Дэвид Миллер (), Linux ядросының желілік ішкі жүйесіне жауапты, желі-келесі филиалға жобадан VPN интерфейсін енгізумен . Келесі жылдың басында нет-келесі тармақта жинақталған өзгерістер Linux ядросының 5.6 шығарылымына негіз болады.
WireGuard кодын негізгі ядроға итеру әрекеттері соңғы бірнеше жылда жасалды, бірақ өнімділікті жақсарту үшін пайдаланылған криптографиялық функциялардың меншікті іске асыруларына байланысты болғандықтан сәтсіз болды. Бастапқыда бұл функциялар болды ядро үшін стандартты Crypto API ауыстыра алатын қосымша төменгі деңгейлі Zinc API ретінде.
Kernel Recipes конференциясындағы талқылаулардан кейін WireGuard жасаушылар қыркүйек айында WireGuard әзірлеушілерінің өнімділік және жалпы қауіпсіздік саласындағы шағымдары бар ядрода қол жетімді Crypto API пайдалану үшін патчтарды тасымалдаңыз. Zinc API әзірлеуді жалғастыру туралы шешім қабылданды, бірақ жеке жоба ретінде.
Қараша айында ядроны әзірлеушілер ымыраға жауап ретінде және кодтың бір бөлігін Цинктен негізгі ядроға ауыстыруға келісті. Негізінде, кейбір Цинк құрамдастары ядроға жылжытылады, бірақ жеке API ретінде емес, Crypto API ішкі жүйесінің бөлігі ретінде. Мысалы, Crypto API қазірдің өзінде WireGuard бағдарламасында дайындалған ChaCha20 және Poly1305 алгоритмдерін жылдам енгізу.
WireGuard-тың алдағы жеткізіліміне байланысты жобаның негізін қалаушы репозиторийді қайта құрылымдау туралы. Әзірлеуді жеңілдету үшін оқшаулану үшін жасалған монолитті «WireGuard.git» репозиторийі негізгі ядродағы кодпен жұмысты ұйымдастыруға қолайлы үш бөлек репозиторийге ауыстырылады:
- - Wireguard жобасынан өзгерістері бар толық ядро ағашы, оның патчтары ядроға қосу үшін қаралып, жүйелі түрде желі/нет-келесі тармақтарға тасымалданатын болады.
- - wg және wg-quick сияқты пайдаланушы кеңістігінде орындалатын утилиталар мен сценарийлердің репозиторийі. Репозиторийді тарату үшін бумаларды жасау үшін пайдалануға болады.
- - ескі ядролармен үйлесімділікті қамтамасыз ету үшін ядродан бөлек жеткізілетін және compat.h қабатын қамтитын модуль нұсқасы бар репозиторий. Негізгі әзірлеу wireguard-linux.git репозиторийінде жүзеге асырылады, бірақ пайдаланушылар арасында мүмкіндік пен қажеттілік болғанша, патчтардың жеке нұсқасы да жұмыс түрінде қолдау көрсетілетін болады.
Естеріңізге сала кетейік, VPN WireGuard заманауи шифрлау әдістері негізінде жүзеге асырылады, өте жоғары өнімділікті қамтамасыз етеді, пайдалану оңай, асқынуларсыз және трафиктің үлкен көлемін өңдейтін бірқатар ірі орналастыруларда өзін дәлелдеді. Жоба 2015 жылдан бері дамып келеді, аудиттен өтті және шифрлау әдістері қолданылады. WireGuard қолдауы қазірдің өзінде NetworkManager және systemd жүйесіне біріктірілген және ядролық патчтар негізгі дистрибутивтерге қосылған. , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard шифрлау кілтін бағыттау тұжырымдамасын пайдаланады, ол әрбір желі интерфейсіне жеке кілтті қосуды және оны ашық кілттерді байланыстыру үшін пайдалануды қамтиды. Ашық кілттер SSH-ге ұқсас жолмен байланыс орнату үшін алмасады. Пайдаланушы кеңістігінде жеке демонды іске қоспай-ақ кілттерді келіссөздер және қосылу үшін Noise_IK механизмі SSH жүйесінде авторизацияланған_кілттерді сақтауға ұқсас. Деректерді беру UDP пакеттерінде инкапсуляция арқылы жүзеге асырылады. Ол VPN серверінің (роуминг) IP мекенжайын қосылымды ажыратпай және клиентті автоматты түрде қайта конфигурациялаусыз өзгертуді қолдайды.
Шифрлау үшін ағындық шифр және хабарламаның аутентификация алгоритмі (MAC) , Дэниел Бернштейн әзірлеген (), Таня Ланге
(Таня Ланге) және Питер Швабе. ChaCha20 және Poly1305 AES-256-CTR және HMAC жылдам және қауіпсіз аналогтары ретінде орналастырылған, бағдарламалық қамтамасыз етуді іске асыру арнайы аппараттық қолдауды қолданбай-ақ бекітілген орындау уақытына қол жеткізуге мүмкіндік береді. Ортақ құпия кілтті генерациялау үшін жүзеге асыруда эллиптикалық қисық Диффи-Хеллман протоколы қолданылады. , сонымен қатар Даниэль Бернштейн ұсынған. Хэштеу үшін қолданылатын алгоритм .
жанында Performance WireGuard OpenVPN (HMAC-SHA3.9-3.8 бар 256 биттік AES) салыстырғанда 2 есе жоғары өткізу қабілеттілігін және 256 есе жоғары жауап беру қабілетін көрсетті. IPsec (256-биттік ChaCha20+Poly1305 және AES-256-GCM-128) салыстырғанда, WireGuard өнімділігінің аздап жақсарғанын (13-18%) және кідірістің төмендеуін (21-23%) көрсетеді. Сынақтар жоба әзірлеген шифрлау алгоритмдерін жылдам енгізу арқылы орындалды - ядроның стандартты Crypto API-ге көшіру нашар өнімділікке әкелуі мүмкін.
Ақпарат көзі: opennet.ru