David Miller (), Linux çekirdeğinin ağ alt sisteminden sorumludur, net-sonraki şubeye projedeki VPN arayüzünün uygulanmasıyla . Gelecek yılın başlarında net-sonraki dalda biriken değişiklikler Linux çekirdeği 5.6'nın piyasaya sürülmesinin temelini oluşturacak.
WireGuard kodunu ana çekirdeğe aktarma girişimleri son birkaç yılda yapıldı, ancak performansı artırmak için kullanılan şifreleme işlevlerinin özel uygulamalarına bağlı olması nedeniyle başarısız kaldı. Başlangıçta bu işlevler çekirdek için ek bir düşük seviyeli Çinko API'si olarak, bu da sonunda standart Kripto API'sinin yerini alabilir.
Çekirdek Tarifler konferansındaki tartışmaların ardından Eylül ayında WireGuard'ın yaratıcıları yamalarınızı, WireGuard geliştiricilerinin performans ve genel güvenlik alanında şikayetleri olan çekirdekte bulunan Crypto API'yi kullanacak şekilde aktarın. Çinko API'sinin ayrı bir proje olarak geliştirilmesine devam edilmesine karar verildi.
Kasım ayında çekirdek geliştiricileri bir uzlaşmaya yanıt olarak kodun bir kısmını Çinko'dan ana çekirdeğe aktarmayı kabul etti. Temel olarak bazı Çinko bileşenleri çekirdeğe taşınacak, ancak ayrı bir API olarak değil, Crypto API alt sisteminin bir parçası olarak. Örneğin, Crypto API zaten WireGuard'da hazırlanan ChaCha20 ve Poly1305 algoritmalarının hızlı uygulamaları.
WireGuard'ın ana çekirdekte yakında teslim edilmesiyle bağlantılı olarak projenin kurucusu Deponun yeniden yapılandırılması hakkında. Geliştirmeyi kolaylaştırmak için, tek başına var olacak şekilde tasarlanan yekpare "WireGuard.git" deposunun yerini, ana çekirdekteki kodla çalışmayı organize etmek için daha uygun olan üç ayrı depo alacak:
- - Wireguard projesindeki değişiklikleri içeren eksiksiz bir çekirdek ağacı; yamalar çekirdeğe dahil edilmek üzere incelenecek ve düzenli olarak net/net-next şubelerine aktarılacak.
- - wg ve wg-quick gibi kullanıcı alanında çalıştırılan yardımcı programlar ve komut dosyaları için bir depo. Depo, dağıtımlara yönelik paketler oluşturmak için kullanılabilir.
- - çekirdekten ayrı olarak sağlanan ve eski çekirdeklerle uyumluluğu sağlamak için compat.h katmanını içeren modülün bir çeşidini içeren bir depo. Ana geliştirme wireguard-linux.git deposunda gerçekleştirilecek ancak kullanıcılar arasında fırsat ve ihtiyaç olduğu sürece yamaların ayrı bir sürümü de çalışır durumda desteklenecektir.
VPN WireGuard'ın modern şifreleme yöntemleri temelinde uygulandığını, çok yüksek performans sağladığını, kullanımının kolay olduğunu, komplikasyon içermediğini ve büyük hacimli trafiği işleyen çok sayıda büyük dağıtımda kendini kanıtladığını hatırlatalım. Proje 2015 yılından bu yana geliştiriliyor, denetleniyor ve Kullanılan şifreleme yöntemleri. WireGuard desteği halihazırda NetworkManager ve systemd'ye entegre edilmiştir ve çekirdek yamaları temel dağıtımlara dahil edilmiştir , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard, her ağ arayüzüne özel bir anahtar eklemeyi ve bunu genel anahtarları bağlamak için kullanmayı içeren şifreleme anahtarı yönlendirme konseptini kullanır. Genel anahtarlar, SSH'ye benzer şekilde bir bağlantı kurmak için değiştirilir. Kullanıcı alanında ayrı bir arka plan programı çalıştırmadan anahtarlar üzerinde anlaşmak ve bağlanmak için Noise_IK mekanizması SSH'de yetkili_anahtarların bakımına benzer. Veri iletimi UDP paketlerinde kapsülleme yoluyla gerçekleştirilir. Bağlantıyı kesmeden ve istemciyi otomatik olarak yeniden yapılandırmadan VPN sunucusunun IP adresinin değiştirilmesini (dolaşım) destekler.
Şifreleme için kesintisiz şifreleme ve mesaj kimlik doğrulama algoritması (MAC) Daniel Bernstein tarafından tasarlanan (), Tanya Lange
(Tanja Lange) ve Peter Schwabe. ChaCha20 ve Poly1305, yazılım uygulaması özel donanım desteği kullanılmadan sabit bir yürütme süresi elde edilmesini sağlayan AES-256-CTR ve HMAC'ın daha hızlı ve daha güvenli analogları olarak konumlandırılmıştır. Paylaşılan bir gizli anahtar oluşturmak için uygulamada eliptik eğri Diffie-Hellman protokolü kullanılır Daniel Bernstein tarafından da önerilmiştir. Hashing için kullanılan algoritma şu şekildedir: .
at Performans WireGuard, OpenVPN'e (HMAC-SHA3.9-3.8 ile 256 bit AES) kıyasla 2 kat daha yüksek verim ve 256 kat daha yüksek yanıt verme yeteneği gösterdi. IPsec (256-bit ChaCha20+Poly1305 ve AES-256-GCM-128) ile karşılaştırıldığında WireGuard hafif bir performans artışı (%13-18) ve daha düşük gecikme (%21-23) gösterir. Testler, proje tarafından geliştirilen şifreleme algoritmalarının hızlı uygulamaları kullanılarak gerçekleştirildi; çekirdeğin standart Kripto API'sine aktarım, performansın düşmesine neden olabilir.
Kaynak: opennet.ru