Is-siġra tas-sors tal-FreeBSD ġiet aġġornata b'implimentazzjoni ġdida tal-VPN. WireGuard, ibbażat fuq il-kodiċi tal-modulu tal-kernel imħejji b'mod konġunt mit-timijiet ewlenin tal-iżvilupp tal-FreeBSD u WireGuard li fih Jason A. Donenfeld, awtur ta' VPN WireGuard, u John H. Baldwin, żviluppatur rinomat tal-GDB u l-FreeBSD li implimenta l-appoġġ għall-SMP u n-NUMA fil-kernel tal-FreeBSD fil-bidu tas-snin 2000. Wara li s-sewwieq jiġi aċċettat fil-FreeBSD (sys/dev/wg), l-iżvilupp u l-manutenzjoni tiegħu issa se jsiru fir-repożitorju tal-FreeBSD.
Qabel ma ġie aċċettat il-kodiċi, saret reviżjoni sħiħa tal-bidliet bl-appoġġ tal-Fondazzjoni FreeBSD, li matulha ġiet analizzata wkoll l-interazzjoni tas-sewwieq mal-bqija tas-sottosistemi tal-qalba u l-possibbiltà li jintużaw primittivi kriptografiċi pprovduti mill-qalba. ġie vvalutat.
Biex tuża l-algoritmi kriptografiċi meħtieġa mis-sewwieq, ġiet estiża l-API tas-subsistema kriptografika tal-qalba FreeBSD, li magħha ġie miżjud xedd li jippermetti l-użu ta 'algoritmi mhux appoġġjati fil-FreeBSD permezz tal-kripto-API standard, bl-użu tal-implimentazzjoni tal- algoritmi meħtieġa mil-librerija libsodium. Mill-algoritmi mibnija fis-sewwieq, fadal biss il-kodiċi għall-kalkolu tal-hashes Blake2, peress li l-implimentazzjoni ta 'dan l-algoritmu pprovdut fil-FreeBSD hija marbuta ma' daqs tal-hash fiss.
Barra minn hekk, matul il-proċess ta' reviżjoni, twettqu ottimizzazzjonijiet tal-kodiċi biex titjieb l-effiċjenza tad-distribuzzjoni tat-tagħbija fuq CPUs b'ħafna qlub (biex jiġi żgurat bilanċ uniformi tal-kompiti ta' encryption u decryption tal-pakketti fil-qlub tas-CPU). B'riżultat ta' dan, l-overhead tal-ipproċessar tal-pakketti ġie eqreb lejn dak tal-implimentazzjoni tas-sewwieq. LinuxIl-kodiċi jipprovdi wkoll il-ħila li jintuża s-sewwieq ossl biex jitħaffu l-operazzjonijiet ta' encryption.
Għall-kuntrarju tat-tentattiv preċedenti ta' integrazzjoni WireGuard Fil-FreeBSD, l-implimentazzjoni l-ġdida tuża l-utilità standard wg, minflok verżjoni modifikata ta' ifconfig, li għamlitha possibbli li l-konfigurazzjoni tiġi unifikata fi Linux u FreeBSD. L-utilità wg, bħas-sewwieq, hija inkluża fil-kodiċi tas-sors ta' FreeBSD, li kien possibbli billi nbidlet il-liċenzja tal-kodiċi wg (il-kodiċi issa huwa disponibbli taħt il-liċenzji MIT u GPL). Tentattiv preċedenti biex jiġi inkluż WireGuard Fl-2020 sar tentattiv ta' fużjoni ma' FreeBSD, iżda dan spiċċa f'kontroversja, bil-kodiċi diġà miżjud jitneħħa minħabba kwalità fqira, immaniġġjar ħażin tal-buffer, użu ta' stubs minflok checks, implimentazzjoni mhux kompluta tal-protokoll, u ksur tal-liċenzja GPL.
Ifakkar li VPN WireGuard Implimentat bl-użu ta' metodi moderni ta' encryption, jipprovdi prestazzjoni għolja ħafna, huwa faċli biex jintuża, huwa ħieles minn kumplikazzjonijiet, u wera lilu nnifsu f'għadd ta' skjeramenti fuq skala kbira li jimmaniġġjaw volumi kbar ta' traffiku. Il-proġett ilu fl-iżvilupp mill-2015 u għadda minn awditu u verifika formali tal-metodi ta' encryption tiegħu. WireGuard Jintuża l-kunċett ta' routing ibbażat fuq iċ-ċwievet, li jinvolvi l-irbit ta' ċavetta privata ma' kull interfaċċja tan-netwerk u l-użu ta' ċwievet pubbliċi għall-irbit.
L-iskambju ta' ċwievet pubbliċi biex tiġi stabbilita konnessjoni huwa simili għal SSH. Biex jiġu nnegozjati ċwievet u ssir konnessjoni mingħajr ma jitħaddem daemon separat fl-ispazju tal-utent, jintuża l-mekkaniżmu Noise_IK mill-Qafas tal-Protokoll tan-Noise, simili għall-manutenzjoni ta' authorized_keys f'SSH. It-trasferiment tad-dejta jitwettaq permezz ta' inkapsulament f'pakketti UDP. Il-bdil huwa appoġġjat. indirizzi IP Servers VPN (roaming) mingħajr interruzzjoni tal-konnessjoni b'konfigurazzjoni mill-ġdid awtomatika tal-klijent.
L-encryption juża ċ-ċifra tal-fluss ChaCha20 u l-algoritmu tal-Awtentikazzjoni tal-Messaġġ (MAC) Poly1305 żviluppat minn Daniel J. Bernstein, Tanja Lange u Peter Schwabe. ChaCha20 u Poly1305 huma pożizzjonati bħala analogi aktar veloċi u siguri ta 'AES-256-CTR u HMAC, li l-implimentazzjoni tas-softwer tagħhom tippermetti li jinkiseb żmien ta' eżekuzzjoni fiss mingħajr ma jinvolvi appoġġ speċjali ta 'hardware. Biex tiġġenera ċavetta sigrieta kondiviża, jintuża l-protokoll Elliptic Curve Diffie-Hellman fl-implimentazzjoni Curve25519, proposta wkoll minn Daniel Bernstein. Għall-hashing, jintuża l-algoritmu BLAKE2s (RFC7693).
Sors: opennet.ru
