Dziļi sirdī Linux 5.6 iespējots VPN WireGuard

Šodien Linuss pārcēla sev tīkla nākamo filiāli ar VPN saskarnēm WireGuard. Par šo notikumu сообщили adresātu sarakstā WireGuard.

Pašlaik notiek koda vākšana jaunajam kodolam. Linux 5.6. WireGuard — ātrs, nākamās paaudzes VPN, kas ievieš modernu kriptogrāfiju. Sākotnēji tas tika izstrādāts kā vienkāršāka un ērtāka alternatīva esošajiem VPN. To izstrādāja Kanādas informācijas drošības speciālists Džeisons A. Donenfelds. 2018. gada augustā WireGuard saņēma uzslavas No Linusa Torvalda. Ap to laiku sākās darbs pie VPN iekļaušanas kodolā. LinuxProcess aizņēma nedaudz ilgāku laiku.

"Redzu, ka Džeisons iesniedza pieprasījumu iekļaut WireGuard "kodolā," Linus rakstīja 2018. gada 2. augustā. "Vai varu vēlreiz apliecināt savu mīlestību pret šo VPN un cerēt uz ātru apvienošanu? Kods varbūt nav perfekts, bet esmu to apskatījis un salīdzinājis ar šausmām OpenVPN un IPSec, tas ir īsts mākslas darbs."

Neskatoties uz Linusa vēlmi, apvienošanās ievilkās pusotru gadu. Galvenā problēma izrādījās saistīta ar patentētu kriptogrāfijas funkciju ieviešanu, kas tika izmantota veiktspējas uzlabošanai. Pēc ilgām sarunām 2019. gada septembrī tā arī bija tika pieņemts kompromisa lēmums tulkot ielāpus uz kodolā pieejamajām Crypto API funkcijām, kurām izstrādātājiem ir piekļuve WireGuard Bija dažas sūdzības par veiktspēju un vispārējo drošību. Taču vietējās kriptogrāfijas funkcijas atrisināja problēmu. WireGuard atdalīt zema līmeņa Zinc API un laika gaitā pārnest tos uz kodolu. Novembrī kodola izstrādātāji turēja savu solījumu un vienojās pārsūtīt daļu koda no cinka uz galveno kodolu. Piemēram, Crypto API iekļauts sagatavots WireGuard ChaCha20 un Poly1305 algoritmu ātra ieviešana.

Visbeidzot, 2019. gada 9. decembrī Deivids S. Millers, kurš ir atbildīgs par kodola tīklošanas apakšsistēmu, Linux, pieņemts uz tīklu-nākamo filiāli ielāpus ar VPN saskarnes ieviešanu no projekta WireGuard.

Un šodien, 29. gada 2020. janvārī, izmaiņas tika iekļautas Linusā, lai tās iekļautu kodolā.

Pieprasītie ieguvumi WireGuard salīdzinājumā ar citiem VPN risinājumiem:

• Ērti lietojams.
• Izmanto modernu kriptogrāfiju: Noise protokolu ietvars, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF u.c.
• Kompakts, lasāms kods, vieglāk izmeklēt ievainojamības.
• Augsta veiktspēja.
• Skaidrs un izstrādāts specifikācija.

Visa pamata loģika WireGuard aizņem mazāk nekā 4000 koda rindiņu, turpretī OpenVPN un IPSec ir simtiem tūkstošu rindu.

"IEKŠĀ WireGuard Tiek izmantota šifrēšanas atslēgas maršrutēšanas koncepcija, kas ietver privātās atslēgas piesaisti katrai tīkla saskarnei un tās izmantošanu publiskās atslēgas saistīšanai. Publiskās atslēgas tiek apmainītas, lai izveidotu savienojumu līdzīgi kā SSH. Lai vienotos par atslēgām un izveidotu savienojumu, nepalaižot atsevišķu dēmonu lietotāja telpā, tiek izmantots Noise_IK mehānisms no Trokšņa protokola sistēmalīdzīgi kā Author_keys uzturēšana SSH. Datu pārraide tiek veikta, iekapsulējot UDP paketēs. Tas atbalsta VPN servera IP adreses maiņu (viesabonēšana), neatvienojot savienojumu ar automātisku klienta pārkonfigurāciju, - raksta Opennet.

Šifrēšanai lietots straumes šifrs ChaCha20 un ziņojumu autentifikācijas algoritms (MAC) Poly1305, dizains Daniels Bernsteins (Daniels J. Bernsteins), Tanja Lange un Pīters Švābe. ChaCha20 un Poly1305 ir pozicionēti kā ātrāki un drošāki AES-256-CTR un HMAC analogi, kuru programmatūras ieviešana ļauj sasniegt fiksētu izpildes laiku, neizmantojot īpašu aparatūras atbalstu. Lai ģenerētu koplietotu slepeno atslēgu, ieviešanā tiek izmantots eliptiskās līknes Difija-Helmana protokols Curve25519, ko ierosinājis arī Daniels Bernsteins. Jaukšanai izmantotais algoritms ir BLAKE2s (RFC7693)'.

rezultātus veiktspējas testi no oficiālās vietnes:

Joslas platums (megabits/s)


Ping (ms)

Testa konfigurācija:

• Intel Core i7-3820QM un Intel Core i7-5200U
• Gigabit kartes Intel 82579LM un Intel I218LM
• Linux 4.6.1
• Konfigurācija WireGuard256 bitu ChaCha20 ar Poly1305 MAC operētājsistēmai
• Pirmā IPsec konfigurācija: 256 bitu ChaCha20 ar Poly1305 MAC
• Otrā IPsec konfigurācija: AES-256-GCM-128 (ar AES-NI)
• Konfigurācija OpenVPN: līdzvērtīgs 256 bitu AES šifru komplekts ar HMAC-SHA2-256, UDP režīmu
• Veiktspēja tika mērīta, izmantojot iperf3, parāda vidējo rezultātu 30 minūšu laikā.

Teorētiski, pēc integrācijas tīkla kaudzē WireGuard vajadzētu darboties vēl ātrāk. Taču patiesībā tas ne vienmēr tā notiks, jo tiek pāriets uz Crypto API iebūvētajām kriptogrāfiskajām funkcijām. Iespējams, ka ne visas no tām vēl ir optimizētas atbilstoši vietējās versijas veiktspējas līmenim. WireGuard.

"No mana viedokļa, WireGuard Tas ir absolūti ideāli piemērots lietotājam. Specifikācijā tiek ņemti vērā visi zemākā līmeņa lēmumi, tāpēc tipiskas VPN infrastruktūras iestatīšana aizņem tikai dažas minūtes. Konfigurāciju praktiski nav iespējams sabojāt. писали Habrē 2018. gadā. — Uzstādīšanas process sīki aprakstīts oficiālajā vietnē es vēlētos atsevišķi atzīmēt izcilo OpenWRT atbalsts. Šī koda bāzes lietošanas vienkāršība un kompaktums tika panākts, novēršot atslēgu izplatīšanu. Nav sarežģītas sertifikātu sistēmas un visas šīs korporatīvās šausmas; īsās šifrēšanas atslēgas tiek izplatītas līdzīgi kā SSH atslēgas.

Projekts WireGuard tiek izstrādāta kopš 2015. gada, tā ir auditēta un formāla pārbaudeAtbalsts WireGuard integrēts NetworkManager un systemd, un kodola ielāpi ir iekļauti pamata izplatījumos Debian Nestabila, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph un ALT.

Avots: www.habr.com