प्रोहोस्टर > Блог > इंटरनेट बातम्या > व्हीपीएन वायरगार्डची नवीन अंमलबजावणी फ्रीबीएसडी कोडबेसमध्ये जोडली गेली

व्हीपीएन वायरगार्डची नवीन अंमलबजावणी फ्रीबीएसडी कोडबेसमध्ये जोडली गेली

В дерево исходных текстов FreeBSD приняты изменения с новой реализацией VPN WireGuard, основанной на коде модуля ядра, совместно подготовленного основными командами разработчиков FreeBSD и WireGuard при участии Джейсона Доненфилда (Jason A. Donenfeld), автора VPN WireGuard, и Джона Болдуина (John H. Baldwin), известного разработчика GDB и FreeBSD, в начале 2000-х годов реализовавшего поддержку SMP и NUMA в ядре FreeBSD. После принятия драйвера в состав FreeBSD (sys/dev/wg), его разработка и сопровождение отныне будет вестись в репозитории FreeBSD.

Перед принятием кода при поддержке организации FreeBSD Foundation было проведено полное рецензирование изменений, в ходе которого также было проанализировано взаимодействие драйвера с остальными подсистемами ядра и оценена возможность задействования предоставляемых ядром криптографических примитивов.

Для использования необходимых драйверу криптографических алгоритмов было произведено расширение API криптоподсистемы ядра FreeBSD, в который была добавлена обвязка, позволяющая использовать через стандартный крипто-API не поддерживаемые во FreeBSD алгоритмы, используя реализацию необходимых алгоритмов из библиотеки libsodium. Из алгоритмов, встроенных в драйвер оставлен лишь код для вычисления хэшей Blake2, так как предоставляемая во FreeBSD реализация данного алгоритма завязана на фиксированный размер хэша.

Кроме того, в процессе рецензирования была проведена оптимизация кода, позволившая поднять эффективность распределения нагрузки на многоядерных CPU (обеспечена равномерная балансировка привязки задач шифрования и расшифровки пакета к ядрам CPU). В итоге накладные расходы при обработке пакетов были приближены к реализации драйвера для Linux. В коде также обеспечена возможность использования драйвера ossl для ускорения операций шифрования.

В отличие от прошлой попытки интеграции WireGuard во FreeBSD в новой реализации задействована штатная утилита wg, а не модифицированная версия ifconfig, что позволило унифицировать настройку в Linux и FreeBSD. Утилита wg как и драйвер включена в состав исходных текстов FreeBSD, что стало возможным благодаря изменению лицензии на код wg (код теперь доступен под лицензиями MIT и GPL). Прошлая попытка включения WireGuard в состав FreeBSD была предпринята в 2020 году, но завершилась скандалом, в результате которого уже добавленный код был удалён из-за низкого качества, безалаберной работы с буферами, использования заглушек вместо проверок, неполной реализации протокола и нарушения лицензии GPL.

आम्‍ही तुम्‍हाला आठवण करून देतो की VPN WireGuard हे आधुनिक एन्क्रिप्शन पद्धतींच्या आधारे लागू केले गेले आहे, ते अतिशय उच्च कार्यप्रदर्शन प्रदान करते, वापरण्‍यास सोपे आहे, गुंतागुंत विरहित आहे आणि मोठ्या प्रमाणातील रहदारीवर प्रक्रिया करणार्‍या अनेक मोठ्या उपयोजनांमध्ये ते सिद्ध झाले आहे. प्रकल्प 2015 पासून विकसित होत आहे, आणि वापरलेल्या एन्क्रिप्शन पद्धतींचे ऑडिट आणि औपचारिक पडताळणी झाली आहे. WireGuard एनक्रिप्शन की राउटिंगची संकल्पना वापरते, ज्यामध्ये प्रत्येक नेटवर्क इंटरफेसला खाजगी की संलग्न करणे आणि सार्वजनिक की बांधण्यासाठी वापरणे समाविष्ट असते.

SSH प्रमाणेच कनेक्शन स्थापित करण्यासाठी सार्वजनिक की अदलाबदल केल्या जातात. की निगोशिएट करण्यासाठी आणि युजर स्पेसमध्ये वेगळा डिमन न चालवता कनेक्ट करण्यासाठी, SSH मधील अधिकृत_कीज राखण्याप्रमाणेच, Noise Protocol Framework ची Noise_IK यंत्रणा वापरली जाते. यूडीपी पॅकेट्समध्ये एन्कॅप्सुलेशनद्वारे डेटा ट्रान्समिशन केले जाते. हे स्वयंचलित क्लायंट रीकॉन्फिगरेशनसह कनेक्शन डिस्कनेक्ट न करता VPN सर्व्हर (रोमिंग) चा IP पत्ता बदलण्यास समर्थन देते.

एनक्रिप्शनमध्ये ChaCha20 स्ट्रीम सायफर आणि पॉली1305 मेसेज ऑथेंटिकेशन अल्गोरिदम (MAC) चा वापर केला जातो, जो डॅनियल जे. बर्नस्टीन, तंजा लॅंगे आणि पीटर श्वाबे यांनी विकसित केला आहे. ChaCha20 आणि Poly1305 हे AES-256-CTR आणि HMAC च्या जलद आणि सुरक्षित अॅनालॉग्स म्हणून स्थित आहेत, ज्याचे सॉफ्टवेअर अंमलबजावणी विशेष हार्डवेअर समर्थनाचा वापर न करता एक निश्चित अंमलबजावणी वेळ प्राप्त करण्यास अनुमती देते. सामायिक गुप्त की व्युत्पन्न करण्यासाठी, कर्व्ह25519 अंमलबजावणीमध्ये लंबवर्तुळ वक्र डिफी-हेलमन प्रोटोकॉल वापरला जातो, जो डॅनियल बर्नस्टीनने देखील प्रस्तावित केला आहे. BLAKE2s अल्गोरिदम (RFC7693) हॅशिंगसाठी वापरला जातो.

स्त्रोत: opennet.ru

एक टिप्पणी जोडा