WireGuard "จะมาถึง" แก่นแท้ Linux - ทำไม?

ในช่วงปลายเดือนกรกฎาคม นักพัฒนาอุโมงค์ VPN ได้... WireGuard ที่นำเสนอ ชุดแพทช์ซึ่งจะทำให้ซอฟต์แวร์การสร้างอุโมงค์ VPN ของพวกเขาเป็นส่วนหนึ่งของแกนหลัก Linuxอย่างไรก็ตาม วันที่แน่นอนสำหรับการนำ "แนวคิด" นี้ไปใช้ยังคงไม่เป็นที่ทราบแน่ชัด เราจะกล่าวถึงเครื่องมือนี้ในรายละเอียดเพิ่มเติมด้านล่าง

WireGuard "จะมาถึง" แก่นแท้ Linux - ทำไม?
/ รูปถ่าย ทัมบาโก จากัวร์ CC

สั้น ๆ เกี่ยวกับโครงการ

WireGuard — อุโมงค์ VPN รุ่นใหม่ที่สร้างขึ้นโดย Jason A. Donenfeld ซีอีโอของ Edge Security โครงการนี้ได้รับการพัฒนาขึ้นเพื่อ... ประยุกต์ และทางเลือกที่คล่องตัว OpenVPN และ IPsec เวอร์ชันแรกของผลิตภัณฑ์มีโค้ดเพียง 4 บรรทัดเท่านั้น เพื่อเป็นการเปรียบเทียบ ใน OpenVPN ประมาณ 120 สาย และในระบบ IPSec ประมาณ 420 สาย

บน ตาม นักพัฒนา WireGuard ติดตั้งง่ายและมีระบบรักษาความปลอดภัยตามโปรโตคอล ผ่านอัลกอริธึมการเข้ารหัสที่ได้รับการพิสูจน์แล้ว. เมื่อเปลี่ยนเครือข่าย: การเชื่อมต่อผ่าน Wi-Fi, LTE หรือ Ethernet จำเป็นต้องเชื่อมต่อกับเซิร์ฟเวอร์ VPN ใหม่ทุกครั้ง เซิร์ฟเวอร์ WireGuard พวกเขาจะไม่ตัดการเชื่อมต่อแม้ว่าผู้ใช้จะได้รับที่อยู่ IP ใหม่ก็ตาม

แม้ว่า WireGuard เดิมทีลับคมไว้สำหรับ Linux-แกนหลัก, นักพัฒนา ดูแล และเกี่ยวกับเวอร์ชันพกพาของเครื่องมือสำหรับ Android-อุปกรณ์ต่างๆ แอปพลิเคชันยังพัฒนาไม่เสร็จสมบูรณ์ แต่คุณสามารถทดลองใช้งานได้ในตอนนี้ ในการทำเช่นนั้น คุณต้องมี... มาเป็นหนึ่งในผู้ทดสอบ.

โดยทั่วไป WireGuard ได้รับความนิยมอย่างมากและแม้กระทั่ง ดำเนินการ ผู้ให้บริการ VPN หลายราย เช่น Mullvad และ AzireVPN เผยแพร่ออนไลน์ จำนวนมากของ คู่มือการตั้งค่า การตัดสินใจครั้งนี้ ตัวอย่างเช่น, มีคำแนะนำซึ่งสร้างโดยผู้ใช้และมีคำแนะนำ จัดทำโดยผู้เขียนโครงการ.

รายละเอียดทางเทคนิค

В เอกสารราชการ (หน้า 18) สังเกตได้ว่าความสามารถในการประมวลผลของ WireGuard สูงกว่าถึงสี่เท่า OpenVPN: 1011 Mbps เทียบกับ 258 Mbps ตามลำดับ WireGuard นำหน้าโซลูชันมาตรฐานสำหรับ Linux IPsec มีความเร็ว 881 Mbps และยังตั้งค่าได้ง่ายกว่าอีกด้วย

หลังจากแลกเปลี่ยนคีย์ (การเชื่อมต่อ VPN จะเริ่มต้นคล้ายกับการเชื่อมต่อ SSH) และสร้างการเชื่อมต่อเรียบร้อยแล้ว WireGuard ระบบจะจัดการงานอื่นๆ ทั้งหมดโดยอิสระ ไม่จำเป็นต้องกังวลเกี่ยวกับการกำหนดเส้นทาง การตรวจสอบสถานะ ฯลฯ การตั้งค่าเพิ่มเติมจะจำเป็นก็ต่อเมื่อคุณต้องการใช้การเข้ารหัสแบบสมมาตรเท่านั้น

WireGuard "จะมาถึง" แก่นแท้ Linux - ทำไม?
/ รูปถ่าย อันเดอร์ส ฮอยเบิร์ก CC

ในการติดตั้ง คุณจะต้องมีระบบปฏิบัติการที่มีเคอร์เนลอยู่ด้วย Linux เวอร์ชัน "เก่ากว่า" 4.1 สามารถพบได้ในคลังซอฟต์แวร์ของระบบปฏิบัติการหลัก ๆ Linux.

$ sudo add-apt-repository ppa:hda-me/wireguard
$ sudo apt update
$ sudo apt install wireguard-dkms wireguard-tools

ในฐานะบรรณาธิการของ xakep.ru การประกอบตัวเองจากข้อความต้นฉบับก็เป็นเรื่องง่ายเช่นกัน การเปิดอินเทอร์เฟซและสร้างคีย์สาธารณะและส่วนตัวก็เพียงพอแล้ว:

$ sudo ip link add dev wg0 type wireguard
$ wg genkey | tee privatekey | wg pubkey > publickey

WireGuard ไม่ได้ใช้ อินเทอร์เฟซสำหรับการทำงานกับผู้ให้บริการ crypto CryptoAPI. จะใช้รหัสสตรีมแทน ชะชะช่า 20, การเข้ารหัส เม็ดมีดเลียนแบบ Poly1305 และฟังก์ชันแฮชการเข้ารหัสที่เป็นกรรมสิทธิ์

รหัสลับถูกสร้างขึ้นโดยใช้ โปรโตคอล Diffie-Hellman ขึ้นอยู่กับเส้นโค้งรูปไข่ Curve25519. เมื่อแฮชพวกเขาใช้ ฟังก์ชันแฮช เบลค2 и ซิบแฮช. เนื่องจากรูปแบบการประทับเวลา TAI64N โปรโตคอลจะละทิ้งแพ็กเก็ตที่มีค่าประทับเวลาน้อยกว่าด้วยเหตุนี้ ป้องกัน DoS- и เล่นซ้ำการโจมตี.

ในกรณีนี้ WireGuard เปิดใช้งานฟังก์ชัน ioctl เพื่อควบคุมการรับส่งข้อมูล (ที่เคยใช้มาก่อน) เน็ตลิงค์) ซึ่งทำให้โค้ดสะอาดและง่ายขึ้น คุณสามารถตรวจสอบได้โดยดูที่ รหัสการกำหนดค่า.

แผนสำหรับนักพัฒนา

สำหรับตอนนี้ WireGuard — เป็นโมดูลเคอร์เนลที่อยู่นอกโครงสร้างหลัก แต่เจสัน โดเนนเฟลด์ ผู้เขียนโครงการนี้ พูดว่าถึงเวลาแล้วที่จะต้องนำไปใช้งานอย่างเต็มรูปแบบในเคอร์เนล Linuxเพราะมันง่ายกว่าและน่าเชื่อถือกว่าวิธีแก้ปัญหาอื่นๆ เจสันกล่าวในเรื่องนี้ รองรับ แม้แต่ลินัส ทอร์วัลด์สเองก็เป็นผู้ตั้งชื่อรหัสนี้ WireGuard "งานศิลปะชิ้นหนึ่ง"

แต่เกี่ยวกับวันที่เริ่มดำเนินการที่แน่นอน WireGuard ยังไม่มีใครพูดถึงแก่นแท้เลย และ แทบจะไม่ สิ่งนี้จะเกิดขึ้นพร้อมกับการวางจำหน่ายฉบับเดือนสิงหาคม Linux เคอร์เนลเวอร์ชัน 4.18 อย่างไรก็ตาม มีความเป็นไปได้ว่าสิ่งนี้จะเกิดขึ้นในอนาคตอันใกล้นี้ คือในเวอร์ชัน 4.19 หรือ 5.0

เมื่อ WireGuard จะถูกเพิ่มเข้าไปในส่วนหลัก นักพัฒนา ต้องการ ปรับปรุงแอปพลิเคชันสำหรับ Android-อุปกรณ์ต่างๆ และเริ่มเขียนแอป iOS นอกจากนี้ เราวางแผนที่จะพัฒนาการใช้งาน Go และ Rust ให้เสร็จสมบูรณ์และพอร์ตไปยังแพลตฟอร์มอื่น macOS, Windows และ BSD นอกจากนี้ยังมีการวางแผนการนำไปใช้งานด้วย WireGuard สำหรับ "ระบบที่แปลกใหม่" กว่านี้: ปปส, FPGAรวมถึงสิ่งที่น่าสนใจอื่น ๆ อีกมากมาย ทั้งหมดมีระบุไว้ใน รายการสิ่งที่ต้องทำ ผู้เขียนโครงการ

ป.ล. บทความเพิ่มเติมจากบล็อกองค์กรของเรา:

ทิศทางหลักของกิจกรรมของเราคือการให้บริการคลาวด์:

โครงสร้างพื้นฐานเสมือน (IaaS) | โฮสติ้ง PCI DSS | คลาวด์ FZ-152 | SAP โฮสติ้ง | พื้นที่เก็บข้อมูลเสมือน | การเข้ารหัสข้อมูลในระบบคลาวด์ | การจัดเก็บเมฆ

ที่มา: will.com

ซื้อโฮสติ้งที่เชื่อถือได้สำหรับไซต์ที่มีการป้องกัน DDoS เซิร์ฟเวอร์ VPS VDS 🔥 ซื้อบริการเว็บโฮสติ้งที่เชื่อถือได้ พร้อมระบบป้องกัน DDoS และเซิร์ฟเวอร์ VPS/VDS | ProHoster