WireGuard "მოვა" Linux-ის ბირთვში - რატომ?

ივლისის ბოლოს, WireGuard VPN გვირაბის დეველოპერებმა შესთავაზეს პატჩის ნაკრები, რაც მათ VPN გვირაბის პროგრამულ უზრუნველყოფას Linux-ის ბირთვის ნაწილად აქცევს. თუმცა „იდეის“ განხორციელების ზუსტი თარიღი უცნობია. ჭრილის ქვემოთ ჩვენ უფრო დეტალურად ვისაუბრებთ ამ ხელსაწყოს შესახებ.

/ ფოტო ტამბაკო იაგუარი CC

მოკლედ პროექტის შესახებ

WireGuard არის შემდეგი თაობის VPN გვირაბი, რომელიც შეიქმნა ჯეისონ ა. დონენფელდის, Edge Security-ის აღმასრულებელი დირექტორის მიერ. პროექტი შემუშავდა როგორც გამარტივებული და OpenVPN-ისა და IPsec-ის სწრაფი ალტერნატივა. პროდუქტის პირველი ვერსია შეიცავდა კოდის მხოლოდ 4 ათას ხაზს. შედარებისთვის, OpenVPN-ს აქვს დაახლოებით 120 ათასი ხაზი, ხოლო IPSec - 420 ათასი.

წლის შესაბამისად დეველოპერები, WireGuard არის მარტივი კონფიგურაცია და პროტოკოლის უსაფრთხოება მიღწეული დადასტურებული კრიპტოგრაფიული ალგორითმების მეშვეობით. ქსელის შეცვლისას: Wi-Fi, LTE ან Ethernet საჭიროებს ხელახლა დაკავშირებას VPN სერვერთან ყოველ ჯერზე. WireGuard სერვერები არ წყვეტენ კავშირს, მაშინაც კი, თუ მომხმარებელმა მიიღო ახალი IP მისამართი.

იმისდა მიუხედავად, რომ WireGuard თავდაპირველად შეიქმნა Linux-ის ბირთვისთვის, დეველოპერები უვლიდა და Android მოწყობილობებისთვის ხელსაწყოს პორტატული ვერსიის შესახებ. აპლიკაცია ჯერ არ არის სრულად განვითარებული, მაგრამ შეგიძლიათ სცადოთ ახლავე. ამისთვის გჭირდებათ გახდი ერთ-ერთი ტესტერი.

ზოგადად, WireGuard საკმაოდ პოპულარულია და იყო კიდეც განხორციელდა რამდენიმე VPN პროვაიდერი, როგორიცაა Mullvad და AzireVPN. გამოქვეყნებულია ონლაინ დიდი რაოდენობით დაყენების სახელმძღვანელო ამ გადაწყვეტილებას. Მაგალითად, არის გიდები, რომლებიც შექმნილია მომხმარებლების მიერ და არის გიდები, მომზადებული პროექტის ავტორების მიერ.

ტექნიკური

В ოფიციალური დოკუმენტაცია (გვ. 18) აღნიშნულია, რომ WireGuard-ის გამტარუნარიანობა ოთხჯერ აღემატება OpenVPN-ს: 1011 Mbit/s წინააღმდეგ 258 Mbit/s შესაბამისად. WireGuard ასევე უსწრებს Linux IPsec-ის სტანდარტულ გადაწყვეტას - მას აქვს 881 მბიტი/წმ. ის ასევე აღემატება მას დაყენების სიმარტივეში.

გასაღებების გაცვლის შემდეგ (VPN კავშირი ინიციალიზებულია SSH-ის მსგავსად) და კავშირი დამყარდება, WireGuard დამოუკიდებლად ახორციელებს ყველა სხვა დავალებას: არ არის საჭირო მარშრუტიზაციის, მდგომარეობის კონტროლი და ა.შ. დამატებითი კონფიგურაციის მცდელობები მხოლოდ საჭიროა თუ გსურთ გამოიყენოთ სიმეტრიული დაშიფვრა.

/ ფოტო ანდერს ჰოიბიერგი CC

ინსტალაციისთვის დაგჭირდებათ დისტრიბუცია 4.1-ზე ძველი Linux ბირთვით. მისი ნახვა შესაძლებელია Linux-ის ძირითადი დისტრიბუციების საცავებში.

$ sudo add-apt-repository ppa:hda-me/wireguard
$ sudo apt update
$ sudo apt install wireguard-dkms wireguard-tools

როგორც xakep.ru-ს რედაქტორები აღნიშნავენ, წყაროს ტექსტებიდან თვითშეკრება ასევე მარტივია. საკმარისია ინტერფეისის გახსნა და საჯარო და პირადი გასაღებების გენერირება:

$ sudo ip link add dev wg0 type wireguard
$ wg genkey | tee privatekey | wg pubkey > publickey

WireGuard არ იყენებს ინტერფეისი კრიპტო პროვაიდერთან მუშაობისთვის კრიპტოაპი. ამის ნაცვლად, ნაკადის შიფრი გამოიყენება ChaCha20, კრიპტოგრაფიული იმიტაციური ჩანართი Poly1305 და საკუთრების კრიპტოგრაფიული ჰეშის ფუნქციები.

საიდუმლო გასაღები გენერირდება გამოყენებით დიფი-ჰელმანის პროტოკოლი ელიფსური მრუდის საფუძველზე Curve25519. ჰეშირებისას იყენებენ ჰეშის ფუნქციები ბლეიკი2 и SipHash. დროის ანაბეჭდის ფორმატის გამო TAI64N ამგვარად, პროტოკოლი უგულებელყოფს პაკეტებს უფრო მცირე დროის მნიშვნელობით DoS-ის პრევენცია и განმეორებითი შეტევები.

ამ შემთხვევაში, WireGuard იყენებს ioctl ფუნქციას I/O-ს გასაკონტროლებლად (ადრე გამოყენებული netlink), რაც კოდს უფრო სუფთა და მარტივს ხდის. ამის გადამოწმება შეგიძლიათ ნახვით კონფიგურაციის კოდი.

დეველოპერის გეგმები

ამ დროისთვის, WireGuard არის ხის ბირთვის მოდული. მაგრამ პროექტის ავტორი ჯეისონ დონენფელდია იგი საუბრობს, რომ დადგა ლინუქსის ბირთვში სრული განხორციელების დრო. რადგან ის უფრო მარტივი და საიმედოა, ვიდრე სხვა გადაწყვეტილებები. ჯეისონი ამ მხრივ მხარს უჭერს თვით ლინუს ტორვალდმაც კი უწოდა WireGuard კოდს "ხელოვნების ნაწარმოები".

მაგრამ არავინ საუბრობს WireGuard-ის ბირთვში დანერგვის ზუსტ თარიღებზე. და ძნელად ეს მოხდება აგვისტოს Linux ბირთვის 4.18 გამოშვებით. თუმცა, არსებობს შესაძლებლობა, რომ ეს მოხდეს უახლოეს მომავალში: 4.19 ან 5.0 ვერსიაში.

როდესაც WireGuard დაემატება ბირთვს, დეველოპერები მინდა დაასრულეთ აპლიკაცია Android მოწყობილობებისთვის და დაიწყეთ აპლიკაციის წერა iOS-ისთვის. ასევე იგეგმება Go and Rust-ში განხორციელების დასრულება და მათი პორტირება macOS-ზე, Windows-სა და BSD-ზე. ასევე იგეგმება WireGuard-ის დანერგვა უფრო „ეგზოტიკური სისტემებისთვის“: DPDK, FPGA, ისევე როგორც ბევრი სხვა საინტერესო რამ. ყველა მათგანი ჩამოთვლილია სამუშაოების სია პროექტის ავტორები.

PS კიდევ რამდენიმე სტატია ჩვენი კორპორატიული ბლოგიდან:

• Cloud ტექნოლოგიები ფინანსურ სექტორში: რუსული კომპანიების გამოცდილება
• დისკის სისტემის ტესტირება ღრუბელში
• რა იმალება ტერმინის მიღმა vCloud Director - შინაგანი სახე

ჩვენი საქმიანობის ძირითადი მიმართულებაა ღრუბლოვანი სერვისების მიწოდება:

ვირტუალური ინფრასტრუქტურა (IaaS) | PCI DSS ჰოსტინგი | ღრუბელი FZ-152 | SAP ჰოსტინგი | ვირტუალური საცავი | ღრუბელში მონაცემების დაშიფვრა | ღრუბლოვანი საცავი

წყარო: www.habr.com