Windows용 WireGuard VPN 및 WireGuardNT 1.0 출시

WireGuard VPN 개발자인 Jason A. Donenfeld는 Windows 1.0용 WireGuard 클라이언트 소프트웨어의 첫 번째 주요 버전과 WireGuardNT 1.0 드라이버(포트 포함)를 출시했습니다. VPN Windows 10 및 11 커널용 WireGuard는 AMD64, x86 및 ARM64 아키텍처를 지원합니다. Windows 커널 구성 요소 코드는 GPLv2 라이선스에 따라, 클라이언트 소프트웨어는 MIT 라이선스에 따라 배포됩니다.

이 포트는 Linux 커널용 WireGuard 메인 구현의 코드베이스를 기반으로 하며, Windows 커널 엔티티와 NDIS 네트워크 스택을 사용하도록 변환되었습니다. 사용자 공간에서 실행되고 Wintun 네트워크 인터페이스를 사용하는 wireguard-go 구현과 비교하여 WireGuardNT는 컨텍스트 스위치를 제거하고 패킷 내용을 커널에서 사용자 공간으로 복사함으로써 성능을 크게 향상시킵니다. Linux, OpenBSD 및 FreeBSD 구현과 마찬가지로 WireGuardNT의 모든 프로토콜 처리 로직은 네트워크 스택 수준에서 직접 실행됩니다.

버전 1.0은 여러 문제를 해결하고 다음과 같은 의도된 작업을 완료한 중요한 이정표로 기록되었습니다. 드라이버 상태를 예약된 필드에 저장하는 보안성이 떨어지는 방식과 문서화되지 않은 오프셋 사용 대신 NdisWdfGetAdapterContextFromAdapterHandle() 함수를 사용한 점, 시스템 호출 가로채기를 통해 MTU(최대 전송 단위) 크기를 정확하고 신속하게 추적한 점, 코드에 C23 표준을 적용한 점 등이 이에 해당합니다.

VPN WireGuard는 최신 암호화 방식을 기반으로 구현되었으며, 매우 높은 성능을 제공하고, 사용하기 쉽고, 복잡하지 않으며, 대량의 트래픽을 처리하는 여러 대규모 구현에서 우수한 성능을 입증했다는 점을 상기시켜드립니다. 이 프로젝트는 2015년부터 개발되어 왔으며, 사용된 암호화 방법에 대한 감사와 공식 검증을 거쳤습니다. WireGuard는 키 기반 암호화 라우팅 개념을 사용하는데, 이는 각 네트워크 인터페이스에 개인 키를 연결하고 바인딩에는 공개 키를 사용하는 것을 포함합니다.

연결을 설정하기 위한 공개 키 교환은 SSH와 유사합니다. 사용자 공간에서 별도의 데몬을 실행하지 않고 키를 협상하고 연결하기 위해, SSH의 authorized_keys 관리 방식과 유사하게 Noise 프로토콜 프레임워크의 Noise_IK 메커니즘이 사용됩니다. 데이터 전송은 UDP 패킷으로 캡슐화되어 이루어집니다. 변경도 지원됩니다. IP 주소 VPN 서버(로밍)는 연결 끊김 없이 자동 클라이언트 재구성 기능을 제공합니다.

암호화에는 Daniel J. Bernstein, Tanja Lange, Peter Schwabe가 개발한 ChaCha20 스트림 암호와 Poly1305 메시지 인증 알고리즘(MAC)을 사용합니다. ChaCha20과 Poly1305는 AES-256-CTR 및 HMAC의 더 빠르고 안전한 아날로그로 자리매김했으며, 이를 소프트웨어로 구현하면 특별한 하드웨어 지원을 사용하지 않고도 고정된 실행 시간을 달성할 수 있습니다. 공유 비밀 키를 생성하기 위해, Daniel Bernstein이 제안한 Curve25519 구현에서는 Elliptic Curve Diffie-Hellman 프로토콜이 사용됩니다. 해싱에는 BLAKE2s(RFC7693) 알고리즘이 사용됩니다.

출처 : opennet.ru