WireGuard nuper multam operam adeptus est, re vera inter VPNs stella nova est. Sed estne ille quantus videtur? Animadversiones nonnullas disputare velim, et ad exsecutionem WireGuard recensere, ad explicandum cur solutio IPsec vel OpenVPN restitui non sit.
In hoc articulo vellem quasdam fabulas debunk [circa WireGuard]. Etiam longum tempus erit legere, si ergo te calicem tea aut capulus non fecisti, tempus est facere. Velim etiam gratias Petro dicere de mea tenebrarum corrigendarum cogitatione.
Non proposui propositum vituperandi tincidunt WireGuard, eorum conatus seu ideas augendi. Eorum productum laborat, sed personaliter ipsum puto exhiberi omnino diversum ab eo quod est - ut substitutio IPsec et OpenVPN exhibetur, quod revera nunc simpliciter non est.
Ut nota, addere vellem responsabilitatem huiusmodi positionis WireGuard positam cum instrumentis quae de eo loquebatur, et non ipsum consilium vel creatores eius.
Non multum bonum nuntium de Linux nucleo nuper fuit. Itaque de monstrosa vulnerabilitates processus, quae programmate aequatae erant, nobis nuntiatum est, et Linus Torvalds de ea nimis inclementer et odiose locutus est in lingua gymnasii utilitaria. Schedule vel in ACERVUS ACERVUS ACERVUS non sunt etiam argumenta clarissima pro horreis nitidis. Et hic venit WireGuard.
In charta, omnia magna sonat: excitans novas technologias.
Sed inspiciamus paulo propius.
WireGuard charta alba
Hoc articulum fundatur scripsit Jason Donenfeld. Ibi conceptum, propositum ac technicam exsecutionem in Linux nucleo explicat.
Prima sententia legit:
WireGuard […] intendit reponere utrumque IPsec in pluribus casibus utentibus et aliis usoris popularibus et/vel TLS solutionibus innixum ut OpenVPN dum securior, facienda et facilior utendi.
Utique praecipuum commodum omnium novarum technologiarum eorum est simplicitas [ad decessores]. Sed VPN etiam esse debet agentibus et incolumem.
So, Quid ergo?
Si dixeris hoc non esse quod opus est, tunc hic legere potes. Tamen notabo talia negotia quaevis alia technologia cuniculis destinata.
Plurimum interest horum verborum in verbis "in pluribus", quae, utique, a praelo neglecta sunt. Et sic, ubi nos ob chaos ab hac negligentia creato confecti sumus — in hoc articulo.
Will WireGuard restituo meum [IPsec] situm ut-site VPN?
Nec. Nihil aliud est facultas quam magnas venditores Cisco, Iuniper et alii WireGuard mercabuntur pro fructibus suis. Non "siliunt impedimenta in praetereuntes" in motu, nisi magnae necessitatis est. Postea aliquas causas transgrediar cur probabiliter WireGuard non poterunt eorum producta in tabula etiam si vellent.
WireGuard voluntatem meam accipies RoadWarrior ex laptop ad Mauris interdum?
Nec. Nunc, WireGuard non habet ingentem numerum notarum praecipuarum ad effectum adducendi ut aliquid simile hoc facere possit. Exempli gratia, inscriptionibus dynamicis IP in cuniculo servientis uti non potest, et hoc solum totum missionis talis usus fructus frangit.
IPFire saepe ponitur pro nexus interretiali vilis, ut DSL vel funis nexus. Hoc sensum facit pro parvis vel mediis negotiis quae fibra celeriter non indigent. [Nota ab interprete: noli oblivisci in communicationis terminis Russiae et nonnullis nationibus CIS Europam et Civitates Americae Unitas esse longe antecedere, quod retiacula nostra multo serius aedificare coepimus et adveniente Ethernet et retiacula optica fibra vexillum nos reficere facilius erat. In iisdem terris EU vel USA, xDSL latitudinis accessus ad celeritatem 3-5 Mbps adhuc norma generalis est, et nexus opticus fibra nonnullam pecuniam univocum nostris signis constat. Ideo auctor articulum loquitur de nexu DSL vel cable ut norma, et non antiquo tempore.] Nihilominus, DSL, cable, LTE (ac aliis modi accessi wireless) dynamicas litteras IP habent. Utique interdum non mutantur saepe, sed mutantur.
Est subproject dicitur qui addit daemonem usoris ad hunc defectum superandum. Ingens problema cum missione usoris supra descripto aggravatio dynamici IPv6 appellandi est.
Ex parte distribuentis, haec omnia non valde bona sunt. Una pars consiliorum proposita erat ut protocollum simplex et mundum servare.
Infeliciter, haec omnia nimis simplicia et primitiva facta sunt, ut programmate addito utendum sit ut hoc totum consilium in usu reali viabile sit.
Estne WireGuard tam facile uti?
Nondum. Non dico WireGuard numquam bene esse in duobus punctis cuniculis, sed nunc solum alpha versio producti suus esse putatur.
Sed quid tunc facit? Estne IPsec revera multo difficilius conservare?
Patet non. IPsec venditor de hac re cogitavit et naves suas productas cum interface, ut apud IPFire.
Ut VPN cuniculum super IPsec erigas, quinque notitiarum copia opus erit quae in configurationem ingredi debebis: tua publica IP oratio, publica IP oratio partis receptionis, vasa quae vis divulgare per hoc VPN nexus et clavis prae-partitus. Ita, VPN intra minuta constituitur et cum aliquo venditore compatitur.
Infeliciter, paucae exceptiones huic fabulae sunt. Omnis qui cuniculum super IPsec temptavit ad machinae OpenBSD scit quid loquor. Sunt duo exempla acerbiora, sed re vera multa, plura bona exercitia pro usu IPsec.
De protocollo multiplicitate
Finis usor de multiplicitate protocolli solliciti non habet.
Si in mundo viximus, ubi haec vera cura utentis erat, tum nos iam pridem solvissemus HAUSTUS, H.323, FTP et alia protocolla plus decem annos creata quae cum NAT.
Rationes sunt quare IPsec est complexior quam WireGuard: multum facit plura. Exempli causa, authenticas usoris utens login / password vel SIM card cum EAP. Non habet facultatem addere novam .
Et WireGuard non habet.
Idque significat WireGuard in aliquo puncto frangere, quod unus e primitivis cryptographicis debilitet vel omnino decipiatur. Auctor documentorum technicorum hoc dicit:
Notatu dignum est quod WireGuard cryptographice opinatur. Consulto defectus notarum et protocolla caret. Si gravia foramina in primitivis subiectis reperiuntur, omnes fines renovari debebunt. Ut videre potes e rivo permanente vulnerabilitates SLL/TLS, flexibilitas encryptionis iam notabiliter aucta est.
Ultima sententia absolute recta est.
Consensus attingens quod encryption utendi facit protocols sicut IKE et TLS more complexus. Nimis complicata? Ita, vulnerabilitates sunt satis communes in TLS/SSL, et nulla earum alternatio est.
Neglecta realis problems
Finge te habere VPN servitorem cum 200 clientibus pugnare alicubi circa mundum. Haec satis vexillum usus causa est. Si encryptionem mutare debes, renovationem omnibus exemplaribus WireGuard tradere debes in laptop his, smartphones, et sic deinceps. simul libera. Proprie est impossibile. Magistratus hoc facere conantur, ut menses ad certas figuras explicandas capient, et litteram accipiet annos modicam societatem ad tale eventum detrahendum.
IPsec et OpenVPN notas tractatum pluma offerunt. Ergo aliquandiu post quam novam encryptionem converteris, vetus etiam opus erit. Hoc permittit clientes currentes ad novam versionem upgrade. Post renovationem evolvam, solum encryptionem vulnerabilem averte. Id et est! Paratus! pulcherrima es! Etiam clientes non animadvertunt.
Est re vera valde communis casus in magnis inceptis, et etiam OpenVPN difficultatem cum hoc habet. Retrorsum compatibilitas interest, et licet encryption uteris debilioribus, pro multis, non est ratio negotii claudendi. Quia opus centenariorum clientium impediet propter impotentiam ad suum officium faciendum.
Manipulus WireGuard simpliciorem suum protocollum fecit, sed omnino inutile est hominibus qui in cuniculo utrumque pares non habent constantem potestatem. Apud me experientia, haec missionis frequentissima est.
Cryptography!
Sed quid est hoc studium novum encryption quod WireGuard utitur?
WireGuard utitur Curve25519 pro clavis commutationis, ChaCha20 pro encryptione et Poly1305 pro notitia authentica. Etiam apud SipHash laborat pro clauis detrahendis et BLAKE2 pro hashing.
ChaCha20-Poly1305 normatum est pro IPsec et OpenVPN (super TLS).
Manifestum est Danielis Bernstein progressionem saepissime adhibitam esse. BLAKE2 successor est Blake, qui SHA-3 finalistus propter similitudinem cum SHA-2 non impetravit. Si SHA-2 frangeretur, fortuna erat ut BLAKE etiam suspectus esset.
IPsec et OpenVPN SipHash ex consilio suo non indigent. Restat ergo, ut cum illis adhiberi non potest, BLAKE2 est, et id solum donec suus normatum est. Hoc incommodum magnum non est, quia VPNs utuntur HMAC ad integritatem creandam, quae fortis solutio etiam coniuncta cum MD5.
Itaque in conclusionem venio eadem fere instrumenta instrumentorum cryptographicorum in omnibus VPNs adhibitis. Itaque, WireGuard non plus minusve securum est quam alia quaevis producta currentis cum encryption vel integritas transmissarum notitiarum advenit.
Sed ne hoc quidem maximi momenti est, quod operae pretium est ad documenta documenta pertinere. Ceterum summa celeritas est.
Estne WireGuard velocior quam aliae solutiones VPN?
Denique: non, non velocius.
ChaCha20 rivus cipher est qui in programmate facilior efficiatur. Encrypts unum frenum ad tempus. Protocolla protocolla sicut AES encrypt truncum 128 bits ad tempus. Multo plures transistores ad ferramentaria subsidia deducendi requiruntur, quo maiores processus cum AES-NI veniunt, institutio extensionis quae aliqua officia processus encryptionis perficit ad illud accelerandum.
Expectabatur AES-NI nunquam in Suspendisse potenti [sed fecit — approx. imper.]. Ad hoc, ChaCha20 quasi leve pondus, alterutrius pugna salutaris erat. Propterea, ut tibi nuntius veniat, omnem felis quam emere potes hodie habet aliquam quandam accelerationem AES et velocius et cum inferiori potentia consummatio cum hac encryptione quam cum ChaCha20.
Patet, sicut de singulis escritorio/serviente processus in proximis duobus annis emit AES-NI.
Itaque expecto AES in omnibus singulis missionibus ChaCha20 exsequi. Documenta officialis WireGuard commemorat quod cum AVX512, ChaCha20-Poly1305 AES-NI praeferent, sed haec extensionis institutio tantum in amplioribus CPUs praesto erit, quae iterum non adiuvabit cum ferramentis minoribus et mobilioribus, quae semper velocius erit cum AES. - N.I.
Pro certo non sum si hoc praevideri potuerit in progressione WireGuard, sed hodie quod in sola encryptione affixum est, iam est incommodum quod suam operationem bene non afficit.
IPsec permittit ut libere eligat quod encryption pro tua causa optimum est. Et sane, hoc necessarium est si, exempli gratia, 10 vel plures gigabytes notitiarum per nexum VPN transferre voles.
Integrationes quaestiones in Linux
Etsi WireGuard modernam encryptionem protocollo elegit, hoc iam multum difficultates causat. Itaque, pro utendo nucleo ex archa fulciendo, integratio WireGuard per annos propter defectum horum primitivarum in Linux morata est.
Non satis certum habeo quid sit res in aliis systematibus operantibus, sed verisimile est non multum differre quam in Linux.
Quid re simile?
Infeliciter, quoties clientis rogat ut nexum illis VPN instituat, in exitum curro ut documentorum iamnonum et encryption utantur. 3DES coniuncti adhuc cum MD5 usu communi, ut sunt AES-256 et SHA1. Et quamvis haec paulo melior sit, non tamen aliquid 2020 utendum est.
Nam clavis commutationem semper RSA adhibetur - instrumentum lentum sed satis tutum.
Clientes mei sunt cum consuetudinibus auctoritatibus et aliis Institutis et institutis regiminis, nec non cum magnis collegiis quorum nomina toto orbe nota sunt. Omnes forma petitionis uti ante decenniis creata est, et facultas utendi SHA-512 simpliciter numquam addita est. Dicere non possum quod aliquo modo clare afficit progressum technologicum, sed plane tardat processum corporatum.
Hoc me videre piget, quia IPsec curvas ellipticas procul ab anno 2005 sustentavit. Curve25519 etiam recentior est et usui prompta. Sunt etiam alternativa AES sicut Camellia et ChaCha20, sed non omnes constat maioribus venditoribus sicut Cisco et alii.
Commodum et populus eum. Multa kits Cisco sunt, multae kites cum Cisco laborantes destinati sunt. Mercatores sunt in hac portione duces et in omni innovatione non sunt valde interested.
Situs [in segmento corporato] terribilis est, sed mutationes nullas propter WireGuard videbimus. Venditores verisimiliter numquam videbunt quaestiones perficiendas cum instrumento et encryptione utentes iam, quaestiones cum IKEv2 non videbunt, et sic alternativam non quaerunt.
Fere umquam cogitasti de Cisco deserendo?
Benchmarks
Et nunc transeamus ad probationes a documentis WireGuard. Quamvis hoc articulum scientificum non sit, exspectabam tamen tincidunt ut aditus magis scientificus acciperet vel ut relationem quandam scientificam adhiberet. Probationes quaevis inutilia sunt si reproduci nequeunt, et magis inutilia cum in officina obtinentur.
In aedificatione Linux de WireGuard, commodum GSO - Genericae Segmentationis Offloading adiuvat. Gratias ei, cliens ingentem fasciculum 64 chiliobytarum et encryptarum / decryptarum in uno ite creat. Sic, sumptus invocandi et exsequendi operationes cryptographicae reducitur. Si vis maximize VPN nexum perput tuum, haec est bona idea.
Sed, ut solet, res non ita simplex. Talem fasciculum mittens ad adaptatorem retis postulat ut in plures fasciculos minores incidendus sit. Moles mitte normali 1500 bytes est. Id est, gigas noster de 64 kilobytis in 45 fasciculos dividetur (1240 bytes of information and 20 bytes of the IP header). Tum ad tempus, totum opus adaptoris retis obstruent, quia simul et simul mittendae sunt. Quam ob rem haec deducet ad prioritatem saltum, et facis ut VoIP, exempli gratia, amet.
Ita princeps throughput quod WireGuard tam audacter affirmat effectum esse cum damno retardationis aliarum applicationum. Et iam dolor WireGuard hoc est conclusionem meam.
Sed abeamus.
Secundum benchmarks in documentis technicis, nexus perputum de 1011 Mbps ostendit.
Grave.
Hoc praecipue gravissimum est ex eo quod maximum theoreticum per modum eterneti unius nexus est 966 Mbps cum fasciculo quantitatis 1500 bytes minus 20 bytes pro IP header, 8 bytes pro UDP header et 16 bytes pro capite of ipsum WireGuard. Unum caput IP est in fasciculo encapsulato, et alius in TCP pro XX bytes. Sed ubi hoc extra venire?
Cum ingentes tabulas et utilitates GSO supra diximus, maximum theoreticum pro replo magnitudinis 9000 bytes esset 1014 Mbps. Plerumque talis throughput re esse non potest, quia cum magnis difficultatibus coniungitur. Hoc modo supponere possum quod probatio fiebat utens etiam pinguioribus tabulis structuris 64 kilobytarum cum maximo theoretico 1023 Mbps, quod solum ab aliquibus adaptoribus retis sustinetur. Sed hoc omnino negari nequit in realibus conditionibus, vel adhiberi potest tantum inter duas stationes directe connexas, solum intra scamnum test.
Sed cum VPN cuniculum inter duas exercituum utentes nexum interretialem transmittantur quae omnino tabulas jumbo non sustinet, effectus in consilio capi non potest pro Probatio. Haec effectio laboratorium univocum simpliciter est impossibilis et inexplicabilis in condiciones pugnae reales.
Etiam sedens in centrum datae tabulas maiores quam 9000 bytes transferre non potui.
Criterium applicabilitatis in vita reali absolute violatur et, ut opinor, auctor "mensurae" graviter deformavit se ob evidentes causas.
Ultima spe LUMEN
Website WireGuard de vasis multum loquitur et patefacit quid vere destinatum sit.
Simplex et velox VPN, quod nulla conformatione indiget et explicari et configurari potest cum instrumentis massivis orchestration, sicut Amazon in nube sua. Speciatim, Amazon utitur features ultimas ferrarias quas supra memoravi, sicut AVX512. Hoc fit ut acceleraretur opus et non ligatur ad x86 vel alia architectura.
Optime perputant et fasciculos maiores quam 9000 bytes - hae ingentes erunt compages encapsulae pro vasis inter se communicandi, vel ad operationes tergum, snapshots creandi vel easdem continentes explicandi. Etiam IP oratio dynamica operationem WireGuard nullo modo afficiet in casu missionis quam descripsi.
Bene lusit. Praeclara exsecutio et tenuissima, protocollum fere referentia.
Sed in mundo extra centrum datorum non convenit quod omnino refrenat. Si periculum susceperis et utens WireGuard incipe, necesse erit ut constantes compromissationes in consilio et exsecutione protocolli encryptionis facere debebis.
conclusio,
Facile est mihi concludere WireGuard nondum paratum esse.
Conceptum est ut leve et velox solutio plurium problematum solutionum exsistentium. Infeliciter, propter has solutiones multas notas immolavit quae maxime usoribus pertinebunt. quam ob rem IPsec vel OpenVPN reponere non potest.
Ut WireGuard ut competitive fiat, addere debet saltem occasum IP oratio et fusa et DNS configurationem. Patet, quod encrypted canales sunt.
Securitas mea summo prioritate est, et nunc nullam habeo causam ut credam IKE vel TLS aliquo modo suspectum vel fractum esse. Moderna encryption in utroque sustinetur, et operationis decenniis probatum est. Sicut quod aliquid novius est, non vult illud melius.
Interoperabilitas magni momenti est cum communicas cum tribus partibus quarum stationes non moderaris. IPsec vexillum de facto est et fere ubique sustentatur. et operatur. Et quantumvis spectat, in doctrina WireGuard in futuro non compatitur etiam cum variis versionibus sui ipsius.
Quaevis tutela cryptographica citius aut serius frangitur et ideo restitui vel renovari debet.
Haec omnia negantes et temere uti WireGuard volentes coniungere cum iPhone ad domum tuam operibus tuis est iustus magister classis in capite tuo in arena haerens.
Source: www.habr.com