WireGuard dia "ho avy" amin'ny kernel Linux - nahoana?

Tamin'ny faran'ny volana Jolay, nanolotra soso-kevitra ny mpamorona ny tonelina WireGuard VPN patch napetraka, izay hahatonga azy ireo VPN tunneling rindrambaiko ho ampahany amin'ny kernel Linux. Na izany aza, mbola tsy fantatra ny daty marina hampiharana ilay “hevitra”. Eo ambanin'ny fanapahana dia hiresaka momba an'io fitaovana io amin'ny antsipiriany bebe kokoa isika.

/ sary Tambako The Jaguar CC

Fohy momba ny tetikasa

WireGuard dia tonelina VPN taranaka manaraka noforonin'i Jason A. Donenfeld, Tale Jeneralin'ny Edge Security. Ny tetikasa dia novolavolaina ho HIANARANA NY ary safidy haingana amin'ny OpenVPN sy IPsec. Ny dikan-teny voalohany amin'ny vokatra dia tsy misy afa-tsy 4 arivo andalana code. Raha ampitahaina, OpenVPN dia manana andalana 120 arivo eo ho eo, ary IPSec - 420 arivo.

amin'ny araka developers, WireGuard dia mora amboarina ary tratra ny fiarovana ny protocol amin'ny alàlan'ny algorithm kriptografika voaporofo. Rehefa manova tambajotra: Wi-Fi, LTE na Ethernet dia mila mifandray amin'ny mpizara VPN isaky ny mandeha. Ny mpizara WireGuard dia tsy manafoana ny fifandraisana, na dia nahazo adiresy IP vaovao aza ny mpampiasa.

Na dia eo aza ny zava-misy fa WireGuard dia natao ho an'ny kernel Linux tany am-boalohany, ny mpamorona voakarakara ary momba ny dikan-teny azo entina amin'ny fitaovana ho an'ny fitaovana Android. Mbola tsy mivoatra tanteraka ny fampiharana, fa azonao atao ny manandrana azy izao. Ilainao izany lasa iray amin'ireo mpanandrana.

Amin'ny ankapobeny, WireGuard dia malaza ary efa nisy mihitsy aza ampiharina mpamatsy VPN maro, toa an'i Mullvad sy AzireVPN. Navoaka an-tserasera maro be setup guides ity fanapahan-kevitra ity. Ohatra, misy mpitari-dalana, izay noforonin'ny mpampiasa, ary misy mpitari-dalana, nomanin'ny mpanoratra ny tetikasa.

ara-teknika

В antontan-taratasy ofisialy (p. 18) dia marihina fa avo efatra heny noho ny an'ny OpenVPN ny fahafahan'ny WireGuard: 1011 Mbit/s versus 258 Mbit/s. WireGuard koa dia mialoha ny vahaolana mahazatra ho an'ny Linux IPsec - manana 881 Mbit/s. Izy io koa dia mihoatra azy amin'ny fanamorana ny fametrahana.

Aorian'ny fifanakalozana ny fanalahidy (ny fifandraisana VPN dia natomboka toy ny SSH) ary napetraka ny fifandraisana, ny WireGuard dia mitantana samirery ny asa hafa rehetra: tsy ilaina ny manahy momba ny lalana, ny fanaraha-maso ny fanjakana, sns. ilaina raha te hampiasa encryption symmetric ianao.

/ sary Anders Hojbjerg CC

Mba hametrahana dia mila fizarana miaraka amin'ny kernel Linux efa antitra kokoa noho ny 4.1. Hita ao amin'ny fitehirizana ny fizarana Linux lehibe izany.

$ sudo add-apt-repository ppa:hda-me/wireguard
$ sudo apt update
$ sudo apt install wireguard-dkms wireguard-tools

Araka ny fanamarihan'ny tonian-dahatsoratry ny xakep.ru dia mora ihany koa ny fivorian-tena avy amin'ny lahatsoratra loharano. Ampy ny manokatra ny interface ary mamorona fanalahidy ho an'ny daholobe sy tsy miankina:

$ sudo ip link add dev wg0 type wireguard
$ wg genkey | tee privatekey | wg pubkey > publickey

WireGuard tsy mampiasa interface tsara hiasa amin'ny mpamatsy crypto CryptoAPI. Fa kosa, ny stream cipher no ampiasaina ChaCha20, kriptografika fanampina fanahafana Poly1305 sy ny fiasan'ny hash cryptographic proprietary.

Ny fanalahidy miafina dia noforonina amin'ny fampiasana Protocol Diffie-Hellman miorina amin'ny curve elliptic Curve25519. Rehefa hashing dia mampiasa asa hash BLAKE2 и SipHash. Noho ny endriky ny timestamp TAI64N Ny protocol dia manary ny fonosana misy sandan'ny timestamp kely kokoa, noho izany fisorohana ny DoS- и mamerina fanafihana.

Amin'ity tranga ity, ny WireGuard dia mampiasa ny fiasa ioctl hifehezana ny I/O (fampiasana taloha netlink), izay mahatonga ny kaody ho madio sy tsotra kokoa. Azonao atao ny manamarina izany amin'ny fijerena kaody fanamafisana.

Drafitra developer

Amin'izao fotoana izao, WireGuard dia maody kernel tsy misy hazo. Fa ny mpanoratra ny tetikasa dia Jason Donenfeld miteny, fa tonga ny fotoana hanatanterahana tanteraka ny kernel Linux. Satria tsotra sy azo itokisana kokoa noho ny vahaolana hafa. Jason amin'io lafiny io fanohanana na i Linus Torvalds mihitsy aza dia niantso ny kaody WireGuard ho “asa-kanto”.

Saingy tsy misy olona miresaka momba ny daty marina hampidirana ny WireGuard ao anaty kernel. SY mihitsy hitranga izany amin'ny famoahana ny kernel Linux aogositra 4.18. Na izany aza, misy ny mety hitranga amin'ny ho avy tsy ho ela: amin'ny version 4.19 na 5.0.

Rehefa ampidirina amin'ny kernel ny WireGuard, ny developers te farano ny fampiharana ho an'ny fitaovana Android ary manomboka manoratra fampiharana ho an'ny iOS. Misy ihany koa ny drafitra hamita ny fampiharana ao amin'ny Go sy Rust ary hampiditra azy ireo amin'ny macOS, Windows ary BSD. Nokasaina ihany koa ny hampihatra WireGuard ho an'ny "rafitra hafakely": DPDK, FPGA, ary koa zavatra mahaliana maro hafa. Izy rehetra dia voatanisa ao to-do-list mpanoratra ny tetikasa.

PS Lahatsoratra vitsivitsy avy amin'ny bilaogin'ny orinasa:

• Ny teknolojia rahona eo amin'ny sehatra ara-bola: ny traikefan'ny orinasa Rosiana
• Fitsapana rafitra kapila ao anaty rahona
• Inona no miafina ao ambadiky ny teny hoe vCloud Director - fijery anatiny

Ny fitarihana lehibe amin'ny hetsika ataonay dia ny fanomezana serivisy rahona:

Fotodrafitrasa virtoaly (IaaS) | PCI DSS fampiantranoana | Cloud FZ-152 | SAP fampiantranoana | Fitehirizana virtoaly | Fametahana angona ao anaty rahona | fitahirizana rahona

Source: www.habr.com