VPN WireGuard 1.0.0 พร้อมใช้งานแล้ว

แนะนำ การเปิดตัว VPN ที่สำคัญ ไวร์การ์ด 1.0.0ซึ่งถือเป็นการส่งมอบส่วนประกอบ WireGuard ในแกนหลัก Linux 5.6 และการพัฒนาอย่างมั่นคง รหัสที่รวมอยู่ในเคอร์เนล Linux ผ่าน การตรวจสอบความปลอดภัยเพิ่มเติมที่ดำเนินการโดยบริษัทอิสระที่เชี่ยวชาญด้านการตรวจสอบดังกล่าว การตรวจสอบไม่พบปัญหาใดๆ

เนื่องจากขณะนี้ WireGuard กำลังได้รับการพัฒนาในเคอร์เนล Linux หลัก จึงมีการเตรียมพื้นที่เก็บข้อมูลสำหรับการแจกจ่ายและผู้ใช้ยังคงใช้เคอร์เนลเวอร์ชันเก่าต่อไป wireguard-linux-compat.git. พื้นที่เก็บข้อมูลประกอบด้วยโค้ด WireGuard ที่ backported และเลเยอร์ compat.h เพื่อให้แน่ใจว่าเข้ากันได้กับเคอร์เนลรุ่นเก่า มีข้อสังเกตว่าตราบใดที่นักพัฒนามีโอกาสและผู้ใช้ต้องการมัน แพตช์เวอร์ชันแยกต่างหากจะได้รับการสนับสนุนในรูปแบบการทำงาน ในรูปแบบปัจจุบัน WireGuard เวอร์ชันสแตนด์อโลนสามารถใช้กับเคอร์เนลได้ อูบุนตู 20.04 и เดเบียน 10 "บัสเตอร์"และยังใช้เป็นแพตช์สำหรับเคอร์เนล Linux อีกด้วย 5.4 и 5.5. การแจกแจงโดยใช้เคอร์เนลล่าสุด เช่น Arch, Gentoo และ
Fedora 32 จะสามารถใช้ WireGuard กับการอัพเดตเคอร์เนล 5.6 ได้

ขณะนี้กระบวนการพัฒนาหลักกำลังดำเนินการอยู่ในพื้นที่เก็บข้อมูล wireguard-linux.gitซึ่งรวมถึงแผนผังเคอร์เนล Linux ที่สมบูรณ์พร้อมการเปลี่ยนแปลงจากโครงการ Wireguard แพตช์จากที่เก็บนี้จะได้รับการตรวจสอบเพื่อรวมไว้ในเคอร์เนลหลัก และจะส่งไปยังสาขา net/net-next เป็นประจำ การพัฒนายูทิลิตี้และสคริปต์ที่ทำงานในพื้นที่ผู้ใช้ เช่น wg และ wg-quick ดำเนินการในพื้นที่เก็บข้อมูล wireguard-tools.gitซึ่งสามารถใช้สร้างแพ็คเกจในการแจกแจงได้

เราขอเตือนคุณว่า VPN WireGuard ได้รับการปรับใช้บนพื้นฐานของวิธีการเข้ารหัสที่ทันสมัย ​​ให้ประสิทธิภาพสูงมาก ใช้งานง่าย ไม่มีความยุ่งยาก และได้พิสูจน์ตัวเองแล้วในการปรับใช้ขนาดใหญ่จำนวนมากที่ประมวลผลการรับส่งข้อมูลจำนวนมาก โครงการได้รับการพัฒนามาตั้งแต่ปี 2015 ได้รับการตรวจสอบและ การตรวจสอบอย่างเป็นทางการ วิธีการเข้ารหัสที่ใช้ การสนับสนุน WireGuard ได้รับการรวมเข้ากับ NetworkManager และ systemd แล้ว และแพตช์เคอร์เนลจะรวมอยู่ในการกระจายฐาน Debian ไม่เสถียร, Mageia, อัลไพน์, Arch, Gentoo, OpenWrt, NixOS, subgraph и ALT.

WireGuard ใช้แนวคิดของการกำหนดเส้นทางคีย์เข้ารหัส ซึ่งเกี่ยวข้องกับการแนบคีย์ส่วนตัวกับแต่ละอินเทอร์เฟซเครือข่าย และใช้เพื่อผูกคีย์สาธารณะ มีการแลกเปลี่ยนกุญแจสาธารณะเพื่อสร้างการเชื่อมต่อในลักษณะเดียวกันกับ SSH หากต้องการเจรจาคีย์และเชื่อมต่อโดยไม่ต้องรัน daemon แยกต่างหากในพื้นที่ผู้ใช้ กลไก Noise_IK จาก กรอบโปรโตคอลเสียงรบกวนคล้ายกับการรักษา allowance_keys ใน SSH การส่งข้อมูลจะดำเนินการผ่านการห่อหุ้มในแพ็กเก็ต UDP รองรับการเปลี่ยนที่อยู่ IP ของเซิร์ฟเวอร์ VPN (โรมมิ่ง) โดยไม่ต้องตัดการเชื่อมต่อด้วยการกำหนดค่าไคลเอนต์อัตโนมัติ

สำหรับการเข้ารหัส เคย รหัสสตรีม ชะชะช่า 20 และอัลกอริทึมการตรวจสอบข้อความ (MAC) Poly1305ออกแบบโดยแดเนียล เบิร์นสไตน์ (แดเนียล เจ. เบิร์นสไตน์), ทันย่า แลงจ์
(ทันยา แลงจ์) และปีเตอร์ ชวาเบ ChaCha20 และ Poly1305 อยู่ในตำแหน่งอะนาล็อกที่เร็วและปลอดภัยยิ่งขึ้นของ AES-256-CTR และ HMAC การใช้งานซอฟต์แวร์ซึ่งช่วยให้ได้รับเวลาดำเนินการคงที่โดยไม่ต้องใช้การสนับสนุนฮาร์ดแวร์พิเศษ ในการสร้างคีย์ลับที่ใช้ร่วมกัน จะใช้โปรโตคอล Diffie-Hellman เส้นโค้งวงรีในการใช้งาน Curve25519เสนอโดย Daniel Bernstein เช่นกัน อัลกอริธึมที่ใช้สำหรับการแฮชคือ เบลค2s (RFC7693).

ภายใต้ความเก่า การทดสอบ ประสิทธิภาพ WireGuard แสดงให้เห็นถึงปริมาณงานที่สูงขึ้น 3.9 เท่าและการตอบสนองที่สูงขึ้น 3.8 เท่า เมื่อเทียบกับ OpenVPN (256-bit AES พร้อม HMAC-SHA2-256) เมื่อเปรียบเทียบกับ IPsec (256-bit ChaCha20+Poly1305 และ AES-256-GCM-128) WireGuard จะแสดงการปรับปรุงประสิทธิภาพเล็กน้อย (13-18%) และเวลาแฝงที่ต่ำกว่า (21-23%) ผลการทดสอบที่โพสต์บนเว็บไซต์ของโครงการครอบคลุมการใช้งาน WireGuard แบบสแตนด์อโลนแบบเก่าและถูกทำเครื่องหมายว่ามีคุณภาพสูงไม่เพียงพอ นับตั้งแต่การทดสอบ รหัส WireGuard และ IPsec ได้รับการปรับปรุงเพิ่มเติมและตอนนี้เร็วขึ้น ยังไม่มีการทดสอบที่สมบูรณ์ยิ่งขึ้นซึ่งครอบคลุมการใช้งานที่รวมอยู่ในเคอร์เนล อย่างไรก็ตาม มีข้อสังเกตว่า WireGuard ยังคงมีประสิทธิภาพเหนือกว่า IPsec ในบางสถานการณ์เนื่องจากการทำงานแบบมัลติเธรด ในขณะที่ OpenVPN ยังคงช้ามาก

ที่มา: opennet.ru