ซอร์สโค้ดของ FreeBSD ได้รับการอัปเดตด้วยการใช้งาน VPN รูปแบบใหม่แล้ว WireGuard, основанной на коде модуля ядра, совместно подготовленного основными командами разработчиков FreeBSD и WireGuard โดยมี เจสัน เอ. โดเนนเฟลด์ ผู้เขียนหนังสือ VPN เป็นผู้ร่วมเขียน WireGuard, и Джона Болдуина (John H. Baldwin), известного разработчика GDB и FreeBSD, в начале 2000-х годов реализовавшего поддержку SMP и NUMA в ядре FreeBSD. После принятия драйвера в состав FreeBSD (sys/dev/wg), его разработка и сопровождение отныне будет вестись в репозитории FreeBSD.
ก่อนที่รหัสจะได้รับการยอมรับ การตรวจสอบการเปลี่ยนแปลงอย่างเต็มรูปแบบได้ดำเนินการโดยได้รับการสนับสนุนจาก FreeBSD Foundation ในระหว่างนั้นก็มีการวิเคราะห์การโต้ตอบของไดรเวอร์กับระบบย่อยเคอร์เนลที่เหลือด้วย และความเป็นไปได้ของการใช้การเข้ารหัสแบบดั้งเดิมที่เคอร์เนลให้มา ได้รับการประเมิน
ในการใช้อัลกอริธึมการเข้ารหัสที่ไดรเวอร์ต้องการ API ของระบบย่อย crypto-subsystem เคอร์เนล FreeBSD ได้รับการขยาย ซึ่งมีการเพิ่มสายรัดที่อนุญาตให้ใช้อัลกอริธึมที่ไม่รองรับใน FreeBSD ผ่าน crypto-API มาตรฐาน โดยใช้การดำเนินการของ อัลกอริธึมที่จำเป็นจากไลบรารี libsodium อัลกอริธึมที่สร้างไว้ในไดรเวอร์เหลือเพียงรหัสสำหรับการคำนวณแฮชของ Blake2 เท่านั้น เนื่องจากการใช้งานอัลกอริธึมที่มีให้ใน FreeBSD นั้นเชื่อมโยงกับขนาดแฮชคงที่
Кроме того, в процессе рецензирования была проведена оптимизация кода, позволившая поднять эффективность распределения нагрузки на многоядерных CPU (обеспечена равномерная балансировка привязки задач шифрования и расшифровки пакета к ядрам CPU). В итоге накладные расходы при обработке пакетов были приближены к реализации драйвера для Linux. В коде также обеспечена возможность использования драйвера ossl для ускорения операций шифрования.
В отличие от прошлой попытки интеграции WireGuard во FreeBSD в новой реализации задействована штатная утилита wg, а не модифицированная версия ifconfig, что позволило унифицировать настройку в Linux и FreeBSD. Утилита wg как и драйвер включена в состав исходных текстов FreeBSD, что стало возможным благодаря изменению лицензии на код wg (код теперь доступен под лицензиями MIT и GPL). Прошлая попытка включения WireGuard в состав FreeBSD была предпринята в 2020 году, но завершилась скандалом, в результате которого уже добавленный код был удалён из-за низкого качества, безалаберной работы с буферами, использования заглушек вместо проверок, неполной реализации протокола и нарушения лицензии GPL.
จำได้ว่า VPN WireGuard ระบบนี้ได้รับการพัฒนาโดยใช้วิธีการเข้ารหัสที่ทันสมัย ให้ประสิทธิภาพสูง ใช้งานง่าย ปราศจากความซับซ้อน และได้รับการพิสูจน์แล้วในการใช้งานขนาดใหญ่หลายแห่งที่รองรับปริมาณการรับส่งข้อมูลจำนวนมาก โครงการนี้ได้รับการพัฒนามาตั้งแต่ปี 2015 และผ่านการตรวจสอบและรับรองวิธีการเข้ารหัสอย่างเป็นทางการแล้ว WireGuard มีการใช้แนวคิดการกำหนดเส้นทางโดยใช้คีย์ ซึ่งเกี่ยวข้องกับการผูกคีย์ส่วนตัวเข้ากับอินเทอร์เฟซเครือข่ายแต่ละตัว และใช้คีย์สาธารณะในการผูกข้อมูล
การแลกเปลี่ยนคีย์สาธารณะเพื่อสร้างการเชื่อมต่อคล้ายกับ SSH ในการเจรจาคีย์และเชื่อมต่อโดยไม่ต้องเรียกใช้เดมอนแยกต่างหากในพื้นที่ผู้ใช้ จะใช้กลไก Noise_IK จาก Noise Protocol Framework ซึ่งคล้ายกับการดูแลรักษา authorized_keys ใน SSH การถ่ายโอนข้อมูลดำเนินการผ่านการห่อหุ้มในแพ็กเก็ต UDP รองรับการเปลี่ยนแปลงคีย์ได้ ที่อยู่ IP เซิร์ฟเวอร์ VPN (แบบโรมมิ่ง) ที่ไม่ทำให้การเชื่อมต่อหยุดชะงัก พร้อมการกำหนดค่าไคลเอ็นต์ใหม่โดยอัตโนมัติ
การเข้ารหัสใช้การเข้ารหัสสตรีม ChaCha20 และอัลกอริทึมการตรวจสอบข้อความ (MAC) Poly1305 ที่พัฒนาโดย Daniel J. Bernstein, Tanja Lange และ Peter Schwabe ChaCha20 และ Poly1305 อยู่ในตำแหน่งอะนาลอกที่เร็วกว่าและปลอดภัยกว่าของ AES-256-CTR และ HMAC การใช้งานซอฟต์แวร์ซึ่งช่วยให้บรรลุเวลาการดำเนินการที่แน่นอนโดยไม่ต้องมีการสนับสนุนฮาร์ดแวร์พิเศษ ในการสร้างรหัสลับที่ใช้ร่วมกัน จะใช้โปรโตคอล Diffie-Hellman เส้นโค้งวงรีในการใช้งาน Curve25519 ซึ่งเสนอโดย Daniel Bernstein สำหรับการแฮช จะใช้อัลกอริทึม BLAKE2s (RFC7693)
ที่มา: opennet.ru
