lançamento VPN histórico , que marcou a entrega dos componentes WireGuard no núcleo principal e estabilização do desenvolvimento. Código incluído no kernel Linux auditoria de segurança adicional realizada por uma empresa independente especializada em tais auditorias. A auditoria não revelou quaisquer problemas.
Como o WireGuard está sendo desenvolvido no kernel principal do Linux, um repositório foi preparado para distribuições e usuários que continuam a usar versões mais antigas do kernel . O repositório inclui código WireGuard portado e uma camada compat.h para garantir compatibilidade com kernels mais antigos. Observa-se que, desde que os desenvolvedores tenham oportunidade e os usuários precisem, uma versão separada dos patches será suportada em forma funcional. Na sua forma atual, uma versão independente do WireGuard pode ser usada com kernels de и , e também disponível como patches para kernels Linux и . Distribuições usando os kernels mais recentes, como Arch, Gentoo e
O Fedora 32 poderá usar o WireGuard com a atualização do kernel 5.6.
O principal processo de desenvolvimento agora é realizado no repositório , que inclui a árvore completa do kernel Linux com alterações do projeto Wireguard. Patches deste repositório serão revisados para inclusão no kernel principal e enviados regularmente para as ramificações net/net-next. O desenvolvimento de utilitários e scripts executados no espaço do usuário, como wg e wg-quick, é realizado no repositório , que pode ser usado para criar pacotes em distribuições.
Lembramos que o VPN WireGuard é implementado com base em métodos modernos de criptografia, oferece desempenho muito alto, é fácil de usar, livre de complicações e provou seu valor em uma série de grandes implantações que processam grandes volumes de tráfego. O projeto vem se desenvolvendo desde 2015, foi auditado e métodos de criptografia usados. O suporte WireGuard já está integrado ao NetworkManager e ao systemd, e os patches do kernel estão incluídos nas distribuições básicas , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard usa o conceito de roteamento de chave de criptografia, que envolve anexar uma chave privada a cada interface de rede e usá-la para vincular as chaves públicas. As chaves públicas são trocadas para estabelecer uma conexão de forma semelhante ao SSH. Para negociar chaves e conectar-se sem executar um daemon separado no espaço do usuário, o mecanismo Noise_IK do semelhante à manutenção de chaves_autorizadas em SSH. A transmissão de dados é realizada através de encapsulamento em pacotes UDP. Suporta alteração do endereço IP do servidor VPN (roaming) sem desconectar a conexão com reconfiguração automática do cliente.
Para criptografia cifra de fluxo e algoritmo de autenticação de mensagem (MAC) , desenhado por Daniel Bernstein (), Tanya Lange
(Tanja Lange) e Peter Schwabe. ChaCha20 e Poly1305 são posicionados como análogos mais rápidos e seguros de AES-256-CTR e HMAC, cuja implementação de software permite atingir um tempo de execução fixo sem o uso de suporte de hardware especial. Para gerar uma chave secreta compartilhada, o protocolo Diffie-Hellman de curva elíptica é usado na implementação , também proposto por Daniel Bernstein. O algoritmo usado para hash é .
Sob o velho Desempenho O WireGuard demonstrou rendimento 3.9 vezes maior e capacidade de resposta 3.8 vezes maior em comparação ao OpenVPN (AES de 256 bits com HMAC-SHA2-256). Comparado ao IPsec (ChaCha256+Poly20 de 1305 bits e AES-256-GCM-128), o WireGuard mostra uma ligeira melhoria de desempenho (13-18%) e menor latência (21-23%). Os resultados dos testes publicados no site do projeto cobrem a antiga implementação autônoma do WireGuard e são marcados como de qualidade insuficientemente alta. Desde os testes, o código WireGuard e IPsec foi ainda mais otimizado e agora está mais rápido. Testes mais completos cobrindo a implementação integrada ao kernel ainda não foram realizados. No entanto, nota-se que o WireGuard ainda supera o IPsec em algumas situações devido ao multi-threading, enquanto o OpenVPN permanece muito lento.
Fonte: opennet.ru