mijlpaal VPN-release , wat de levering markeerde van WireGuard-componenten in de hoofdkern en stabilisatie van de ontwikkeling. Code opgenomen in de Linux-kernel aanvullende beveiligingsaudit uitgevoerd door een onafhankelijk bedrijf dat gespecialiseerd is in dergelijke audits. De audit bracht geen problemen aan het licht.
Omdat WireGuard nu wordt ontwikkeld in de belangrijkste Linux-kernel, is er een repository voorbereid voor distributies en blijven gebruikers oudere versies van de kernel gebruiken . De repository bevat backported WireGuard-code en een compat.h-laag om compatibiliteit met oudere kernels te garanderen. Opgemerkt wordt dat zolang ontwikkelaars de mogelijkheid hebben en gebruikers deze nodig hebben, een aparte versie van de patches in werkende vorm zal worden ondersteund. In zijn huidige vorm kan een zelfstandige versie van WireGuard worden gebruikt met kernels van и , en ook beschikbaar als patches voor Linux-kernels и . Distributies die de nieuwste kernels gebruiken, zoals Arch, Gentoo en
Fedora 32 zal WireGuard kunnen gebruiken met de 5.6 kernelupdate.
Het belangrijkste ontwikkelingsproces wordt nu uitgevoerd in de repository , dat de volledige Linux-kernelboom bevat met wijzigingen ten opzichte van het Wireguard-project. Patches uit deze repository zullen worden beoordeeld voor opname in de hoofdkernel en regelmatig naar de net/net-next branches worden gepusht. De ontwikkeling van hulpprogramma's en scripts die in de gebruikersruimte worden uitgevoerd, zoals wg en wg-quick, wordt uitgevoerd in de repository , die kan worden gebruikt om pakketten in distributies te maken.
Laten we u eraan herinneren dat VPN WireGuard is geïmplementeerd op basis van moderne encryptiemethoden, zeer hoge prestaties levert, gemakkelijk te gebruiken is, vrij is van complicaties en zichzelf heeft bewezen in een aantal grote implementaties die grote hoeveelheden verkeer verwerken. Het project is sinds 2015 in ontwikkeling, is gecontroleerd en encryptiemethoden gebruikt. WireGuard-ondersteuning is al geïntegreerd in NetworkManager en systemd, en kernelpatches zijn opgenomen in de basisdistributies , Mageia, Alpine, Boog, Gentoo, OpenWrt, NixOS, и .
WireGuard maakt gebruik van het concept van routering van encryptiesleutels, waarbij aan elke netwerkinterface een privésleutel wordt gekoppeld en deze wordt gebruikt om de openbare sleutels te binden. Publieke sleutels worden uitgewisseld om een verbinding tot stand te brengen op een vergelijkbare manier als SSH. Om over sleutels te onderhandelen en verbinding te maken zonder een afzonderlijke daemon in de gebruikersruimte uit te voeren, kan het Noise_IK-mechanisme van vergelijkbaar met het onderhouden van geautoriseerde_sleutels in SSH. Gegevensoverdracht vindt plaats door middel van inkapseling in UDP-pakketten. Het ondersteunt het wijzigen van het IP-adres van de VPN-server (roaming) zonder de verbinding te verbreken met automatische clientherconfiguratie.
Voor encryptie stroomcijfer en berichtauthenticatie-algoritme (MAC) , ontworpen door Daniel Bernstein (), Tanya Lange
(Tanja Lange) en Peter Schwabe. ChaCha20 en Poly1305 zijn gepositioneerd als snellere en veiligere analogen van AES-256-CTR en HMAC, waarvan de software-implementatie het mogelijk maakt een vaste uitvoeringstijd te bereiken zonder het gebruik van speciale hardware-ondersteuning. Om een gedeelde geheime sleutel te genereren, wordt bij de implementatie het elliptische curve-Diffie-Hellman-protocol gebruikt , ook voorgesteld door Daniel Bernstein. Het algoritme dat voor hashen wordt gebruikt, is .
Onder het oude Prestaties WireGuard demonstreerde een 3.9 keer hogere doorvoer en 3.8 keer hogere responsiviteit vergeleken met OpenVPN (256-bit AES met HMAC-SHA2-256). Vergeleken met IPsec (256-bit ChaCha20+Poly1305 en AES-256-GCM-128) vertoont WireGuard een lichte prestatieverbetering (13-18%) en een lagere latentie (21-23%). De testresultaten op de projectwebsite hebben betrekking op de oude stand-alone implementatie van WireGuard en zijn gemarkeerd als onvoldoende hoge kwaliteit. Sinds het testen is de WireGuard- en IPsec-code verder geoptimaliseerd en nu sneller. Er zijn nog geen volledigere tests uitgevoerd met betrekking tot de implementatie die in de kernel is geïntegreerd. Er wordt echter opgemerkt dat WireGuard in sommige situaties nog steeds beter presteert dan IPsec vanwege multi-threading, terwijl OpenVPN erg traag blijft.
Bron: opennet.ru