WireGuard ilu jikseb ħafna attenzjoni dan l-aħħar, fil-fatt huwa l-istilla l-ġdida fost il-VPNs. Imma hu tajjeb daqs kemm jidher? Nixtieq niddiskuti xi osservazzjonijiet u nirrevedi l-implimentazzjoni ta 'WireGuard biex nispjega għaliex mhix soluzzjoni biex tissostitwixxi IPsec jew OpenVPN.
F'dan l-artikolu, nixtieq niċħad xi wħud mill-miti [madwar WireGuard]. Iva, se jieħu ħafna żmien biex taqra, allura jekk ma għamiltx lilek innifsek tazza tè jew kafè, allura wasal iż-żmien li tagħmel dan. Nixtieq ukoll ngħid grazzi lil Peter talli rranġa l-ħsibijiet kaotiċi tiegħi.
Jien ma nistabbilixxix lili nnifsi l-għan li niskredita lill-iżviluppaturi ta 'WireGuard, niżvaluta l-isforzi jew l-ideat tagħhom. Il-prodott tagħhom qed jaħdem, iżda personalment naħseb li huwa ppreżentat kompletament differenti minn dak li hu verament - huwa ppreżentat bħala sostitut għal IPsec u OpenVPN, li fil-fatt sempliċement ma jeżistix issa.
Bħala nota, nixtieq inżid li r-responsabbiltà għal tali pożizzjonament ta 'WireGuard tinsab fil-midja li tkellmet dwarha, u mhux il-proġett innifsu jew il-ħallieqa tiegħu.
Dan l-aħħar ma kienx hemm ħafna aħbar tajba dwar il-kernel tal-Linux. Allura, qalulna dwar il-vulnerabbiltajiet monstrous tal-proċessur, li ġew livellati minn softwer, u Linus Torvalds tkellem dwarha wisq rudely u boringly, fil-lingwa utilitarja tal-iżviluppatur. Scheduler jew munzell ta 'netwerking ta' livell żero huma wkoll suġġetti mhux ċari ħafna għal rivisti tleqq. U hawn jidħol WireGuard.
Fuq il-karta, kollox ħsejjes kbir: teknoloġija ġdida eċċitanti.
Imma ejja nħarsu lejha ftit aktar mill-qrib.
Karta bajda WireGuard
Dan l-artikolu huwa bbażat fuq miktub minn Jason Donenfeld. Hemmhekk jispjega l-kunċett, l-iskop u l-implimentazzjoni teknika ta' [WireGuard] fil-kernel tal-Linux.
L-ewwel sentenza taqra:
WireGuard […] għandu l-għan li jissostitwixxi kemm IPsec fil-biċċa l-kbira tal-każijiet ta’ użu kif ukoll spazju għall-utent popolari ieħor u/jew soluzzjonijiet ibbażati fuq TLS bħal OpenVPN filwaqt li jkun aktar sigur, performant u aktar faċli biex jintuża [għodda].
Naturalment, il-vantaġġ ewlieni tat-teknoloġiji l-ġodda kollha huwa tagħhom sempliċità [meta mqabbel ma' predeċessuri]. Iżda VPN għandu jkun ukoll effettivi u sikuri.
Allura, x'inhu jmiss?
Jekk tgħid li dan mhux dak li għandek bżonn [minn VPN], allura tista’ ttemm il-qari hawn. Madankollu, ser ninnota li dawn il-kompiti huma stabbiliti għal kwalunkwe teknoloġija oħra tal-mini.
L-aktar interessanti tal-kwotazzjoni ta 'hawn fuq tinsab fil-kliem "f'ħafna każijiet", li, ovvjament, ġew injorati mill-istampa. U għalhekk, qegħdin fejn spiċċajna minħabba l-kaos li nħolqot minn din in-negliġenza – f’dan l-artiklu.
WireGuard se jissostitwixxi l-[IPsec] tiegħi minn sit għal sit?
Nru. Sempliċement m'hemm l-ebda ċans li bejjiegħa kbar bħal Cisco, Juniper u oħrajn jixtru WireGuard għall-prodotti tagħhom. Huma ma "jaqbżu fuq il-ferroviji li jgħaddu" waqt il-moviment sakemm ma jkunx hemm bżonn kbir li jagħmlu dan. Aktar tard, ser ngħaddi minn xi wħud mir-raġunijiet għaliex probabbilment mhux se jkunu jistgħu jġibu l-prodotti WireGuard tagħhom abbord anki jekk riedu.
WireGuard se jieħu RoadWarrior tiegħi mill-laptop tiegħi għaċ-ċentru tad-dejta?
Nru. Bħalissa, WireGuard m'għandux numru kbir ta 'karatteristiċi importanti implimentati biex ikun jista' jagħmel xi ħaġa bħal din. Pereżempju, ma jistax juża indirizzi IP dinamiċi fuq in-naħa tas-server tal-mina, u dan waħdu jkisser ix-xenarju kollu ta 'tali użu tal-prodott.
IPFire spiss jintuża għal links tal-Internet irħas, bħal DSL jew konnessjonijiet tal-kejbil. Dan jagħmel sens għal negozji żgħar jew medji li m'għandhomx bżonn fibra veloċi. [Nota mit-traduttur: tinsiex li f’termini ta’ komunikazzjoni, ir-Russja u xi pajjiżi tas-CIS huma ferm qabel l-Ewropa u l-Istati Uniti, għax bdejna nibnu n-netwerks tagħna ħafna aktar tard u bil-miġja ta’ Ethernet u netwerks tal-fibra ottika bħala standard, kien aktar faċli għalina li nibnu mill-ġdid. Fl-istess pajjiżi tal-UE jew tal-Istati Uniti, l-aċċess għall-broadband xDSL b'veloċità ta '3-5 Mbps għadu n-norma ġenerali, u konnessjoni tal-fibra ottika tiswa xi flus mhux realistiċi skont l-istandards tagħna. Għalhekk, l-awtur tal-artiklu jitkellem dwar id-DSL jew il-konnessjoni tal-kejbil bħala n-norma, u mhux żminijiet antiki.] Madankollu, DSL, cable, LTE (u metodi oħra ta 'aċċess bla fili) għandhom indirizzi IP dinamiċi. Ovvjament, xi drabi ma jinbidlux spiss, iżda jinbidlu.
Hemm sottoproġett imsejjaħ , li żżid daemon userspace biex tegħleb dan in-nuqqas. Problema kbira fix-xenarju tal-utent deskritt hawn fuq hija l-aggravament tal-indirizzar dinamiku tal-IPv6.
Mil-lat tad-distributur, dan kollu lanqas jidher tajjeb ħafna. Wieħed mill-għanijiet tad-disinn kien li jżomm il-protokoll sempliċi u nadif.
Sfortunatament, dan kollu fil-fatt sar sempliċi wisq u primittiv, u għalhekk irridu nużaw softwer addizzjonali sabiex dan id-disinn kollu jkun vijabbli fl-użu reali.
WireGuard huwa daqshekk faċli biex tużah?
Mhux għal issa. Jien ma ngħid li WireGuard qatt mhu se jkun alternattiva tajba għal tunneling bejn żewġ punti, iżda għalissa hija biss verżjoni alpha tal-prodott li suppost tkun.
Imma mbagħad x'jagħmel fil-fatt? IPsec huwa verament daqshekk aktar diffiċli biex jinżamm?
Ovvjament le. Il-bejjiegħ IPsec ħaseb dwar dan u jibgħat il-prodott tiegħu flimkien ma 'interface, bħal ma' IPFire.
Biex twaqqaf mina VPN fuq IPsec, ser ikollok bżonn ħames settijiet ta’ dejta li ser ikollok bżonn tiddaħħal fil-konfigurazzjoni: l-indirizz IP pubbliku tiegħek stess, l-indirizz IP pubbliku tal-parti li tirċievi, is-subnets li trid tagħmel pubbliċi permezz tagħhom. din il-konnessjoni VPN u ċavetta kondiviża minn qabel. Għalhekk, il-VPN huwa stabbilit fi ftit minuti u huwa kompatibbli ma 'kwalunkwe bejjiegħ.
Sfortunatament, hemm ftit eċċezzjonijiet għal din l-istorja. Kull min ipprova jagħmel tunnel fuq IPsec għal magna OpenBSD jaf fuq xiex qed nitkellem. Hemm ftit eżempji aktar koroh, iżda fil-fatt, hemm ħafna, ħafna aktar prattiki tajbin għall-użu tal-IPsec.
Dwar il-kumplessità tal-protokoll
L-utent aħħari m'għandux għalfejn jinkwieta dwar il-kumplessità tal-protokoll.
Kieku ngħixu f'dinja fejn dan kien tħassib reali tal-utent, allura konna neħilsu minn SIP, H.323, FTP u protokolli oħra maħluqa aktar minn għaxar snin ilu li ma jaħdmux tajjeb man-NAT.
Hemm raġunijiet għaliex IPsec huwa aktar kumpless minn WireGuard: jagħmel ħafna aktar affarijiet. Pereżempju, awtentikazzjoni tal-utent billi tuża login / password jew SIM card bl-EAP. Għandha kapaċità estiża li żżid ġodda .
U WireGuard m'għandux dak.
U dan ifisser li WireGuard se jinkiser f'xi punt, minħabba li waħda mill-primittivi kriptografiċi se tiddgħajjef jew tkun kompletament kompromessa. L-awtur tad-dokumentazzjoni teknika jgħid dan:
Ta 'min jinnota li WireGuard huwa kriptografikament opinjoni. Deliberatament jonqosha l-flessibbiltà taċ-ċifra u l-protokolli. Jekk jinstabu toqob serji fil-primittivi sottostanti, l-endpoints kollha se jkollhom bżonn jiġu aġġornati. Kif tistgħu taraw mill-fluss kontinwu ta 'vulnerabbiltajiet SLL/TLS, il-flessibbiltà tal-kriptaġġ issa żdiedet bil-kbir.
L-aħħar sentenza hija assolutament korretta.
Il-kisba ta' kunsens dwar liema kriptaġġ għandu juża jagħmel protokolli bħal IKE u TLS aktar kumpless. Kumplikata wisq? Iva, il-vulnerabbiltajiet huma pjuttost komuni f'TLS/SSL, u m'hemm l-ebda alternattiva għalihom.
Dwar problemi reali
Immaġina li għandek server VPN b'200 klijent tal-ġlieda xi mkien madwar id-dinja. Dan huwa każ ta 'użu pjuttost standard. Jekk ikollok tibdel l-encryption, trid tagħti l-aġġornament lill-kopji kollha ta 'WireGuard fuq dawn il-laptops, smartphones, eċċ. Fl-istess ħin jagħti. Huwa litteralment impossibbli. Amministraturi li jippruvaw jagħmlu dan se jieħdu xhur biex jużaw il-konfigurazzjonijiet meħtieġa, u litteralment se tieħu snin ta 'kumpanija ta' daqs medju biex tiġbed avveniment bħal dan.
IPsec u OpenVPN joffru karatteristika ta 'negozjar taċ-ċifra. Għalhekk, għal xi żmien li wara tixgħel il-kriptaġġ il-ġdid, il-qadim jaħdem ukoll. Dan se jippermetti lill-klijenti attwali jaġġornaw għall-verżjoni l-ġdida. Wara li l-aġġornament jiġi rolled out, inti sempliċiment itfi l-encryption vulnerabbli. U dak hu! Lest! int sabiħ ħafna! Il-klijenti lanqas biss se jindunaw bih.
Dan huwa fil-fatt każ komuni ħafna għal skjeramenti kbar, u anke OpenVPN għandu xi diffikultà b'dan. Il-kompatibilità b'lura hija importanti, u minkejja li tuża encryption aktar dgħajfa, għal ħafna, din mhix raġuni biex tagħlaq negozju. Minħabba li se jipparalizza x-xogħol ta 'mijiet ta' klijenti minħabba l-inkapaċità li jagħmlu xogħolhom.
It-tim WireGuard għamel il-protokoll tagħhom aktar sempliċi, iżda kompletament inużabbli għal nies li m'għandhomx kontroll kostanti fuq iż-żewġ sħabhom fil-mina tagħhom. Fl-esperjenza tiegħi, dan huwa l-aktar xenarju komuni.
Kriptografija!
Imma x'inhu dan il-kriptaġġ ġdid interessanti li juża WireGuard?
WireGuard juża Curve25519 għall-iskambju taċ-ċavetta, ChaCha20 għall-encryption u Poly1305 għall-awtentikazzjoni tad-dejta. Taħdem ukoll ma 'SipHash għal ċwievet tal-hash u BLAKE2 għall-hashing.
ChaCha20-Poly1305 huwa standardizzat għal IPsec u OpenVPN (fuq TLS).
Huwa ovvju li l-iżvilupp ta 'Daniel Bernstein jintuża ħafna drabi. BLAKE2 huwa s-suċċessur ta' BLAKE, finalista ta' SHA-3 li ma rebaħx minħabba x-xebh tiegħu ma' SHA-2. Kieku SHA-2 kellu jinkiser, kien hemm ċans tajjeb li BLAKE jiġi kompromess ukoll.
IPsec u OpenVPN m'għandhomx bżonn SipHash minħabba d-disinn tagħhom. Allura l-unika ħaġa li bħalissa ma tistax tintuża magħhom hija BLAKE2, u dan biss sakemm ikun standardizzat. Dan mhuwiex żvantaġġ kbir, minħabba li VPNs jużaw HMAC biex joħolqu integrità, li hija meqjusa bħala soluzzjoni b'saħħitha anke flimkien ma 'MD5.
Allura wasalt għall-konklużjoni li kważi l-istess sett ta 'għodod kriptografiċi jintuża fil-VPNs kollha. Għalhekk, WireGuard mhuwiex aktar jew inqas sigur minn kwalunkwe prodott kurrenti ieħor meta niġu għall-encryption jew l-integrità tad-dejta trażmessa.
Iżda anke din mhix l-iktar ħaġa importanti, li ta 'min joqgħod fuqha skont id-dokumentazzjoni uffiċjali tal-proġett. Wara kollox, il-ħaġa prinċipali hija l-veloċità.
WireGuard huwa aktar mgħaġġel minn soluzzjonijiet VPN oħra?
Fil-qosor: le, mhux aktar malajr.
ChaCha20 huwa ċifrat tal-fluss li huwa aktar faċli biex jiġi implimentat fis-softwer. Jikkodifika daqsxejn kull darba. Il-protokolli tal-blokk bħal AES jikkriptaw blokk 128 bit kull darba. Huma meħtieġa ħafna aktar transistors biex jimplimentaw l-appoġġ tal-ħardwer, għalhekk proċessuri akbar jiġu ma 'AES-NI, estensjoni ta' sett ta 'struzzjonijiet li twettaq xi wħud mill-kompiti tal-proċess ta' encryption biex tħaffef.
Kien mistenni li AES-NI qatt ma jidħol fis-smartphones [iżda hekk għamel — approx. per.]. Għal dan, il-ChaCha20 ġie żviluppat bħala alternattiva ħafifa li tiffranka l-batterija. Għalhekk, jista 'jiġi bħala aħbar għalik li kull smartphone li tista' tixtri llum għandu xi tip ta 'aċċelerazzjoni AES u taħdem aktar malajr u b'konsum ta' enerġija aktar baxx b'dan l-encryption milli b'ChaCha20.
Ovvjament, kważi kull proċessur desktop/server mixtri fl-aħħar ftit snin għandu AES-NI.
Għalhekk, nistenna li AES tegħleb lil ChaCha20 f'kull xenarju wieħed. Id-dokumentazzjoni uffiċjali ta 'WireGuard issemmi li ma' AVX512, ChaCha20-Poly1305 se jaqbeż lil AES-NI, iżda din l-estensjoni tas-sett ta 'struzzjonijiet se tkun disponibbli biss fuq CPUs akbar, li għal darb'oħra mhux se jgħinu b'ħardwer iżgħar u aktar mobbli, li dejjem se jkun aktar mgħaġġel bl-AES - N.I.
M'inix ċert jekk dan setax ġie previst waqt l-iżvilupp ta 'WireGuard, iżda llum il-fatt li huwa nailed għall-encryption waħdu diġà huwa żvantaġġ li jista' ma jaffettwax it-tħaddim tiegħu tajjeb ħafna.
IPsec jippermettilek tagħżel liberament liema kriptaġġ huwa l-aħjar għall-każ tiegħek. U ovvjament, dan huwa meħtieġ jekk, pereżempju, trid tittrasferixxi 10 gigabytes jew aktar ta 'dejta permezz ta' konnessjoni VPN.
Kwistjonijiet ta 'integrazzjoni fil-Linux
Għalkemm WireGuard għażel protokoll ta 'encryption modern, dan diġà jikkawża ħafna problemi. U għalhekk, minflok ma tuża dak li huwa appoġġjat mill-qalba barra mill-kaxxa, l-integrazzjoni ta 'WireGuard ġiet ittardjata għal snin minħabba n-nuqqas ta' dawn il-primittivi fil-Linux.
M'inix ċert għal kollox x'inhi s-sitwazzjoni fuq sistemi operattivi oħra, iżda probabbilment mhix wisq differenti minn fuq Linux.
Kif tidher ir-realtà?
Sfortunatament, kull darba li klijent jitlobni biex inwaqqaf konnessjoni VPN għalihom, niltaqa' mal-kwistjoni li qed jużaw kredenzjali u kriptaġġ skaduti. 3DES flimkien ma 'MD5 għadha prattika komuni, kif huma AES-256 u SHA1. U għalkemm dan tal-aħħar huwa kemmxejn aħjar, din mhix xi ħaġa li għandha tintuża fl-2020.
Għall-iskambju taċ-ċavetta dejjem Jintuża RSA - għodda bil-mod iżda pjuttost sigura.
Il-klijenti tiegħi huma assoċjati ma' awtoritajiet doganali u organizzazzjonijiet u istituzzjonijiet governattivi oħra, kif ukoll ma' korporazzjonijiet kbar li l-ismijiet tagħhom huma magħrufa mad-dinja kollha. Kollha jużaw formola ta 'talba li nħolqot għexieren ta' snin ilu, u l-abbiltà li tuża SHA-512 sempliċement qatt ma ġiet miżjuda. Ma nistax ngħid li b'xi mod taffettwa b'mod ċar il-progress teknoloġiku, iżda ovvjament inaqqas il-proċess korporattiv.
Jiddejjaqni nara dan għaliex IPsec ilu jappoġġja kurvi ellittiċi offhand mill-2005. Curve25519 hija wkoll aktar ġdida u disponibbli għall-użu. Hemm ukoll alternattivi għal AES bħal Camellia u ChaCha20, iżda ovvjament mhux kollha huma appoġġjati minn bejjiegħa ewlenin bħal Cisco u oħrajn.
U n-nies jieħdu vantaġġ minnha. Hemm ħafna kits Cisco, hemm ħafna kits iddisinjati biex jaħdmu ma 'Cisco. Huma mexxejja tas-suq f'dan is-segment u ma tantx huma interessati fl-ebda tip ta 'innovazzjoni.
Iva, is-sitwazzjoni [fis-segment korporattiv] hija terribbli, iżda mhux se naraw l-ebda tibdil minħabba WireGuard. Il-bejjiegħa probabbilment qatt ma jaraw xi kwistjonijiet ta 'prestazzjoni bl-għodda u l-encryption li diġà qed jużaw, mhux se jaraw l-ebda problema ma' IKEv2, u għalhekk mhumiex qed ifittxu alternattivi.
B'mod ġenerali, qatt ħsibt dwar l-abbandun ta' Cisco?
Benchmarks
U issa ejja ngħaddu għall-benchmarks mid-dokumentazzjoni tal-WireGuard. Għalkemm din [dokumentazzjoni] mhix artiklu xjentifiku, xorta stennejt li l-iżviluppaturi jieħdu approċċ aktar xjentifiku, jew jużaw approċċ xjentifiku bħala referenza. Kwalunkwe benchmarks huma inutli jekk ma jistgħux jiġu riprodotti, u aktar inutli meta jinkisbu fil-laboratorju.
Fil-bini tal-Linux ta 'WireGuard, jieħu vantaġġ mill-użu ta' GSO - Generic Segmentation Offloading. Grazzi lilu, il-klijent joħloq pakkett kbir ta '64 kilobytes u jikkripta / jiddeċifrah f'daqqa. Għalhekk, l-ispiża tal-invokazzjoni u l-implimentazzjoni ta 'operazzjonijiet kriptografiċi hija mnaqqsa. Jekk trid timmassimizza l-fluss tal-konnessjoni VPN tiegħek, din hija idea tajba.
Iżda, bħas-soltu, ir-realtà mhix daqshekk sempliċi. Li jintbagħat pakkett daqshekk kbir lil adapter tan-netwerk jeħtieġ li jinqata 'f'ħafna pakketti iżgħar. Id-daqs normali jibgħat huwa 1500 bytes. Jiġifieri, il-ġgant tagħna ta '64 kilobytes se jkun maqsum f'pakketti 45 (1240 bytes ta' informazzjoni u 20 bytes tal-header IP). Imbagħad, għal xi żmien, jimblukkaw kompletament ix-xogħol tal-adapter tan-netwerk, minħabba li għandhom jintbagħtu flimkien u f'daqqa. Bħala riżultat, dan iwassal għal qabża ta 'prijorità, u pakketti bħal VoIP, pereżempju, se jkunu fil-kju.
Għalhekk, it-throughput għoli li WireGuard tant b'mod kuraġġuż jallega huwa miksub bl-ispiża tat-tnaqqis tan-netwerking ta 'applikazzjonijiet oħra. U t-tim WireGuard huwa diġà din hija l-konklużjoni tiegħi.
Imma ejja nkomplu.
Skont il-punti ta 'referenza fid-dokumentazzjoni teknika, il-konnessjoni turi throughput ta' 1011 Mbps.
Impressjonanti.
Dan huwa speċjalment impressjonanti minħabba l-fatt li t-throughput teoretiku massimu ta 'konnessjoni Gigabit Ethernet waħda hija 966 Mbps b'daqs tal-pakkett ta' 1500 bytes nieqes 20 bytes għall-header IP, 8 bytes għall-header UDP u 16 bytes għall-header ta ' il-WireGuard innifsu. Hemm header IP ieħor fil-pakkett inkapsulat u ieħor f'TCP għal 20 bytes. Allura minn fejn ġie dan il-bandwidth żejjed?
B'frejms enormi u l-benefiċċji ta 'GSO li tkellimna dwarhom hawn fuq, il-massimu teoretiku għal daqs ta' qafas ta '9000 bytes ikun 1014 Mbps. Normalment tali throughput ma jistax jintlaħaq fir-realtà, minħabba li huwa assoċjat ma 'diffikultajiet kbar. Għalhekk, nista' nassumi biss li t-test sar bl-użu ta 'frejms ta' kobor żejjed saħansitra fatter ta '64 kilobytes b'massimu teoretiku ta' 1023 Mbps, li huwa appoġġjat biss minn xi adapters tan-netwerk. Iżda dan huwa assolutament inapplikabbli f'kundizzjonijiet reali, jew jista 'jintuża biss bejn żewġ stazzjonijiet konnessi direttament, esklussivament fi ħdan il-bank tat-test.
Iżda peress li l-mina VPN tintbagħat bejn żewġ hosts bl-użu ta 'konnessjoni tal-Internet li ma tappoġġjax jumbo frames għal kollox, ir-riżultat miksub fuq il-bank ma jistax jittieħed bħala punt ta' referenza. Din hija sempliċiment kisba tal-laboratorju mhux realistiku li hija impossibbli u inapplikabbli f'kundizzjonijiet reali ta 'ġlieda.
Anke bilqiegħda fiċ-ċentru tad-dejta, ma stajtx tittrasferixxi frejms akbar minn 9000 bytes.
Il-kriterju tal-applikabbiltà fil-ħajja reali huwa assolutament miksur u, kif naħseb, l-awtur tal-"kejl" imwettaq serjament skreditat lilu nnifsu għal raġunijiet ovvji.
L-aħħar leqqa ta’ tama
Il-websajt tal-WireGuard titkellem ħafna dwar il-kontenituri u jidher ċar għal xiex huwa verament maħsub.
VPN sempliċi u veloċi li ma teħtieġ l-ebda konfigurazzjoni u li tista 'tiġi skjerata u kkonfigurata b'għodda ta' orkestrazzjoni massiva bħalma għandha Amazon fil-cloud tagħhom. Speċifikament, Amazon tuża l-aħħar karatteristiċi tal-ħardwer li semmejt qabel, bħall-AVX512. Dan isir sabiex iħaffef ix-xogħol u ma jkunx marbut ma 'x86 jew xi arkitettura oħra.
Huma jottimizzaw it-throughput u l-pakketti akbar minn 9000 bytes - dawn se jkunu frejms inkapsulati enormi għall-kontenituri biex jikkomunikaw ma 'xulxin, jew għal operazzjonijiet ta' backup, joħolqu snapshots jew jużaw dawn l-istess kontenituri. Anke indirizzi IP dinamiċi ma jaffettwawx l-operat ta 'WireGuard bl-ebda mod fil-każ tax-xenarju li ddeskriviet.
Lagħbu tajjeb. Implimentazzjoni brillanti u protokoll irqiq ħafna, kważi ta 'referenza.
Imma sempliċement ma tidħolx f'dinja barra minn ċentru tad-dejta li inti tikkontrolla kompletament. Jekk tieħu r-riskju u tibda tuża WireGuard, ikollok tagħmel kompromessi kostanti fid-disinn u l-implimentazzjoni tal-protokoll ta 'encryption.
Output
Huwa faċli għalija li nikkonkludi li WireGuard għadu mhux lest.
Ġie maħsub bħala soluzzjoni ħafifa u rapida għal numru ta 'problemi b'soluzzjonijiet eżistenti. Sfortunatament, għall-fini ta 'dawn is-soluzzjonijiet, huwa sagrifikat ħafna karatteristiċi li se jkunu rilevanti għal ħafna utenti. Huwa għalhekk li ma jistax jissostitwixxi IPsec jew OpenVPN.
Sabiex WireGuard isir kompetittiv, jeħtieġ li jżid mill-inqas iffissar ta 'indirizz IP u konfigurazzjoni ta' rotta u DNS. Ovvjament, dan huwa għalxiex il-kanali kriptati.
Is-sigurtà hija l-ogħla prijorità tiegħi, u bħalissa m'għandi l-ebda raġuni biex nemmen li IKE jew TLS huma b'xi mod kompromessi jew imkissra. Il-kriptaġġ modern huwa appoġġjat fit-tnejn li huma, u ġew ippruvati b'għexieren ta' snin ta 'tħaddim. Sempliċement għax xi ħaġa hija aktar ġdida ma jfissirx li hija aħjar.
L-interoperabbiltà hija estremament importanti meta tikkomunika ma' partijiet terzi li l-istazzjonijiet tagħhom ma tikkontrollax. IPsec huwa l-istandard de facto u huwa appoġġjat kważi kullimkien. U jaħdem. U ma jimpurtax kif jidher, fit-teorija, WireGuard fil-futur jista 'ma jkunx kompatibbli anke ma' verżjonijiet differenti tiegħu innifsu.
Kwalunkwe protezzjoni kriptografika titkisser illum jew għada u, għaldaqstant, trid tiġi sostitwita jew aġġornata.
Iċ-ċaħda ta 'dawn il-fatti kollha u bl-addoċċ li trid tuża WireGuard biex tikkonnettja l-iPhone tiegħek mal-workstation tad-dar tiegħek hija biss klassi ewlenija biex teħel rasek fir-ramel.
Sors: www.habr.com