NetBSD kodols pievieno atbalstu VPN WireGuard

NetBSD projektu izstrādātāji сообщили par wg draivera iekļaušanu ar WireGuard protokola ieviešanu galvenajā NetBSD kodolā. NetBSD kļuva par trešo OS pēc Linux un OpenBSD ar integrētu WireGuard atbalstu. Tiek piedāvātas arī saistītās komandas VPN konfigurēšanai - wg-keygen un wgconfig. Noklusētajā kodola konfigurācijā (GENERIC) draiveris vēl nav aktivizēts, un iestatījumos ir skaidri jānorāda “pseidoierīce wg”.

Turklāt var atzīmēt publikācija korektīvs atjauninājums Wireguard-tools 1.0.20200820 pakotnei, kurā ir iekļautas lietotāja vietas utilītas, piemēram, wg un wg-quick. Jaunais laidiens sagatavo IPC gaidāmajam WireGuard atbalstam FreeBSD operētājsistēmā. Dažādām platformām raksturīgais kods ir sadalīts dažādos failos. Systemd vienības failam ir pievienots komandas “reload” atbalsts, kas ļauj palaist tādas konstrukcijas kā “systemctl reload wg-quick at wgnet0”.

Atgādinām, ka VPN WireGuard ir ieviests uz modernu šifrēšanas metožu bāzes, nodrošina ļoti augstu veiktspēju, ir viegli lietojams, bez sarežģījumiem un ir pierādījis sevi vairākos lielos izvietojumos, kas apstrādā lielu trafika apjomu. Projekts tiek izstrādāts kopš 2015. gada, ir veikts audits un formāla pārbaude izmantotās šifrēšanas metodes. WireGuard atbalsts jau ir integrēts NetworkManager un systemd, un kodola ielāpi ir iekļauti bāzes izplatījumos Debian nestabils, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Apakšvirsraksts и ALT.

WireGuard izmanto šifrēšanas atslēgu maršrutēšanas koncepciju, kas ietver privātās atslēgas pievienošanu katram tīkla interfeisam un tās izmantošanu publisko atslēgu saistīšanai. Publiskās atslēgas tiek apmainītas, lai izveidotu savienojumu līdzīgi kā SSH. Lai vienotos par atslēgām un izveidotu savienojumu, nepalaižot atsevišķu dēmonu lietotāja telpā, Noise_IK mehānisms no Trokšņa protokola sistēmalīdzīgi kā Author_keys uzturēšana SSH. Datu pārraide tiek veikta, iekapsulējot UDP paketēs. Tā atbalsta VPN servera IP adreses maiņu (viesabonēšana), neatvienojot savienojumu ar automātisku klienta pārkonfigurāciju.

Šifrēšanai lietots straumes šifrs ChaCha20 un ziņojumu autentifikācijas algoritms (MAC) Poly1305, dizains Daniels Bernsteins (Daniels J. Bernsteins), Tanja Lange
(Tanja Lange) un Pīters Švābe. ChaCha20 un Poly1305 ir pozicionēti kā ātrāki un drošāki AES-256-CTR un HMAC analogi, kuru programmatūras ieviešana ļauj sasniegt fiksētu izpildes laiku, neizmantojot īpašu aparatūras atbalstu. Lai ģenerētu koplietotu slepeno atslēgu, ieviešanā tiek izmantots eliptiskās līknes Difija-Helmana protokols Curve25519, ko ierosinājis arī Daniels Bernsteins. Jaukšanai izmantotais algoritms ir BLAKE2s (RFC7693).

Avots: opennet.ru