Desenvolvedores de projetos NetBSD sobre a inclusão do driver wg com a implementação do protocolo WireGuard no kernel principal do NetBSD. O NetBSD se tornou o terceiro sistema operacional depois do Linux e do OpenBSD com suporte integrado para WireGuard. Também são oferecidos comandos relacionados para configurar VPN - wg-keygen e wgconfig. Na configuração padrão do kernel (GENERIC), o driver ainda não está ativado e requer uma indicação explícita de “pseudo-dispositivo wg” nas configurações.
Além disso, pode-se notar uma atualização corretiva para o pacote wireguard-tools 1.0.20200820, que inclui utilitários de espaço do usuário, como wg e wg-quick. A nova versão prepara o IPC para o próximo suporte do WireGuard no sistema operacional FreeBSD. O código específico para diferentes plataformas foi dividido em diferentes arquivos. O suporte para o comando “reload” foi adicionado ao arquivo da unidade systemd, que permite executar construções como “systemctl reload wg-quick at wgnet0”.
Lembramos que o VPN WireGuard é implementado com base em métodos modernos de criptografia, oferece desempenho muito alto, é fácil de usar, livre de complicações e provou seu valor em uma série de grandes implantações que processam grandes volumes de tráfego. O projeto vem se desenvolvendo desde 2015, foi auditado e métodos de criptografia usados. O suporte WireGuard já está integrado ao NetworkManager e ao systemd, e os patches do kernel estão incluídos nas distribuições básicas , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard usa o conceito de roteamento de chave de criptografia, que envolve anexar uma chave privada a cada interface de rede e usá-la para vincular as chaves públicas. As chaves públicas são trocadas para estabelecer uma conexão de forma semelhante ao SSH. Para negociar chaves e conectar-se sem executar um daemon separado no espaço do usuário, o mecanismo Noise_IK do semelhante à manutenção de chaves_autorizadas em SSH. A transmissão de dados é realizada através de encapsulamento em pacotes UDP. Suporta alteração do endereço IP do servidor VPN (roaming) sem desconectar a conexão com reconfiguração automática do cliente.
Para criptografia cifra de fluxo e algoritmo de autenticação de mensagem (MAC) , desenhado por Daniel Bernstein (), Tanya Lange
(Tanja Lange) e Peter Schwabe. ChaCha20 e Poly1305 são posicionados como análogos mais rápidos e seguros de AES-256-CTR e HMAC, cuja implementação de software permite atingir um tempo de execução fixo sem o uso de suporte de hardware especial. Para gerar uma chave secreta compartilhada, o protocolo Diffie-Hellman de curva elíptica é usado na implementação , também proposto por Daniel Bernstein. O algoritmo usado para hash é .
Fonte: opennet.ru