Имрӯз Линус филиали шабакаро бо интерфейсҳои VPN ба худ кӯчид . Дар бораи ин чорабинй дар рӯйхати почтаи WireGuard.
Ҷамъоварии кодҳо барои ядрои нави Linux 5.6 ҳоло идома дорад. WireGuard як VPN насли оянда аст, ки криптографияи муосирро амалӣ мекунад. Он дар ибтидо ҳамчун алтернативаи соддатар ва қулайтар ба VPN-ҳои мавҷуда таҳия шудааст. Муаллиф мутахассиси амнияти иттилоотии Канада Ҷейсон А. Доненфелд мебошад. Дар моҳи августи соли 2018, WireGuard аз ҷониби Линус Торвалдс. Тақрибан дар он вақт кор барои дохил кардани VPN ба ядрои Linux оғоз ёфт. Раванд каме дарозтар гирифт.
"Ман мебинам, ки Ҷейсон дархост кардааст, ки WireGuard-ро ба ядро дохил кунад" гуфт Линус 2 августи соли 2018. — Оё ман метавонам бори дигар муҳаббати худро ба ин VPN изҳор кунам ва умедворам, ки ба зудӣ муттаҳид мешаванд? Рамз шояд комил набошад, аммо ман ба он нигоҳ кардам ва дар муқоиса бо даҳшатҳои OpenVPN ва IPSec, ин кори воқеии санъат аст."
Бо вуҷуди хоҳишҳои Линус, муттаҳидшавӣ якуним сол кашол ёфт. Мушкилоти асосӣ ба татбиқи хусусии функсияҳои криптографӣ, ки барои беҳтар кардани кор истифода мешуданд, алоқаманд буд. Пас аз гуфтушунидҳои тӯлонӣ дар моҳи сентябри соли 2019 он буд часбҳоро ба функсияҳои Crypto API, ки дар ядро мавҷуд аст, тарҷума кунед, ки таҳиягарони WireGuard ба онҳо дар соҳаи фаъолият ва амнияти умумӣ шикоят доранд. Аммо онҳо тасмим гирифтанд, ки функсияҳои криптографии WireGuard-ро ба API-и алоҳидаи сатҳи пасти Zinc ҷудо кунанд ва дар ниҳоят онҳоро ба ядро интиқол диҳанд. Мохи ноябрь кор-кунони ядро ба ваъдаи худ вафо карданд ва як қисми рамзро аз Zinc ба ядрои асосӣ интиқол диҳед. Масалан, дар API Crypto татбиқи босуръати алгоритмҳои ChaCha20 ва Poly1305, ки дар WireGuard омода карда шудаанд.
Ниҳоят, 9 декабри соли 2019, Дэвид С. Миллер, масъули зерсистемаи шабакавии ядрои Linux, ба филиали нет-даромад бо татбиқи интерфейси VPN аз лоиҳаи WireGuard.
Ва имрӯз, 29 январи соли 2020, тағирот ба Линус барои дохил шудан ба ядро даромад карданд.
Бартариҳои даъвошудаи WireGuard нисбат ба дигар ҳалли VPN:
- Истифодаи осон.
- Криптографияи муосирро истифода мебарад: чаҳорчӯбаи протоколи садо, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF ва ғайра.
- Рамзи паймон, хониш, таҳқиқи осебпазириҳо осонтар.
- Фаъолияти баланд.
- Равшан ва муфассал .
Ҳама мантиқи асосии WireGuard камтар аз 4000 сатри кодро мегирад, дар ҳоле ки OpenVPN ва IPSec садҳо ҳазор сатрро талаб мекунанд.
"WireGuard консепсияи масири калидҳои рамзгузориро истифода мебарад, ки ба ҳар як интерфейси шабака пайваст кардани калиди хусусӣ ва истифодаи калидҳои оммавӣ барои пайваст кардани он дохил мешавад. Калидҳои оммавӣ барои барқарор кардани пайвастшавӣ бо роҳи шабеҳ ба SSH мубодила карда мешаванд. Барои гуфтушунид калидҳо ва пайваст бе кор демони алоҳида дар фазои корбар, механизми Noise_IK аз монанд ба нигоҳ доштани калидҳои ваколатдор дар SSH. Интиқоли маълумот тавассути инкапсуляция дар бастаҳои UDP амалӣ карда мешавад. Он тағир додани суроғаи IP-и сервери VPN (роуминг) -ро бидуни қатъи пайвастшавӣ бо азнавсозии автоматии муштарӣ дастгирӣ мекунад, - Opennet.
Барои рамзгузорӣ шифри ҷараён ва алгоритми тасдиқи паём (MAC) , ки аз ҷониби Даниел Бернштейн таҳия шудааст (), Таня Ланге ва Питер Швабе. ChaCha20 ва Poly1305 ҳамчун аналогҳои тезтар ва бехатари AES-256-CTR ва HMAC ҷойгир шудаанд, ки татбиқи нармафзори онҳо имкон медиҳад, ки бе истифодаи дастгирии махсуси сахтафзор вақти муайяни иҷроро ба даст оранд. Барои тавлиди калиди махфии муштарак, протоколи каҷи эллиптикии Диффи-Хелман дар татбиқ истифода мешавад. , инчунин аз ҷониби Даниел Бернштейн пешниҳод шудааст. Алгоритме, ки барои ҳашинг истифода мешавад ".
натиҷаҳои аз вебсайти расмӣ:
Маҷрои маҷрои (мегабит/с)
Пинг (мс)
Конфигуратсияи санҷиш:
- Intel Core i7-3820QM ва Intel Core i7-5200U
- Кортҳои Gigabit Intel 82579LM ва Intel I218LM
- Linux 4.6.1
- Конфигуратсияи WireGuard: 256-бита ChaCha20 бо Poly1305 барои MAC
- Аввалин конфигуратсияи IPsec: 256-бит ChaCha20 бо Poly1305 барои MAC
- Конфигуратсияи дуюми IPsec: AES-256-GCM-128 (бо AES-NI)
- Танзимоти OpenVPN: маҷмӯи рамзҳои эквиваленти AES 256-бит бо HMAC-SHA2-256, ҳолати UDP
- Самаранокӣ бо истифода чен карда шуд
iperf3, натиҷаи миёнаро дар тӯли 30 дақиқа нишон медиҳад.
Дар назария, вақте ки ба стек шабака дохил карда шуд, WireGuard бояд боз ҳам тезтар кор кунад. Аммо дар асл ин бо сабаби гузариш ба функсияҳои криптографии Crypto API, ки дар ядро сохта шудаанд, ҳатман чунин нахоҳад буд. Шояд на ҳамаи онҳо то ҳол ба сатҳи иҷрои WireGuard-и ватанӣ оптимизатсия карда шудаанд.
“Аз нуқтаи назари ман, WireGuard умуман барои корбар беҳтарин аст. Ҳама қарорҳои сатҳи паст дар мушаххасот қабул карда мешаванд, аз ин рӯ раванди омода кардани инфрасохтори маъмулии VPN ҳамагӣ чанд дақиқаро мегирад. Вайрон кардани конфигуратсия қариб ғайриимкон аст - дар Habré дар 2018. - Раванди насб дар вебсайти расмӣ, ман мехоҳам аълоро алоҳида қайд намоям . Ин осонии истифода ва компакт будани базаи рамзӣ тавассути бартараф кардани тақсимоти калидҳо ба даст омад. Ягон системаи мураккаби сертификатсия вуҷуд надорад ва ин ҳама даҳшати корпоративӣ; калидҳои рамзгузории кӯтоҳ ба монанди калидҳои SSH тақсим карда мешаванд.
Лоиҳаи WireGuard аз соли 2015 таҳия шуда, аз санҷиш гузаронида шуд ва . Дастгирии WireGuard ба NetworkManager ва systemd муттаҳид карда шудааст ва часпакҳои ядро ба тақсимоти асосии Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph ва ALT дохил карда шудаанд.
Манбаъ: will.com