WireGuard se "jiġi" għall-qalba tal-Linux - għaliex?

Fl-aħħar ta 'Lulju, l-iżviluppaturi tal-mina WireGuard VPN proposti sett tal-garża, li se jagħmlu s-softwer tal-mini VPN tagħhom parti mill-qalba tal-Linux. Madankollu, id-data eżatta tal-implimentazzjoni tal-“idea” għadha mhix magħrufa. Taħt il-qatgħa ser nitkellmu dwar din l-għodda f'aktar dettall.

/ ritratt Tambako Il-Jaguar CC

Fil-qosor dwar il-proġett

WireGuard hija mina VPN tal-ġenerazzjoni li jmiss maħluqa minn Jason A. Donenfeld, CEO ta 'Edge Security. Il-proġett ġie żviluppat bħala simplifikata u alternattiva veloċi għal OpenVPN u IPsec. L-ewwel verżjoni tal-prodott kien fiha biss 4 elf linja ta 'kodiċi. Għal tqabbil, OpenVPN għandu madwar 120 elf linja, u IPSec - 420 elf.

Fuq skond iżviluppaturi, WireGuard huwa faċli biex jiġi kkonfigurat u s-sigurtà tal-protokoll tinkiseb permezz ta' algoritmi kriptografiċi ppruvati. Meta tbiddel in-netwerk: Wi-Fi, LTE jew Ethernet jeħtieġ li jerġgħu jgħaqqdu mas-server VPN kull darba. Is-servers WireGuard ma jtemmux il-konnessjoni, anki jekk l-utent ikun irċieva indirizz IP ġdid.

Minkejja l-fatt li WireGuard kien oriġinarjament iddisinjat għall-kernel Linux, l-iżviluppaturi tittieħed ħsieb u dwar verżjoni portabbli tal-għodda għall-apparati Android. L-applikazzjoni għadha mhix żviluppata għal kollox, iżda tista' tipprovaha issa. Għal dan għandek bżonn isir wieħed mit-testers.

B'mod ġenerali, WireGuard huwa pjuttost popolari u saħansitra kien implimentati diversi fornituri VPN, bħal Mullvad u AzireVPN. Ippubblikat onlajn numru kbir gwidi tas-setup din id-deċiżjoni. Pereżempju, hemm gwidi, li huma maħluqa mill-utenti, u hemm gwidi, imħejji mill-awturi tal-proġett.

Technical

В dokumentazzjoni uffiċjali (p. 18) huwa nnutat li l-fluss ta 'WireGuard huwa erba' darbiet ogħla minn dak ta 'OpenVPN: 1011 Mbit/s kontra 258 Mbit/s, rispettivament. WireGuard huwa wkoll qabel is-soluzzjoni standard għal Linux IPsec - għandu 881 Mbit/s. Huwa wkoll jaqbeż fil-faċilità ta 'setup.

Wara li ċ-ċwievet jiġu skambjati (il-konnessjoni VPN tiġi inizjalizzata ħafna bħal SSH) u l-konnessjoni tiġi stabbilita, WireGuard jieħu ħsieb il-kompiti l-oħra kollha waħdu: m'hemmx għalfejn tinkwieta dwar ir-rotot, il-kontroll tal-istat, eċċ. Sforzi addizzjonali ta 'konfigurazzjoni se jkunu biss meħtieġ jekk trid tuża encryption simmetrika.

/ ritratt Anders Hojbjerg CC

Biex tinstalla, ser ikollok bżonn distribuzzjoni b'kernel Linux eqdem minn 4.1. Jista 'jinstab fir-repożitorji ta' distribuzzjonijiet ewlenin tal-Linux.

$ sudo add-apt-repository ppa:hda-me/wireguard
$ sudo apt update
$ sudo apt install wireguard-dkms wireguard-tools

Kif jinnotaw l-edituri ta 'xakep.ru, l-awto-assemblaġġ minn testi sors huwa faċli wkoll. Huwa biżżejjed li tiftaħ l-interface u tiġġenera ċwievet pubbliċi u privati:

$ sudo ip link add dev wg0 type wireguard
$ wg genkey | tee privatekey | wg pubkey > publickey

WireGuard ma jużax interface biex taħdem ma' fornitur tal-kripto CryptoAPI. Minflok, tintuża ċifra tan-nixxiegħa ChaCha20, kriptografiku daħħal imitazzjoni Poly1305 u funzjonijiet hash kriptografiċi proprjetarji.

Iċ-ċavetta sigrieta hija ġġenerata bl-użu Protokoll Diffie-Hellman ibbażata fuq kurva ellittika Curve25519. Meta hashing, huma jużaw funzjonijiet hash BLAKE2 и SipHash. Minħabba l-format tal-timestamp TAI64N il-protokoll jarmi pakketti b'valur ta' timestamp iżgħar, u b'hekk prevenzjoni ta' DoS- и replay attakki.

F'dan il-każ, WireGuard juża l-funzjoni ioctl biex jikkontrolla I/O (użat qabel netlink), li jagħmel il-kodiċi aktar nadif u aktar sempliċi. Tista' tivverifika dan billi tħares lejn kodiċi tal-konfigurazzjoni.

Pjanijiet tal-iżviluppatur

Għalissa, WireGuard huwa modulu tal-qalba barra mis-siġra. Iżda l-awtur tal-proġett huwa Jason Donenfeld jgħid, li wasal iż-żmien għall-implimentazzjoni sħiħa fil-kernel tal-Linux. Minħabba li huwa aktar sempliċi u aktar affidabbli minn soluzzjonijiet oħra. Jason f’dan ir-rigward jappoġġja anke Linus Torvalds innifsu sejjaħ il-kodiċi WireGuard bħala "xogħol tal-arti."

Iżda ħadd ma qed jitkellem dwar id-dati eżatti għall-introduzzjoni ta 'WireGuard fil-qalba. U bilkemm dan se jiġri bir-rilaxx tal-qalba Linux ta 'Awwissu 4.18. Madankollu, hemm possibbiltà li dan iseħħ fil-futur qrib ħafna: fil-verżjoni 4.19 jew 5.0.

Meta WireGuard huwa miżjud mal-qalba, l-iżviluppaturi trid iffinalizza l-applikazzjoni għal apparati Android u ibda tikteb applikazzjoni għall-iOS. Hemm ukoll pjanijiet biex jitlestew l-implimentazzjonijiet f'Go u Rust u jiġu trasferiti għal macOS, Windows u BSD. Huwa ppjanat ukoll li jiġi implimentat WireGuard għal aktar "sistemi eżotiċi": DPDK, FPGA, kif ukoll ħafna affarijiet interessanti oħra. Kollha kemm huma huma elenkati fi to-do-lista awturi tal-proġett.

PS Ftit artikli oħra mill-blog korporattiv tagħna:

• Teknoloġiji Cloud fis-settur finanzjarju: l-esperjenza tal-kumpaniji Russi
• Ittestjar ta 'sistema ta' disk fil-sħaba
• X'inhu moħbi wara t-terminu vCloud Director - ħarsa minn ġewwa

Id-direzzjoni ewlenija tal-attività tagħna hija l-provvista ta’ servizzi cloud:

Infrastruttura Virtwali (IaaS) | Hosting tal-PCI DSS | Cloud FZ-152 | SAP hosting | Ħażna virtwali | Kriptaġġ tad-dejta fil-cloud | Ħażna tas-sħab

Sors: www.habr.com