David Miller (), tompon'andraikitra amin'ny subsistema amin'ny tambajotran'ny kernel Linux, mankany amin'ny sampana net-manaraka miaraka amin'ny fampiharana ny interface VPN avy amin'ny tetikasa . Amin'ny fiandohan'ny taona manaraka, ny fanovana voaangona ao amin'ny sampana net-manaraka dia ho fototry ny famoahana ny kernel Linux 5.6.
Ny ezaka hanosehana ny kaody WireGuard ho ao amin'ny kernel lehibe dia natao tato anatin'ny taona vitsivitsy, saingy mbola tsy nahomby noho ny famatorana amin'ny fampiharana manokana ny asa kriptografika izay nampiasaina hanatsarana ny fampisehoana. Tamin'ny voalohany, ireo asa ireo dia ho an'ny kernel ho Zinc API fanampiny, izay mety hisolo ny Crypto API mahazatra.
Taorian'ny fifanakalozan-kevitra tamin'ny fihaonambe Kernel Recipes, ireo mpamorona ny WireGuard tamin'ny volana septambra mamindra ny patcho hampiasa ny Crypto API azo alaina ao amin'ny fototra, izay misy ny WireGuard developer manana fitarainana eo amin'ny sehatry ny fampisehoana sy ny fiarovana ankapobeny. Tapa-kevitra ny hanohy ny fampivoarana ny Zinc API, fa ho tetikasa manokana.
Tamin'ny volana Novambra, mpamorona kernel ho setrin'ny marimaritra iraisana ary nanaiky ny hamindra ampahany amin'ny code avy amin'ny Zinc mankany amin'ny kernel lehibe. Amin'ny ankapobeny, ny singa Zinc sasany dia hafindra ao amin'ny fototra, fa tsy amin'ny API misaraka, fa ao anatin'ny subsystem Crypto API. Ohatra, ny Crypto API efa fampiharana haingana ny algorithm ChaCha20 sy Poly1305 voaomana ao amin'ny WireGuard.
Mifandray amin'ny fandefasana ny WireGuard ho avy ao amin'ny fototra fototra, ny mpanorina ny tetikasa momba ny fanavaozana ny tahiry. Mba hanatsorana ny fampandrosoana, ny tahiry monolithic "WireGuard.git", izay natao hitokana irery, dia hosoloina fitehirizana telo misaraka, mety kokoa amin'ny fandaminana ny asa miaraka amin'ny code ao amin'ny kernel lehibe:
- - hazo kernel feno miaraka amin'ny fanovana avy amin'ny tetikasa Wireguard, ireo patch izay hojerena mba hampidirana ao amin'ny kernel ary hafindra tsy tapaka amin'ny sampana net/net-next.
- - tahiry ho an'ny kojakoja sy script mandeha amin'ny habaka mpampiasa, toy ny wg sy wg-quick. Ny tahiry dia azo ampiasaina hamoronana fonosana ho an'ny fizarana.
- - trano fitehirizam-bokatra misy karazany iray amin'ny maody, omena misaraka amin'ny kernel ary misy ny soson'ny compat.h mba hiantohana ny fifanarahana amin'ny voany taloha. Ny fivoarana lehibe dia hatao ao amin'ny tahiry wireguard-linux.git, fa raha mbola misy ny fahafahana sy ny filana eo amin'ny mpampiasa, dia ho tohanana amin'ny endrika miasa ihany koa ny dikan-teny misaraka amin'ny patch.
Avelao izahay hampahatsiahy anao fa ny VPN WireGuard dia ampiharina amin'ny alΓ lan'ny fomba fanafenana maoderina, manome fampisehoana avo lenta, mora ampiasaina, tsy misy fahasarotana ary efa nanaporofo ny tenany tamin'ny fametrahana lehibe maromaro izay mandrindra ny fifamoivoizana be dia be. Efa hatraminβny taona 2015 no nivoatra ny tetikasa, nojerena ary fomba fanafenana ampiasaina. Ny fanohanan'ny WireGuard dia efa tafiditra ao amin'ny NetworkManager sy systemd, ary ny patch kernel dia tafiditra ao amin'ny fizarana fototra , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, ΠΈ .
Ny WireGuard dia mampiasa ny foto-kevitry ny fanalahidin'ny fanalahidin'ny encryption, izay misy ny fametahana fanalahidy manokana amin'ny fifandraisana amin'ny tambajotra tsirairay ary mampiasa azy io hamatotra ny fanalahidin'ny daholobe. Ny fanalahidin'ny daholobe dia mifanakalo mba hametrahana fifandraisana mitovy amin'ny SSH. Mba hifampiraharaha amin'ny fanalahidy sy hifandray tsy misy daemon misaraka amin'ny habaka mpampiasa, ny mekanika Noise_IK avy amin'ny mitovy amin'ny fitazonana authorized_keys ao amin'ny SSH. Ny fandefasana data dia atao amin'ny alΓ lan'ny encapsulation ao anaty fonosana UDP. Izy io dia manohana ny fanovana ny adiresy IP an'ny mpizara VPN (roaming) nefa tsy manapaka ny fifandraisana ary manitsy ny mpanjifa.
Ho an'ny encryption stream cipher ary algorithm authentication message (MAC) , noforonin'i Daniel Bernstein (), Tanya Lange
(Tanja Lange) et Peter Schwabe. Ny ChaCha20 sy Poly1305 dia napetraka ho analogue haingana kokoa sy azo antoka kokoa amin'ny AES-256-CTR sy HMAC, ny fampiharana rindrambaiko izay mamela ny fanatontosana ny fotoana famonoana tsy misy fampiasana fitaovana manokana. Mba hamoronana fanalahidy miafina ifampizarana, ny protocole Diffie-Hellman curve elliptic dia ampiasaina amin'ny fampiharana , natolotrβi Daniel Bernstein ihany koa. Ny algorithm ampiasaina amin'ny hashing dia .
amin'ny Ny Performance WireGuard dia naneho 3.9 heny ny fampandehanana avo lenta ary 3.8 heny ny fandraisana andraikitra ambony kokoa raha oharina amin'ny OpenVPN (256-bit AES miaraka amin'ny HMAC-SHA2-256). Raha ampitahaina amin'ny IPsec (256-bit ChaCha20 + Poly1305 sy AES-256-GCM-128), ny WireGuard dia mampiseho fanatsarana kely (13-18%) sy ambany kokoa (21-23%). Ny fitsapana dia natao tamin'ny fampiasana haingana ny algorithm encryption novolavolain'ny tetikasa - ny fifindrana amin'ny Crypto API mahazatra an'ny kernel dia mety hitarika ho amin'ny fahombiazana ratsy kokoa.
Source: opennet.ru