NetBSD プロジェクト開発者 メインの NetBSD カーネルにおける WireGuard プロトコルの実装に wg ドライバーを含めることについて。 NetBSD は、WireGuard のサポートが統合され、Linux と OpenBSD に次ぐ XNUMX 番目の OS になりました。 VPN を構成するための関連コマンド (wg-keygen および wgconfig) も提供されています。 デフォルトのカーネル構成 (GENERIC) では、ドライバーはまだアクティブ化されていないため、設定で「pseudo-device wg」を明示的に指定する必要があります。
さらに、注目できるのは、 wg や wg-quick などのユーザー空間ユーティリティを含む、wireguard-tools 1.0.20200820 パッケージの修正アップデート。 新しいリリースは、FreeBSD オペレーティング システム上での今後の WireGuard サポートに備えて IPC を準備します。 さまざまなプラットフォームに固有のコードは、さまざまなファイルに分割されています。 「reload」コマンドのサポートが systemd ユニット ファイルに追加され、「systemctl reload wg-quick at wgnet0」のような構成を実行できるようになります。
VPN WireGuard は最新の暗号化方式に基づいて実装されており、非常に高いパフォーマンスを提供し、使いやすく、複雑さがなく、大量のトラフィックを処理する多数の大規模導入で実証されているということを思い出してください。 このプロジェクトは 2015 年から開発が進められており、監査を受けており、 使用される暗号化方式。 WireGuard のサポートはすでに NetworkManager と systemd に統合されており、カーネル パッチは基本ディストリビューションに含まれています 、Mageia、Alpine、Arch、Gentoo、OpenWrt、NixOS、 и .
WireGuard は、暗号化キー ルーティングの概念を使用します。これには、各ネットワーク インターフェイスに秘密キーを添付し、それを使用して公開キーをバインドすることが含まれます。 SSH と同様の方法で接続を確立するために公開キーが交換されます。 ユーザー空間で別のデーモンを実行せずにキーをネゴシエートして接続するには、Noise_IK メカニズムを使用します。 SSHでauthorized_keysを維持するのと似ています。 データ送信は、UDP パケットのカプセル化によって実行されます。 自動クライアント再構成により、接続を切断せずに VPN サーバーの IP アドレスの変更 (ローミング) をサポートします。
暗号化用 ストリーム暗号 およびメッセージ認証アルゴリズム (MAC) 、ダニエル・バーンスタインによってデザインされました ()、ターニャ・ランゲ
(ターニャ・ランゲ)とピーター・シュワーベ。 ChaCha20 と Poly1305 は、AES-256-CTR と HMAC のより高速で安全な類似物として位置付けられており、そのソフトウェア実装により、特別なハードウェア サポートを使用せずに固定実行時間を達成できます。 共有秘密鍵を生成するために、実装では楕円曲線 Diffie-Hellman プロトコルが使用されます。 、これもダニエル・バーンスタインによって提案されました。 ハッシュ化に使用されるアルゴリズムは、 .
出所: オープンネット.ru