🥇В кодовую базу FreeBSD добавлена новая реализация VPN WireGuard

В дерево исходных текстов FreeBSD приняты изменения с новой реализацией VPN WireGuard, основанной на коде модуля ядра, совместно подготовленного основными командами разработчиков FreeBSD и WireGuard при участии Джейсона Доненфилда (Jason A. Donenfeld), автора VPN WireGuard, и Джона Болдуина (John H. Baldwin), известного разработчика GDB и FreeBSD, в начале 2000-х годов реализовавшего поддержку SMP и NUMA в ядре FreeBSD. После принятия драйвера в состав FreeBSD (sys/dev/wg), его разработка и сопровождение отныне будет вестись в репозитории FreeBSD.

Перед принятием кода при поддержке организации FreeBSD Foundation было проведено полное рецензирование изменений, в ходе которого также было проанализировано взаимодействие драйвера с остальными подсистемами ядра и оценена возможность задействования предоставляемых ядром криптографических примитивов.

Для использования необходимых драйверу криптографических алгоритмов было произведено расширение API криптоподсистемы ядра FreeBSD, в который была добавлена обвязка, позволяющая использовать через стандартный крипто-API не поддерживаемые во FreeBSD алгоритмы, используя реализацию необходимых алгоритмов из библиотеки libsodium. Из алгоритмов, встроенных в драйвер оставлен лишь код для вычисления хэшей Blake2, так как предоставляемая во FreeBSD реализация данного алгоритма завязана на фиксированный размер хэша.

Кроме того, в процессе рецензирования была проведена оптимизация кода, позволившая поднять эффективность распределения нагрузки на многоядерных CPU (обеспечена равномерная балансировка привязки задач шифрования и расшифровки пакета к ядрам CPU). В итоге накладные расходы при обработке пакетов были приближены к реализации драйвера для Linux. В коде также обеспечена возможность использования драйвера ossl для ускорения операций шифрования.

В отличие от прошлой попытки интеграции WireGuard во FreeBSD в новой реализации задействована штатная утилита wg, а не модифицированная версия ifconfig, что позволило унифицировать настройку в Linux и FreeBSD. Утилита wg как и драйвер включена в состав исходных текстов FreeBSD, что стало возможным благодаря изменению лицензии на код wg (код теперь доступен под лицензиями MIT и GPL). Прошлая попытка включения WireGuard в состав FreeBSD была предпринята в 2020 году, но завершилась скандалом, в результате которого уже добавленный код был удалён из-за низкого качества, безалаберной работы с буферами, использования заглушек вместо проверок, неполной реализации протокола и нарушения лицензии GPL.

Kia maumahara matou ki a koe ko te VPN WireGuard kua whakatinanahia i runga i nga tikanga whakamunatanga hou, e whakarato ana i nga mahi tino tiketike, he ngawari ki te whakamahi, kaore he raruraru me te whakamatau i a ia ano i roto i te maha o nga waahanga nui e whakahaere ana i nga pukapuka nui o te hokohoko. Kua whanakehia te kaupapa mai i te tau 2015, a kua tukuna he arotake me te whakamana okawa o nga tikanga whakamunatanga i whakamahia. Ka whakamahi a WireGuard i te ariā o te ararere matua whakamunatanga, e uru ana ki te whakapiri i tetahi kii motuhake ki ia atanga whatunga me te whakamahi hei here i nga kii a te iwi.

Ka whakawhitihia nga taviri a te iwi ki te whakarite hononga kia rite ki te SSH. Hei whiriwhiri i nga taviri me te hono me te kore e whakahaere i tetahi daemon motuhake ki te waahi kaiwhakamahi, ka whakamahia te tikanga Noise_IK a te Anga Kawa Noise, he rite ki te pupuri i nga mana_mau i roto i te SSH. Ko te tuku raraunga ka mahia ma te whakauru i roto i nga paatete UDP. E tautoko ana i te huri i te wahitau IP o te tūmau VPN (roopu) me te kore e momotu te hononga ki te whirihora aunoa a te kiritaki.

Ka whakamahia e te whakamunatanga te ChaCha20 stream cipher me te Poly1305 message authentication algorithm (MAC), i hangaia e Daniel J. Bernstein, Tanja Lange me Peter Schwabe. Ko te ChaCha20 me te Poly1305 he tere ake, he haumaru ake hoki mo te AES-256-CTR me te HMAC, ko te whakatinanatanga o te rorohiko ka taea te whakatutuki i te waa mahi me te kore e whakamahi i te tautoko taputapu motuhake. Hei whakaputa i tetahi kī ngaro tiritahi, ka whakamahia te kawa elliptic Diffie-Hellman i roto i te whakatinanatanga Curve25519, na Daniel Bernstein hoki i tono. Ka whakamahia te BLAKE2s algorithm (RFC7693) mo te hashing.

Source: opennet.ru

He whakatinanatanga VPN hou, WireGuard, kua taapirihia ki te turanga waehere FreeBSD.

Tāpiri i te kōrero whakakore whakautu