landmärke VPN-release , som markerade leveransen av WireGuard-komponenter i huvudkärnan och stabilisering av utvecklingen. Kod som ingår i Linux-kärnan ytterligare säkerhetsrevision utförd av ett oberoende företag som är specialiserat på sådana revisioner. Granskningen avslöjade inga problem.
Eftersom WireGuard nu utvecklas i Linux-huvudkärnan har ett arkiv förberetts för distributioner och användare som fortsätter att använda äldre versioner av kärnan . Förvaret inkluderar backporterad WireGuard-kod och ett compat.h-lager för att säkerställa kompatibilitet med äldre kärnor. Det noteras att så länge som utvecklare har möjligheten och användarna behöver det, kommer en separat version av patcharna att stödjas i fungerande form. I sin nuvarande form kan en fristående version av WireGuard användas med kärnor från и , och även tillgängliga som patchar för Linux-kärnor и . Distributioner med de senaste kärnorna som Arch, Gentoo och
Fedora 32 kommer att kunna använda WireGuard med 5.6 kärnuppdateringen.
Den huvudsakliga utvecklingsprocessen genomförs nu i förvaret , som inkluderar hela Linux-kärnträdet med ändringar från Wireguard-projektet. Patchar från detta förråd kommer att granskas för inkludering i huvudkärnan och regelbundet skickas till net/net-next-grenarna. Utveckling av verktyg och skript som körs i användarutrymme, såsom wg och wg-quick, utförs i arkivet , som kan användas för att skapa paket i distributioner.
Låt oss påminna dig om att VPN WireGuard är implementerat på basis av moderna krypteringsmetoder, ger mycket hög prestanda, är lätt att använda, fri från komplikationer och har bevisat sig i ett antal stora installationer som bearbetar stora trafikvolymer. Projektet har utvecklats sedan 2015, har granskats och använda krypteringsmetoder. WireGuard-stöd är redan integrerat i NetworkManager och systemd, och kärnpatchar ingår i basdistributionerna , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard använder konceptet med krypteringsnyckeldirigering, vilket innebär att man fäster en privat nyckel till varje nätverksgränssnitt och använder den för att binda de publika nycklarna. Publika nycklar utbyts för att upprätta en anslutning på liknande sätt som SSH. För att förhandla nycklar och ansluta utan att köra en separat demon i användarutrymmet, Noise_IK-mekanismen från liknande att underhålla auktoriserade_nycklar i SSH. Dataöverföring sker genom inkapsling i UDP-paket. Den stöder ändring av IP-adressen för VPN-servern (roaming) utan att koppla från anslutningen med automatisk klientomkonfiguration.
För kryptering ström chiffer och meddelandeautentiseringsalgoritm (MAC) , designad av Daniel Bernstein (), Tanya Lange
(Tanja Lange) och Peter Schwabe. ChaCha20 och Poly1305 är positionerade som snabbare och säkrare analoger till AES-256-CTR och HMAC, vars mjukvaruimplementering gör det möjligt att uppnå en fast exekveringstid utan användning av speciellt hårdvarustöd. För att generera en delad hemlig nyckel används det elliptiska kurvan Diffie-Hellman-protokollet i implementeringen , också föreslagit av Daniel Bernstein. Algoritmen som används för hashning är .
Under det gamla Prestanda WireGuard visade 3.9 gånger högre genomströmning och 3.8 gånger högre respons jämfört med OpenVPN (256-bitars AES med HMAC-SHA2-256). Jämfört med IPsec (256-bitars ChaCha20+Poly1305 och AES-256-GCM-128), visar WireGuard en liten prestandaförbättring (13-18%) och lägre latens (21-23%). Testresultaten som publiceras på projektets webbplats täcker den gamla fristående implementeringen av WireGuard och är markerade som otillräckligt hög kvalitet. Sedan testet har WireGuard- och IPsec-koden optimerats ytterligare och är nu snabbare. Mer kompletta tester som täcker implementeringen integrerade i kärnan har ännu inte utförts. Det noteras dock att WireGuard fortfarande överträffar IPsec i vissa situationer på grund av multi-threading, medan OpenVPN förblir väldigt långsam.
Källa: opennet.ru