WireGuard huet zënter kuerzem vill Opmierksamkeet gewonnen, tatsächlech ass et den neie Stär ënner VPNs. Awer ass hien sou gutt wéi hien schéngt? Ech wéilt e puer Beobachtungen diskutéieren an d'Ëmsetzung vu WireGuard iwwerpréiwen fir z'erklären firwat et keng Léisung ass fir IPsec oder OpenVPN ze ersetzen.
An dësem Artikel géif ech gären e puer vun de Mythen debunkéieren [ronderëm WireGuard]. Jo, et wäert laang daueren fir ze liesen, also wann Dir net selwer eng Taass Téi oder Kaffi gemaach hutt, dann ass et Zäit et ze maachen. Ech wëll och dem Peter Merci soen fir meng chaotesch Gedanken ze korrigéieren.
Ech setzen mir net d'Zil fir d'Entwéckler vu WireGuard ze diskreditéieren, hir Efforten oder Iddien ze devaluéieren. Hir Produkt funktionnéiert, awer perséinlech mengen ech datt et komplett anescht presentéiert gëtt wéi et wierklech ass - et gëtt als Ersatz fir IPsec an OpenVPN presentéiert, déi tatsächlech einfach elo net existéieren.
Als Notiz wëll ech derbäisetzen datt d'Verantwortung fir esou Positionéierung vu WireGuard bei de Medien läit, déi doriwwer geschwat hunn, an net de Projet selwer oder seng Creatoren.
Et gouf zënter kuerzem net vill gutt Neiegkeeten iwwer de Linux Kernel. Also, mir goufen iwwer déi monstréis Schwachstelle vum Prozessor erzielt, déi vu Software ausgeglach goufen, an de Linus Torvalds huet doriwwer ze rudely a langweileg geschwat, an der utilitarescher Sprooch vum Entwéckler. E Scheduler oder en Null-Niveau Netzwierkstack sinn och net ganz kloer Themen fir glänzend Zäitschrëften. An hei kënnt WireGuard.
Op Pabeier kléngt et alles super: eng spannend nei Technologie.
Mä loosst eis et e bësse méi genau kucken.
WireGuard wäiss Pabeier
Dësen Artikel baséiert op geschriwwen vum Jason Donenfeld. Do erkläert hien d'Konzept, Zweck an technesch Ëmsetzung vum [WireGuard] am Linux Kernel.
Den éischte Saz liest:
WireGuard […] zielt souwuel IPsec an de meeschte Benotzungsfäll an aner populär Benotzerraum an / oder TLS-baséiert Léisungen wéi OpenVPN ze ersetzen wärend se méi sécher, performant a méi einfach ze benotzen [Tool].
Natierlech ass den Haaptvirdeel vun all neien Technologien hir einfach ze maachen [am Verglach mat Virgänger]. Awer e VPN sollt och sinn effikass a sécher.
Also, wat ass nächst?
Wann Dir seet datt dëst net ass wat Dir braucht [vun engem VPN], da kënnt Dir d'Liesen hei ofschléissen. Wéi och ëmmer, ech bemierken datt sou Aufgaben fir all aner Tunneltechnologie gesat ginn.
Déi interessantst vun den uewe genannten Zitat läit an de Wierder "an de meeschte Fäll", déi natierlech vun der Press ignoréiert goufen. An dofir si mir do wou mir opgehalen hunn wéinst dem Chaos, deen duerch dës Noléissegkeet erstallt gouf - an dësem Artikel.
Wäert WireGuard meng [IPsec] Site-to-Site VPN ersetzen?
Nee. Et gëtt einfach keng Chance datt grouss Ubidder wéi Cisco, Juniper an anerer WireGuard fir hir Produkter kafen. Si "sprangen net op d'passéierend Zich" ënnerwee, ausser et ass e grousse Besoin fir dat ze maachen. Méi spéit wäert ech iwwer e puer vun de Grënn goen firwat se wahrscheinlech net fäeg sinn hir WireGuard Produkter u Bord ze kréien och wa se wollten.
Wäert WireGuard meng RoadWarrior vu mengem Laptop an den Rechenzentrum huelen?
Nee. De Moment huet WireGuard net eng riesech Unzuel vu wichtege Funktiounen implementéiert fir datt et fäeg ass sou eppes ze maachen. Zum Beispill kann et net dynamesch IP Adressen op der Säit vum Tunnelserver benotzen, an dëst eleng brécht de ganzen Szenario vun esou Benotzung vum Produkt.
IPFire gëtt dacks fir bëlleg Internetverbindunge benotzt, wéi DSL oder Kabelverbindungen. Dëst mécht Sënn fir kleng oder mëttel Entreprisen déi keng séier Faser brauchen. [Notiz vum Iwwersetzer: Vergiesst net datt wat d'Kommunikatioun ugeet, Russland an e puer CIS Länner wäit virun Europa an den USA sinn, well mir ugefaang hunn eis Netzwierker vill méi spéit opzebauen a mat der Optriede vun Ethernet a Glasfaser Netzwierker als eng Standard, et war méi einfach fir eis opzebauen. An deene selwechte Länner vun der EU oder den USA ass xDSL Breetbandaccess mat enger Geschwindegkeet vun 3-5 Mbps nach ëmmer déi allgemeng Norm, an eng Glasfaserverbindung kascht e puer onrealistesch Suen no eise Standarden. Dofir schwätzt den Auteur vum Artikel vun DSL oder Kabelverbindung als Norm, an net antik Zäiten.] Wéi och ëmmer, DSL, Kabel, LTE (an aner drahtlose Zougangsmethoden) hunn dynamesch IP Adressen. Natierlech, heiansdo änneren se net oft, mä si änneren.
Et gëtt en Ënnerprojet genannt , deen e Userspace Daemon bäidréit fir dëse Mängel ze iwwerwannen. E grousse Problem mam Benotzerszenario uewen beschriwwen ass d'Verschlechterung vun der dynamescher IPv6 Adresséierung.
Aus der Siicht vum Distributeur gesäit dat alles och net ganz gutt aus. Ee vun den Designziler war de Protokoll einfach a propper ze halen.
Leider ass dat alles eigentlech ze einfach a primitiv ginn, sou datt mir zousätzlech Software musse benotzen fir datt dee ganzen Design am richtege Gebrauch liewensfäeg ass.
Ass WireGuard sou einfach ze benotzen?
Nach net. Ech soen net datt WireGuard ni eng gutt Alternativ wäert sinn fir tëscht zwee Punkten ze tunneléieren, awer fir de Moment ass et just eng Alpha Versioun vum Produkt dat et soll sinn.
Awer wat mécht hien dann eigentlech? Ass IPsec wierklech sou vill méi schwéier ze erhalen?
Natierlech net. Den IPsec Verkeefer huet dëst geduecht a verschéckt hire Produkt zesumme mat enger Interface, sou wéi mat IPFire.
Fir e VPN-Tunnel iwwer IPsec opzestellen, braucht Dir fënnef Sätz vun Donnéeën, déi Dir braucht fir an d'Konfiguratioun anzeginn: Är eege ëffentlech IP Adress, déi ëffentlech IP Adress vun der Empfangs Partei, d'Subnets déi Dir ëffentlech wëllt maachen duerch dës VPN Verbindung a Pre-gedeelt Schlëssel. Also ass de VPN bannent Minutten ageriicht an ass kompatibel mat all Verkeefer.
Leider ginn et e puer Ausnahmen zu dëser Geschicht. Jiddereen deen probéiert huet iwwer IPsec op eng OpenBSD Maschinn ze tunnelen weess vu wat ech schwätzen. Et ginn e puer méi schmerzhafte Beispiller, awer tatsächlech ginn et vill, vill méi gutt Praktiken fir IPsec ze benotzen.
Iwwert Protokoll Komplexitéit
Den Endbenotzer muss sech keng Suergen iwwer d'Komplexitéit vum Protokoll maachen.
Wa mir an enger Welt gelieft hunn, wou dëst e richtege Bedenken vum Benotzer war, da wiere mir scho laang SIP, H.323, FTP an aner Protokoller, déi viru méi wéi zéng Joer erstallt goufen, déi net gutt mat NAT funktionnéieren.
Et gi Grënn firwat IPsec méi komplex ass wéi WireGuard: et mécht vill méi Saachen. Zum Beispill, Benotzer Authentifikatioun mat engem Login / Passwuert oder eng SIM Kaart mat EAP. Et huet eng erweidert Fäegkeet fir nei ze addéieren .
An WireGuard huet dat net.
An dëst bedeit datt WireGuard iergendwann briechen, well ee vun de kryptographesche Primitiven schwächt oder komplett kompromittéiert gëtt. Den Auteur vun der technescher Dokumentatioun seet dëst:
Et ass derwäert ze notéieren datt WireGuard kryptographesch Meenung ass. Et feelt bewosst d'Flexibilitéit vu Chifferen a Protokoller. Wann sérieux Lächer an ënnerierdesch Primitiv fonnt ginn, mussen all Endpunkte aktualiséiert ginn. Wéi Dir aus dem lafende Stroum vu SLL / TLS Schwachstelle kënnt gesinn, ass d'Flexibilitéit vun der Verschlësselung elo enorm eropgaang.
De leschte Saz ass absolut richteg.
Konsens erreechen iwwer wéi eng Verschlësselung ze benotzen mécht Protokoller wéi IKE an TLS более komplex. Ze komplizéiert? Jo, Schwachstelle sinn zimlech heefeg an TLS / SSL, an et gëtt keng Alternativ zu hinnen.
Op Ignoréiere vun real Problemer
Stellt Iech vir datt Dir e VPN Server mat 200 Kampf Clienten iergendwou ronderëm d'Welt hutt. Dëst ass e zimlech Standard Benotzungsfall. Wann Dir d'Verschlësselung ännere musst, musst Dir den Update op all Exemplare vu WireGuard op dësen Laptops, Smartphones, etc. Gläichzäiteg liwweren. Et ass wuertwiertlech onméiglech. Administrateuren probéieren dëst ze maachen wäert Méint daueren fir déi erfuerderlech Konfiguratiounen z'installéieren, an et wäert wuertwiertlech eng mëttelgrouss Firma daueren fir sou en Event ofzezéien.
IPsec an OpenVPN bidden eng Chiffer Verhandlungsfunktioun. Dofir, fir eng Zäit, no deem Dir déi nei Verschlësselung aktivéiert, funktionnéiert déi al. Dëst erlaabt aktuell Clienten op déi nei Versioun Upgrade. Nodeems den Update ausgerullt ass, schalt Dir einfach déi vulnérabel Verschlësselung aus. An dat ass et! Fäerdeg! du bass wonnerschéin! Clienten wäerten et net emol bemierken.
Dëst ass tatsächlech e ganz allgemenge Fall fir grouss Deployementer, a souguer OpenVPN huet e puer Schwieregkeeten mat dësem. Réckkompatibilitéit ass wichteg, an och wann Dir méi schwaach Verschlësselung benotzt, fir vill ass dëst kee Grond fir e Geschäft zouzemaachen. Well et wäert d'Aarbecht vun Honnerte vu Clienten paralyséieren wéinst der Onméiglechkeet hir Aarbecht ze maachen.
D'WireGuard Team huet hire Protokoll méi einfach gemaach, awer komplett onbenotzbar fir Leit déi keng konstant Kontroll iwwer béid Peer an hirem Tunnel hunn. A menger Erfahrung ass dëst den allgemengste Szenario.
Kryptographie!
Awer wat ass dës interessant nei Verschlësselung déi WireGuard benotzt?
WireGuard benotzt Curve25519 fir Schlësselaustausch, ChaCha20 fir Verschlësselung a Poly1305 fir Datenauthentifikatioun. Et funktionnéiert och mat SipHash fir Hash-Schlësselen a BLAKE2 fir Hashing.
ChaCha20-Poly1305 ass standardiséiert fir IPsec an OpenVPN (iwwer TLS).
Et ass evident datt d'Entwécklung vum Daniel Bernstein ganz dacks benotzt gëtt. BLAKE2 ass den Nofolger vum BLAKE, e SHA-3 Finalist deen net gewonnen huet wéinst senger Ähnlechkeet zu SHA-2. Wann SHA-2 gebrach ginn, et war eng gutt Chance dass BLAKE och kompromittéiert ginn.
IPsec an OpenVPN brauche SipHash net wéinst hirem Design. Also déi eenzeg Saach, déi am Moment net mat hinnen benotzt ka ginn ass BLAKE2, an dat ass nëmme bis et standardiséiert ass. Dëst ass net e groussen Nodeel, well VPNs HMAC benotzen fir Integritéit ze kreéieren, wat als eng staark Léisung ugesi gëtt och a Verbindung mat MD5.
Also sinn ech zur Conclusioun komm datt bal deeselwechte Set vu kryptographesche Tools an all VPNs benotzt gëtt. Dofir ass WireGuard net méi oder manner sécher wéi all aner aktuellt Produkt wann et ëm d'Verschlësselung oder d'Integritéit vun den iwwerdroenen Donnéeë kënnt.
Mä och dëst ass net déi wichtegst Saach, déi opmierksam ze bezuelen no der offizieller Dokumentatioun vum Projet ass. No all, ass den Haapt Saach Vitesse.
Ass WireGuard méi séier wéi aner VPN Léisungen?
Kuerz gesot: nee, net méi séier.
ChaCha20 ass e Stream Chiffer dee méi einfach ass a Software ëmzesetzen. Et verschlësselt e bësse gläichzäiteg. Blockprotokoller wéi AES verschlësselen e Block 128 Bits gläichzäiteg. Vill méi Transistoren sinn erfuerderlech fir Hardware-Ënnerstëtzung ëmzesetzen, sou datt méi grouss Prozessoren mat AES-NI kommen, eng Instruktiouns-Verlängerung déi e puer vun den Aufgaben vum Verschlësselungsprozess ausféiert fir et ze beschleunegen.
Et gouf erwaart datt AES-NI ni op Smartphones géif kommen [awer et huet - ca. per.]. Dofir gouf de ChaCha20 als liicht, Batteriespuerend Alternativ entwéckelt. Dofir kann et als Neiegkeet fir Iech kommen datt all Smartphone, deen Dir haut kaafen, eng Aart AES Beschleunigung huet a méi séier a mat manner Stroumverbrauch mat dëser Verschlësselung leeft wéi mat ChaCha20.
Selbstverständlech, bal all Desktop / Server Prozessor kaaft an de leschte Joren huet AES-NI.
Dofir erwaarden ech datt AES ChaCha20 an all eenzelnen Szenario besser mécht. D'offiziell Dokumentatioun vum WireGuard erwähnt datt mat AVX512 ChaCha20-Poly1305 AES-NI iwwerpréift, awer dës Instruktiouns-Set-Extensioun wäert nëmmen op gréisser CPUs verfügbar sinn, wat erëm net mat méi kleng a méi mobil Hardware hëlleft, déi ëmmer méi séier mat AES wäert sinn - N.I.
Ech sinn net sécher ob dëst während der Entwécklung vu WireGuard virausgesi wier, awer haut ass d'Tatsaach datt et eleng un d'Verschlësselung nagelt ass schonn en Nodeel deen seng Operatioun net ganz gutt beaflosst.
IPsec erlaabt Iech fräi ze wielen wéi eng Verschlësselung am Beschten fir Äre Fall ass. An natierlech ass dëst noutwendeg wann Dir zum Beispill 10 oder méi Gigabyte vun Daten iwwer eng VPN Verbindung wëllt transferéieren.
Integratiounsprobleemer am Linux
Obwuel WireGuard e modernen Verschlësselungsprotokoll gewielt huet, bréngt dat scho vill Problemer. An dofir, anstatt dat ze benotzen wat vum Kernel aus der Këscht ënnerstëtzt gëtt, ass d'Integratioun vu WireGuard fir Joer verspéit wéinst dem Mangel vun dëse Primitiven am Linux.
Ech sinn net ganz sécher op wat d'Situatioun op anere Betribssystemer ass, awer et ass wahrscheinlech net vill anescht wéi op Linux.
Wéi gesäit d'Realitéit aus?
Leider, all Kéier wann e Client mech freet eng VPN-Verbindung fir si opzestellen, ginn ech op d'Fro datt se verouderte Umeldungsinformatiounen a Verschlësselung benotzen. 3DES a Verbindung mat MD5 ass nach ëmmer üblech Praxis, sou wéi AES-256 an SHA1. An och wann dat lescht liicht besser ass, ass dëst net eppes wat am Joer 2020 benotzt soll ginn.
Fir Schlësselaustausch ëmmer RSA gëtt benotzt - e luesen awer zimlech sécher Tool.
Meng Clientë si mat Zollautoritéiten an aner Regierungsorganisatiounen an Institutiounen verbonnen, wéi och mat grousse Firmen, deenen hir Nimm op der ganzer Welt bekannt sinn. Si benotzen all eng Ufroform déi viru Joerzéngte geschaf gouf, an d'Fäegkeet fir SHA-512 ze benotzen ass einfach ni bäigefüügt. Ech kann net soen datt et iergendwéi kloer den technologesche Fortschrëtt beaflosst, awer selbstverständlech verlangsamt et de Firmeprozess.
Et deet mech schmerzhaf dëst ze gesinn, well IPsec huet elliptesch Kéiren offhand ënnerstëtzt zënter dem Joer 2005. Curve25519 ass och méi nei a verfügbar fir ze benotzen. Et ginn och Alternativen zu AES wéi Camellia an ChaCha20, awer selbstverständlech net all si vun grousse Verkeefer wéi Cisco an anerer ënnerstëtzt.
An d'Leit profitéieren dovun. Et gi vill Cisco Kits, et gi vill Kits entworf fir mat Cisco ze schaffen. Si sinn Maart Leader an dësem Segment a sinn net ganz interesséiert an all Zort vun Innovatioun.
Jo, d'Situatioun [am Firmensegment] ass schrecklech, awer mir wäerte keng Ännerunge gesinn wéinst WireGuard. Verkeefer wäert wahrscheinlech ni all Leeschtung Problemer mat der Tooling an Verschlësselung gesinn se scho benotzt, wäert keng Problemer mat IKEv2 gesinn, an dofir si sichen net fir Alternativen.
Am Allgemengen, hutt Dir schons geduecht Cisco opzeginn?
Benchmarks
An elo loosse mer op d'Benchmarks vun der WireGuard Dokumentatioun goen. Obwuel dës [Dokumentatioun] net e wëssenschaftlechen Artikel ass, hunn ech nach ëmmer erwaart datt d'Entwéckler eng méi wëssenschaftlech Approche huelen, oder eng wëssenschaftlech Approche als Referenz benotzen. All Benchmarks sinn nëtzlos wa se net reproduzéiert kënne ginn, an nach méi nëtzlos wann se am Labo kritt ginn.
Am Linux Build vu WireGuard profitéiert et vu GSO ze benotzen - Generic Segmentation Offloading. Dank him erstellt de Client e grousse Paket vu 64 Kilobytes a verschlësselt / entschlësselt et an engem Go. Also sinn d'Käschte fir d'Opruff an d'Ëmsetzung vun kryptografeschen Operatiounen reduzéiert. Wann Dir den Duerchgang vun Ärer VPN Verbindung wëllt maximéieren, ass dëst eng gutt Iddi.
Awer wéi gewinnt ass d'Realitéit net sou einfach. Sou e grousse Paket un en Netzadapter ze schécken erfuerdert et a vill méi kleng Pakete geschnidden ze ginn. Déi normal Sendgréisst ass 1500 Bytes. Dat ass, eise Riese vu 64 Kilobytes gëtt a 45 Päck opgedeelt (1240 Bytes vun Informatioun an 20 Bytes vum IP Header). Dann, fir eng Zäit, wäerte se d'Aarbecht vum Netzadapter komplett blockéieren, well se mussen zesummen an op eemol geschéckt ginn. Als Resultat wäert dëst zu engem Prioritéitsprang féieren, a Pakete wéi VoIP, zum Beispill, ginn an der Schlaang gesat.
Also ass den héijen Duerchgang, deen WireGuard sou fett behaapt, erreecht gëtt op Käschte fir d'Vernetzung vun aneren Uwendungen ze verlangsamen. An d'WireGuard Team ass schonn dëst ass meng Conclusioun.
Mee loosst eis weidergoen.
No de Benchmarks an der technescher Dokumentatioun weist d'Verbindung en Duerchgang vun 1011 Mbps.
Impressionant.
Dëst ass besonnesch beandrockend wéinst der Tatsaach datt de maximalen theoreteschen Duerchgang vun enger eenzeger Gigabit Ethernet Verbindung 966 Mbps ass mat enger Paketgréisst vun 1500 Bytes minus 20 Bytes fir den IP Header, 8 Bytes fir den UDP Header an 16 Bytes fir den Header vun de WireGuard selwer. Et gëtt e méi IP Header am verschlësselte Paket an en aneren am TCP fir 20 Bytes. Also wou koum dës extra Bandbreedung hier?
Mat grousse Frames an de Virdeeler vum GSO, iwwer déi mir hei uewen geschwat hunn, wier den theoreteschen Maximum fir eng Framegréisst vun 9000 Bytes 1014 Mbps. Normalerweis ass esou Duerchsatz an der Realitéit onerreechbar, well et mat grousse Schwieregkeeten assoziéiert ass. Also kann ech nëmmen dovun ausgoen, datt den Test mat nach méi décke iwwerdimensionéierte Frames vun 64 Kilobytes mat engem theoreteschen Maximum vun 1023 Mbps gemaach gouf, wat nëmme vun e puer Netzwierkadapter ënnerstëtzt gëtt. Mä dëst ass absolut net applicabel an real Konditiounen, oder kann nëmmen tëscht zwou direkt verbonne Statiounen benotzt ginn, exklusiv bannent der Testbank.
Awer well de VPN Tunnel tëscht zwee Hosten weidergeleet gëtt mat enger Internetverbindung déi guer net Jumbo Frames ënnerstëtzt, kann d'Resultat op der Bank net als Benchmark geholl ginn. Dëst ass einfach eng onrealistesch Labo Erreeche, déi onméiglech an inapplicabel an real Kampf Konditiounen ass.
Och am Rechenzentrum souz, konnt ech keng Frames méi grouss wéi 9000 Bytes transferéieren.
De Critère vun der Anwendbarkeet am richtege Liewen ass absolut verletzt an, wéi ech mengen, den Auteur vun der "Messung" huet sech aus offensichtleche Grënn eescht diskreditéiert.
Leschte Glanz vun Hoffnung
D'WireGuard Websäit schwätzt vill iwwer Container an et gëtt kloer fir wat et wierklech geduecht ass.
En einfachen a séiere VPN dee keng Konfiguratioun erfuerdert a ka mat massiven Orchestertools wéi Amazon an hirer Cloud ofgesat a konfiguréiert ginn. Speziell benotzt Amazon déi lescht Hardware Features, déi ech virdru gesot hunn, sou wéi den AVX512. Dëst gëtt gemaach fir d'Aarbecht ze beschleunegen an net un x86 oder all aner Architektur gebonnen ze ginn.
Si optimiséieren Duerchgang a Pakete méi grouss wéi 9000 Bytes - dëst wäerte rieseg encapsuléiert Frames sinn fir Container fir mateneen ze kommunizéieren, oder fir Backup-Operatiounen, Snapshots erstellen oder déiselwecht Container ofsetzen. Och dynamesch IP Adressen beaflossen net d'Operatioun vum WireGuard op iergendeng Manéier am Fall vum Szenario dat ech beschriwwen hunn.
Gudd gespillt. Brilliant Ëmsetzung a ganz dënn, bal Referenzprotokoll.
Awer et passt just net an enger Welt ausserhalb vun engem Datenzenter, deen Dir komplett kontrolléiert. Wann Dir de Risiko hëlt a ufänkt WireGuard ze benotzen, musst Dir konstante Kompromëss am Design an Ëmsetzung vum Verschlësselungsprotokoll maachen.
Konklusioun
Et ass einfach fir mech ze schléissen datt WireGuard nach net fäerdeg ass.
Et gouf als liicht a séier Léisung fir eng Zuel vu Probleemer mat existente Léisunge konzipéiert. Leider, fir dës Léisungen, huet hien vill Funktiounen geaffert, déi fir déi meescht Benotzer relevant sinn. Dofir kann et IPsec oder OpenVPN net ersetzen.
Fir datt WireGuard kompetitiv gëtt, muss et op d'mannst eng IP Adress Astellung an eng Routing an DNS Konfiguratioun derbäi ginn. Natierlech ass dat wat verschlësselte Kanäl fir sinn.
Sécherheet ass meng Haaptprioritéit, a grad elo hunn ech kee Grond ze gleewen datt IKE oder TLS iergendwéi kompromittéiert oder gebrach ass. Modern Verschlësselung gëtt an deenen zwee ënnerstëtzt, a si goufen duerch Joerzéngte vun Operatioun bewisen. Just well eppes méi nei ass heescht net datt et besser ass.
Interoperabilitéit ass extrem wichteg wann Dir mat Drëtte kommunizéiert, deenen hir Statiounen Dir net kontrolléiert. IPsec ass den de facto Standard a gëtt bal iwwerall ënnerstëtzt. An hien schafft. An egal wéi et ausgesäit, an der Theorie, WireGuard an der Zukunft kann net kompatibel sinn och mat verschiddene Versioune vu sech selwer.
All kryptographesche Schutz gëtt fréier oder spéider gebrach a muss deementspriechend ersat oder aktualiséiert ginn.
All dës Fakten ze verleegnen an blann WireGuard ze benotzen fir Ären iPhone mat Ärer Heemechtsstatioun ze verbannen ass just eng Meeschterklass fir Äre Kapp an de Sand ze stiechen.
Source: will.com