landemerke VPN-lansering , som markerte leveransen av komponenter WireGuard i hovedsammensetningen av kjernen og stabilisering av utvikling. Inkludert i kjernen Linux kode En ytterligere sikkerhetsrevisjon ble utført av et uavhengig firma som spesialiserer seg på slike revisjoner. Revisjonen avdekket ingen problemer.
siden WireGuard utvikler seg nå i hovedkjernen Linux, for distribusjoner og brukere som fortsetter å bruke eldre kjerneversjoner, er det utarbeidet et repository Depotet inneholder tilbakeportert kode. WireGuard og et compat.h-lag for å sikre kompatibilitet med eldre kjerner. Det bemerkes at så lenge utviklere har kapasiteten og brukerne trenger det, vil den frittstående patch-versjonen bli opprettholdt. I sin nåværende form er den frittstående versjonen WireGuard kan brukes med kjerner fra и , og er også tilgjengelig som kjernepatcher Linux и Distribusjoner som bruker de nyeste kjernene, som Arch, Gentoo og
Fedora 32 vil kunne bruke WireGuard sammen med kjerneoppdateringen 5.6.
Hovedutviklingsprosessen utføres nå i depotet , inkludert hele kjernetreet Linux med endringer fra prosjektet WireguardOppdateringer fra dette depotet vil bli gjennomgått for inkludering i hovedkjernen og jevnlig migrert til net/net-next-grenene. Utvikling av brukerområdeverktøy og skript, som wg og wg-quick, utføres i depotet. , som kan brukes til å lage pakker i distribusjoner.
La oss minne deg på at VPN WireGuard Implementert ved hjelp av moderne krypteringsmetoder, gir det svært høy ytelse, er brukervennlig, komplikasjonsfritt og har vist seg å fungere i en rekke storskala distribusjoner som håndterer store trafikkmengder. Prosjektet har vært under utvikling siden 2015 og har blitt revidert og krypteringsmetoder som brukes. Støtte WireGuard Den er allerede integrert i NetworkManager og systemd, og kjerneoppdateringer er inkludert i basisdistribusjonene. , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
В WireGuard Konseptet med krypteringsnøkkelruting brukes, som innebærer å binde en privat nøkkel til hvert nettverksgrensesnitt og bruke den til binding av offentlige nøkler. Offentlige nøkler utveksles for å etablere en forbindelse på en måte som ligner på SSH. For å forhandle nøkler og etablere en forbindelse uten å kjøre en separat daemon i brukerområdet, brukes Noise_IK-mekanismen fra ligner på å opprettholde autoriserte_nøkler i SSH. Dataoverføring utføres gjennom innkapsling i UDP-pakker. Den støtter endring av IP-adressen til VPN-serveren (roaming) uten å koble fra forbindelsen med automatisk klientrekonfigurering.
For kryptering strømchiffer og meldingsautentiseringsalgoritme (MAC) , designet av Daniel Bernstein (), Tanya Lange
(Tanja Lange) og Peter Schwabe. ChaCha20 og Poly1305 er posisjonert som raskere og sikrere analoger av AES-256-CTR og HMAC, hvis programvareimplementering gjør det mulig å oppnå en fast utførelsestid uten bruk av spesiell maskinvarestøtte. For å generere en delt hemmelig nøkkel, brukes den elliptiske kurven Diffie-Hellman-protokollen i implementeringen , også foreslått av Daniel Bernstein. Algoritmen som brukes for hashing er .
Under den gamle produktivitet WireGuard viste 3.9 ganger høyere gjennomstrømning og 3.8 ganger høyere respons sammenlignet med OpenVPN (256-bit AES med HMAC-SHA2-256). Sammenlignet med IPsec (256-bit ChaCha20+Poly1305 og AES-256-GCM-128) i WireGuard En liten ytelsesfordel (13–18 %) og en reduksjon i latens (21–23 %) observeres. Testresultatene som er lagt ut på prosjektets nettsted dekker den gamle frittstående implementeringen. WireGuard og merket som utilstrekkelig kvalitet. Siden testene ble utført, har koden WireGuard og IPsec har blitt ytterligere optimalisert og er nå raskere. Mer omfattende testing som dekker den integrerte kjerneimplementeringen er ennå ikke utført. Det bemerkes imidlertid at WireGuard i noen situasjoner overgår den fortsatt IPsec på grunn av flertråding, mens OpenVPN forblir veldig treg.
Kilde: opennet.ru
