VPN WireGuard는 net-next 브랜치에 승인되었으며 Linux 5.6 커널에 포함될 예정입니다.

데이비드 밀러(데이비드 S. 밀러), Linux 커널의 네트워킹 하위 시스템을 담당합니다. 받아 들였다. net-next 지점으로 패치 프로젝트의 VPN 인터페이스 구현으로 와이어 가드. 내년 초 net-next 브랜치에 누적된 변경 사항은 Linux 커널 5.6 출시의 기반이 될 것입니다.

WireGuard 코드를 메인 커널에 푸시하려는 시도는 지난 몇 년 동안 이루어졌지만 성능 향상을 위해 사용된 암호화 기능의 독점 구현과 연결되어 성공하지 못했습니다. 처음에는 이러한 기능이 제안 커널의 경우 추가 저수준 Zinc API로 사용되며 결국 표준 Crypto API를 대체할 수 있습니다.

Kernel Recipes 컨퍼런스에서 논의한 후 XNUMX월 WireGuard 제작자는 절충 결정을 내렸다 WireGuard 개발자가 성능 및 일반 보안 분야에서 불만을 제기하는 코어에서 사용 가능한 Crypto API를 사용하려면 패치를 전송하십시오. Zinc API를 계속 개발하기로 결정했지만 별도의 프로젝트로 진행했습니다.

XNUMX월, 커널 개발자 가자 타협에 대한 대응으로 코드의 일부를 Zinc에서 메인 커널로 전송하는 데 동의했습니다. 기본적으로 일부 아연 구성 요소는 코어로 이동되지만 별도의 API가 아닌 Crypto API 하위 시스템의 일부로 이동됩니다. 예를 들어, Crypto API는 이미 포함 된 WireGuard에서 준비된 ChaCha20 및 Poly1305 알고리즘을 빠르게 구현합니다.

메인 코어에 WireGuard가 곧 제공될 예정인 프로젝트 창립자 объявил 저장소 재구성에 대해 개발을 단순화하기 위해 독립적으로 존재하도록 설계된 모놀리식 "WireGuard.git" 저장소는 기본 커널의 코드 작업을 구성하는 데 더 적합한 세 개의 별도 저장소로 대체됩니다.

• wireguard-linux.git - Wireguard 프로젝트의 변경 사항이 포함된 완전한 커널 트리, 커널에 포함하기 위해 검토되고 정기적으로 net/net-next 분기로 전송되는 패치입니다.
• wireguard-tools.git - wg 및 wg-quick과 같은 사용자 공간에서 실행되는 유틸리티 및 스크립트를 위한 저장소입니다. 저장소를 사용하여 배포용 패키지를 만들 수 있습니다.
• wireguard-linux-compat.git - 커널과 별도로 제공되고 이전 커널과의 호환성을 보장하기 위해 compat.h 레이어를 포함하는 모듈 변형이 있는 저장소입니다. 주요 개발은 wireguard-linux.git 저장소에서 수행될 예정이지만, 사용자들 사이에 기회와 필요성이 있는 한 별도의 패치 버전도 작업 형태로 지원될 것입니다.

VPN WireGuard는 최신 암호화 방법을 기반으로 구현되고 매우 높은 성능을 제공하며 사용하기 쉽고 복잡하지 않으며 대량의 트래픽을 처리하는 여러 대규모 배포에서 입증되었습니다. 이 프로젝트는 2015년부터 개발되어 감사를 받았으며, 정식 검증 사용된 암호화 방법. WireGuard 지원은 이미 NetworkManager 및 systemd에 통합되어 있으며 커널 패치는 기본 배포판에 포함되어 있습니다. 데비안 불안정, 마게이아, 알파인, 아치, 젠투, OpenWrt, NixOS, 하위 그래프 и ALT.

WireGuard는 각 네트워크 인터페이스에 개인 키를 연결하고 이를 사용하여 공개 키를 바인딩하는 암호화 키 라우팅 개념을 사용합니다. SSH와 유사한 방식으로 공개 키를 교환하여 연결을 설정합니다. 사용자 공간에서 별도의 데몬을 실행하지 않고 키를 협상하고 연결하려면 다음의 Noise_IK 메커니즘을 사용하세요. 노이즈 프로토콜 프레임워크SSH에서 Authorized_keys를 유지하는 것과 유사합니다. 데이터 전송은 UDP 패킷의 캡슐화를 통해 수행됩니다. 연결을 끊지 않고 클라이언트를 자동으로 재구성하지 않고 VPN 서버의 IP 주소 변경(로밍)을 지원합니다.

암호화를 위해 사용 된 스트림 암호 ChaCha20 및 메시지 인증 알고리즘(MAC) Poly1305, 다니엘 번스타인(Daniel Bernstein)이 디자인한다니엘 J. 번스타인), 타냐 랭
(Tanja Lange) 및 Peter Schwabe. ChaCha20 및 Poly1305는 AES-256-CTR 및 HMAC의 더 빠르고 안전한 아날로그로 자리 잡았으며, 소프트웨어 구현을 통해 특별한 하드웨어 지원을 사용하지 않고도 고정된 실행 시간을 달성할 수 있습니다. 공유 비밀 키를 생성하기 위해 타원 곡선 Diffie-Hellman 프로토콜이 구현에 사용됩니다. 커브 25519, Daniel Bernstein도 제안했습니다. 해싱에 사용되는 알고리즘은 다음과 같습니다. BLAKE2(RFC7693).

에 테스트 성능 WireGuard는 OpenVPN(HMAC-SHA3.9-3.8을 사용하는 256비트 AES)에 비해 2배 더 높은 처리량과 256배 더 높은 응답성을 보여주었습니다. IPsec(256비트 ChaCha20+Poly1305 및 AES-256-GCM-128)과 비교하여 WireGuard는 약간의 성능 향상(13-18%)과 더 낮은 대기 시간(21-23%)을 보여줍니다. 테스트는 프로젝트에서 개발한 암호화 알고리즘의 빠른 구현을 사용하여 수행되었습니다. 커널의 표준 Crypto API로 전송하면 성능이 저하될 수 있습니다.

출처 : opennet.ru