lansare VPN emblematică , care a marcat livrarea componentelor WireGuard în nucleul principal și stabilizarea dezvoltării. Cod inclus în nucleul Linux audit suplimentar de securitate efectuat de o companie independentă specializată în astfel de audituri. Auditul nu a scos în evidență nicio problemă.
Deoarece WireGuard este acum dezvoltat în nucleul principal Linux, a fost pregătit un depozit pentru distribuții și utilizatorii care continuă să folosească versiuni mai vechi ale nucleului. . Depozitul include cod WireGuard backported și un strat compat.h pentru a asigura compatibilitatea cu nucleele mai vechi. Se observă că atâta timp cât dezvoltatorii au oportunitatea și utilizatorii au nevoie de ea, o versiune separată a patch-urilor va fi acceptată în formă de lucru. În forma sa actuală, o versiune de sine stătătoare a WireGuard poate fi utilizată cu nuclee de la и , și, de asemenea, disponibil ca patch-uri pentru nucleele Linux и . Distribuții care utilizează cele mai recente nuclee, cum ar fi Arch, Gentoo și
Fedora 32 va putea folosi WireGuard cu actualizarea kernel-ului 5.6.
Procesul principal de dezvoltare este acum efectuat în depozit , care include arborele complet al nucleului Linux cu modificări din proiectul Wireguard. Patch-urile din acest depozit vor fi revizuite pentru a fi incluse în nucleul principal și împinse în mod regulat către ramurile net/net-next. Dezvoltarea de utilități și script-uri rulate în spațiul utilizatorului, cum ar fi wg și wg-quick, se realizează în depozit , care poate fi folosit pentru a crea pachete în distribuții.
Să vă reamintim că VPN WireGuard este implementat pe baza unor metode moderne de criptare, oferă performanțe foarte ridicate, este ușor de utilizat, fără complicații și s-a dovedit într-o serie de implementări mari care procesează volume mari de trafic. Proiectul se dezvoltă din 2015, a fost auditat și metodele de criptare utilizate. Suportul WireGuard este deja integrat în NetworkManager și systemd, iar corecțiile de kernel sunt incluse în distribuțiile de bază , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard folosește conceptul de rutare a cheilor de criptare, care implică atașarea unei chei private la fiecare interfață de rețea și utilizarea acesteia pentru a lega cheile publice. Cheile publice sunt schimbate pentru a stabili o conexiune într-un mod similar cu SSH. Pentru a negocia cheile și a vă conecta fără a rula un daemon separat în spațiul utilizatorului, mecanismul Noise_IK de la similar cu menținerea authorized_keys în SSH. Transmiterea datelor se realizează prin încapsulare în pachete UDP. Acceptă schimbarea adresei IP a serverului VPN (roaming) fără a deconecta conexiunea cu reconfigurarea automată a clientului.
Pentru criptare stream cipher și algoritm de autentificare a mesajelor (MAC) , proiectat de Daniel Bernstein (), Tanya Lange
(Tanja Lange) și Peter Schwabe. ChaCha20 și Poly1305 sunt poziționate ca analogi mai rapidi și mai siguri ai AES-256-CTR și HMAC, a căror implementare software permite obținerea unui timp de execuție fix fără utilizarea suportului hardware special. Pentru a genera o cheie secretă partajată, în implementare este utilizat protocolul Diffie-Hellman cu curbă eliptică , propus tot de Daniel Bernstein. Algoritmul folosit pentru hashing este .
Sub vechiul Performanță WireGuard a demonstrat o performanță de 3.9 ori mai mare și o capacitate de răspuns de 3.8 ori mai mare în comparație cu OpenVPN (AES de 256 de biți cu HMAC-SHA2-256). Comparativ cu IPsec (256-bit ChaCha20+Poly1305 și AES-256-GCM-128), WireGuard prezintă o ușoară îmbunătățire a performanței (13-18%) și o latență mai mică (21-23%). Rezultatele testelor postate pe site-ul web al proiectului acoperă vechea implementare autonomă a WireGuard și sunt marcate ca fiind de calitate insuficientă. De la testare, codul WireGuard și IPsec a fost optimizat în continuare și este acum mai rapid. Încă nu au fost efectuate teste mai complete care să acopere implementarea integrată în nucleu. Cu toate acestea, se remarcă faptul că WireGuard încă depășește IPsec în unele situații datorită multi-threading-ului, în timp ce OpenVPN rămâne foarte lent.
Sursa: opennet.ru