маанилүү VPN релиз , негизги өзөгүндө WireGuard компоненттерин жеткирүү белгиленген жана енугууну стабилдештируу. Код Linux ядросуна киргизилген Мындай аудиттерге адистешкен көз карандысыз компания тарабынан аткарылган кошумча коопсуздук аудити. Текшерүүдө эч кандай көйгөйлөр аныкталган жок.
WireGuard азыр негизги Linux ядросунда иштелип жаткандыктан, дистрибьюторлор жана колдонуучулар үчүн ядронун эски версияларын колдонууну улантуу үчүн репозиторий даярдалды. . Репозиторий камтылган WireGuard кодун жана эски өзөктөр менен шайкештикти камсыз кылуу үчүн compat.h катмарын камтыйт. Иштеп чыгуучуларга мүмкүнчүлүк болуп, колдонуучуларга муктаж болуп турганда, патчтардын өзүнчө версиясы жумушчу формада колдоого алынары белгиленген. Учурдагы түрүндө, WireGuardдын өз алдынча версиясын ядролор менен колдонсо болот и , жана ошондой эле Linux ядролору үчүн тактар катары жеткиликтүү и . Arch, Gentoo жана сыяктуу акыркы ядролорду колдонуу менен бөлүштүрүү
Fedora 32 5.6 ядро жаңыртуу менен WireGuard колдоно алат.
Негизги иштеп чыгуу процесси азыр репозиторийде жүргүзүлөт , ал Wireguard долбоорунан өзгөртүүлөр менен толук Linux өзөк дарагын камтыйт. Бул репозиторийдин патчтары негизги ядрого киргизүү үчүн каралып, үзгүлтүксүз таза/нет-кийинки бутактарына түртүлөт. wg жана wg-quick сыяктуу колдонуучу мейкиндигинде иштеген утилиталарды жана скрипттерди иштеп чыгуу репозиторийде жүзөгө ашырылат. , бөлүштүрүүдө пакеттерди түзүү үчүн колдонулушу мүмкүн.
Эскерте кетсек, VPN WireGuard заманбап шифрлөө ыкмаларынын негизинде ишке ашырылган, өтө жогорку өндүрүмдүүлүктү камсыз кылат, колдонууга оңой, татаалдыктарсыз жана чоң көлөмдөгү трафикти иштеткен бир катар ири жайылтууларда өзүн далилдеген. Долбоор 2015-жылдан бери иштеп келе жатат, аудиттен өткөн жана шифрлөө ыкмалары колдонулат. WireGuard колдоосу мурунтан NetworkManager жана systemd менен интеграцияланган, ал эми ядро патчтары базалык бөлүштүрүүгө киргизилген , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard ар бир тармак интерфейсине купуя ачкычты тиркөөнү жана аны ачык ачкычтарды байланыштыруу үчүн колдонууну камтыган шифрлөө ачкычын багыттоо концепциясын колдонот. Коомдук ачкычтар SSHге окшош жол менен байланыш түзүү үчүн алмашылган. Ачкычтарды сүйлөшүү жана колдонуучу мейкиндигинде өзүнчө демонду иштетпестен туташуу үчүн Noise_IK механизминен SSHда авторизацияланган_ачкычтарды сактоого окшош. Маалыматтарды берүү UDP пакеттеринде инкапсуляция аркылуу ишке ашырылат. Ал автоматтык кардарды кайра конфигурациялоо менен байланышты үзбөстөн VPN серверинин (роуминг) IP дарегин өзгөртүүнү колдойт.
Шифрлөө үчүн агым шифри жана билдирүүнүн аныктыгын текшерүү алгоритми (MAC) , Дэниел Бернштейн тарабынан иштелип чыккан (), Таня Ланге
(Таня Ланге) жана Питер Швабе. ChaCha20 жана Poly1305 AES-256-CTR жана HMAC тезирээк жана коопсуз аналогдору катары жайгаштырылган, программалык камсыздоону ишке ашыруу атайын аппараттык колдоону колдонбостон, белгиленген аткаруу убактысына жетүүгө мүмкүндүк берет. Жалпы жашыруун ачкычты түзүү үчүн, ишке ашырууда эллиптикалык ийри Диффи-Хеллман протоколу колдонулат. , ошондой эле Даниел Бернштейн тарабынан сунушталган. хэшдөө үчүн колдонулган алгоритм болуп саналат .
Эски астында Performance WireGuard OpenVPN (HMAC-SHA3.9-3.8 менен 256-бит AES) менен салыштырганда 2 эсе жогору өткөрүү жөндөмдүүлүгүн жана 256 эсе жогору жооп кайтарууну көрсөттү. IPsec (256-бит ChaCha20+Poly1305 жана AES-256-GCM-128) менен салыштырганда, WireGuard бир аз майнаптуулугун (13-18%) жана төмөнкү күтүү мөөнөтүн (21-23%) көрсөтөт. Долбоордун веб-сайтында жарыяланган тесттин натыйжалары WireGuardдын эски өз алдынча ишке ашырылышын камтыйт жана жетишсиз жогорку сапат катары белгиленет. Сыноодон бери WireGuard жана IPsec коду дагы оптималдаштырылган жана азыр ылдамыраак. Ядрого интеграцияланган ишке ашырууну камтыган толук тестирлөө азырынча жүргүзүлө элек. Бирок, WireGuard дагы эле IPsecтен көп ырааттуулуктан улам кээ бир учурларда ашып кетет, ал эми OpenVPN абдан жай бойдон калууда.
Source: opennet.ru