VPN WireGuard 1.0.0 が利用可能になりました

から提出された 画期的な VPN リリース ワイヤーガード 1.0.0、メインコアでの WireGuard コンポーネントの配信をマークしました Linux 5.6 そして開発の安定化。 Linux カーネルに含まれるコード 過ぎた 追加のセキュリティ監査は、そのような監査を専門とする独立した会社によって実行されます。 監査では問題は見つかりませんでした。

WireGuard は現在メインの Linux カーネルで開発されているため、ディストリビューションと古いバージョンのカーネルを使い続けるユーザーのためにリポジトリが用意されています。 ワイヤーガード-linux-compat.git。 リポジトリには、バックポートされた WireGuard コードと、古いカーネルとの互換性を確保する compat.h レイヤーが含まれています。 開発者に機会があり、ユーザーが必要とする限り、別のバージョンのパッチが実用的な形式でサポートされることに注意してください。 現在の形式では、WireGuard のスタンドアロン バージョンは次のカーネルで使用できます。 Ubuntuの20.04 и Debian 10「バスター」、Linux カーネル用のパッチとしても利用可能 5.4 и 5.5。 Arch、Gentoo などの最新カーネルを使用したディストリビューション
Fedora 32 は、5.6 カーネル アップデートで WireGuard を使用できるようになります。

主な開発プロセスはリポジトリで実行されるようになりました ワイヤーガード-linux.gitこれには、Wireguard プロジェクトからの変更を含む完全な Linux カーネル ツリーが含まれています。 このリポジトリからのパッチは、メイン カーネルに含めるためにレビューされ、定期的に net/net-next ブランチにプッシュされます。 wg や wg-quick など、ユーザー空間で実行されるユーティリティやスクリプトの開発はリポジトリで行われます。 Wireguard-tools.git、ディストリビューションでパッケージを作成するために使用できます。

VPN WireGuard は最新の暗号化方式に基づいて実装されており、非常に高いパフォーマンスを提供し、使いやすく、複雑さがなく、大量のトラフィックを処理する多数の大規模導入で実証されているということを思い出してください。 このプロジェクトは 2015 年から開発が進められており、監査を受けており、 正式な検証 使用される暗号化方式。 WireGuard のサポートはすでに NetworkManager と systemd に統合されており、カーネル パッチは基本ディストリビューションに含まれています Debianが不安定、Mageia、Alpine、Arch、Gentoo、OpenWrt、NixOS、 サブグラフ и 頭の中.

WireGuard は、暗号化キー ルーティングの概念を使用します。これには、各ネットワーク インターフェイスに秘密キーを添付し、それを使用して公開キーをバインドすることが含まれます。 SSH と同様の方法で接続を確立するために公開キーが交換されます。 ユーザー空間で別のデーモンを実行せずにキーをネゴシエートして接続するには、Noise_IK メカニズムを使用します。 ノイズプロトコルフレームワークSSHでauthorized_keysを維持するのと似ています。 データ送信は、UDP パケットのカプセル化によって実行されます。 自動クライアント再構成により、接続を切断せずに VPN サーバーの IP アドレスの変更 (ローミング) をサポートします。

暗号化用 中古 ストリーム暗号 ChaCha20 およびメッセージ認証アルゴリズム (MAC) Poly1305、ダニエル・バーンスタインによってデザインされました (ダニエル・J・バーンスタイン）、ターニャ・ランゲ
（ターニャ・ランゲ）とピーター・シュワーベ。 ChaCha20 と Poly1305 は、AES-256-CTR と HMAC のより高速で安全な類似物として位置付けられており、そのソフトウェア実装により、特別なハードウェア サポートを使用せずに固定実行時間を達成できます。 共有秘密鍵を生成するために、実装では楕円曲線 Diffie-Hellman プロトコルが使用されます。 カーブ25519、これもダニエル・バーンスタインによって提案されました。 ハッシュ化に使用されるアルゴリズムは、 BLAKE2 (RFC7693).

古いものの下で テスト パフォーマンス WireGuard は、OpenVPN (HMAC-SHA3.9-3.8 を使用した 256 ビット AES) と比較して、2 倍高いスループットと 256 倍高い応答性を実証しました。 IPsec (256 ビット ChaCha20+Poly1305 および AES-256-GCM-128) と比較して、WireGuard はパフォーマンスがわずかに向上し (13 ～ 18%)、遅延が低くなりました (21 ～ 23%)。 プロジェクトの Web サイトに掲載されているテスト結果は、WireGuard の古いスタンドアロン実装を対象としており、品質が不十分であるとマークされています。 テスト以来、WireGuard と IPsec コードはさらに最適化され、より高速になりました。 カーネルに統合された実装をカバーするより完全なテストはまだ実施されていません。 ただし、OpenVPN は依然として非常に遅いのに対し、マルチスレッド化により、状況によっては WireGuard が IPsec よりも優れたパフォーマンスを発揮することに注意してください。

出所： オープンネット.ru