPN: 1011 Mbit/s לעומת 258 Mbit/s, בהתאמה. WireGuard גם מקדימה את הפתרון הסטנדרטי עבור Linux IPsec - יש לו 881 Mbit/s. זה גם עולה על זה בנוחות ההגדרה.

לאחר החלפת המפתחות (חיבור ה-VPN מאותחל בדומה ל-SSH) והחיבור נוצר, WireGuard מטפל בכל שאר המשימות בעצמו: אין צורך לדאוג לגבי ניתוב, בקרת מצב וכו'. מאמצי תצורה נוספים יהיו רק נדרש אם ברצונך להשתמש בהצפנה סימטרית.

/ תמונה אנדרס Hojbjerg CC

כדי להתקין, תזדקק להפצה עם ליבת לינוקס ישנה מ-4.1. ניתן למצוא אותו במאגרים של הפצות לינוקס גדולות.

$ sudo add-apt-repository ppa:hda-me/wireguard
$ sudo apt update
$ sudo apt install wireguard-dkms wireguard-tools

כפי שהעורכים של xakep.ru מציינים, גם הרכבה עצמית מטקסטי מקור היא קלה. זה מספיק כדי לפתוח את הממשק וליצור מפתחות ציבוריים ופרטיים:

$ sudo ip link add dev wg0 type wireguard
$ wg genkey | tee privatekey | wg pubkey > publickey

WireGuard אינו משתמש ממשק לעבודה עם ספק קריפטו Cryptoapi. במקום זאת, נעשה שימוש בצופן זרם ChaCha20, קריפטוגרפי תוספת חיקוי Poly1305 ופונקציות גיבוב קריפטוגרפיות קנייניות.

המפתח הסודי נוצר באמצעות פרוטוקול דיפי-הלמן מבוסס על עקומה אליפטית CurveXNXX. בעת hashing, הם משתמשים פונקציות hash BLAKE 2 и SipHash. בשל פורמט חותמת הזמן TAI64N הפרוטוקול משליך מנות עם ערך חותמת זמן קטן יותר, ובכך מניעת DoS- и התקפות חוזרות.

במקרה זה, WireGuard משתמש בפונקציית ioctl כדי לשלוט ב-I/O (בשימוש קודם נטלינק), מה שהופך את הקוד לנקי ופשוט יותר. אתה יכול לאמת זאת על ידי התבוננות קוד תצורה.

תוכניות מפתחים

לעת עתה, WireGuard הוא מודול ליבה מחוץ לעץ. אבל מחבר הפרויקט הוא ג'ייסון דוננפלד הוא מדבר, שהגיע הזמן ליישום מלא בליבת לינוקס. כי הוא פשוט ואמין יותר מפתרונות אחרים. ג'ייסון בהקשר הזה תומך אפילו לינוס טורוואלדס עצמו כינה את קוד ה-WireGuard "יצירת אמנות".

אבל אף אחד לא מדבר על התאריכים המדויקים להכנסת WireGuard לקרנל. ו בקושי זה יקרה עם שחרורו של ליבת אוגוסט לינוקס 4.18. עם זאת, ישנה אפשרות שזה יקרה בזמן הקרוב מאוד: בגרסה 4.19 או 5.0.

כאשר WireGuard מתווסף לקרנל, המפתחים רוצה סיים את האפליקציה עבור מכשירי אנדרואיד והתחל לכתוב אפליקציה עבור iOS. יש גם תוכניות להשלים יישומים ב-Go ו-Rust ולהעביר אותם ל-macOS, Windows ו-BSD. כמו כן, מתוכנן ליישם את WireGuard עבור "מערכות אקזוטיות" יותר: DPDK, FPGA, כמו גם הרבה דברים מעניינים אחרים. כולם רשומים ב רשימת מטלות מחברי הפרויקט.

נ.ב עוד כמה מאמרים מהבלוג הארגוני שלנו:

טכנולוגיות ענן במגזר הפיננסי: הניסיון של חברות רוסיות

בדיקת מערכת דיסקים בענן

מה מסתתר מאחורי המונח vCloud Director - מבט מבפנים

הכיוון העיקרי של הפעילות שלנו הוא אספקת שירותי ענן:

WireGuard "יגיע" לקרנל הלינוקס - למה?

בקצרה על הפרויקט

פרטים טכניים

תוכניות מפתחים

הוספת תגובה ביטול תגובה