bản phát hành VPN mang tính bước ngoặt , đánh dấu việc cung cấp các thành phần WireGuard trong lõi chính và ổn định sự phát triển. Mã có trong nhân Linux kiểm toán bảo mật bổ sung được thực hiện bởi một công ty độc lập chuyên về kiểm toán đó. Cuộc kiểm toán không phát hiện ra vấn đề gì.
Vì WireGuard hiện đang được phát triển trong nhân Linux chính nên một kho lưu trữ đã được chuẩn bị cho các bản phân phối và người dùng tiếp tục sử dụng các phiên bản cũ hơn của nhân . Kho lưu trữ bao gồm mã WireGuard được backport và lớp compat.h để đảm bảo khả năng tương thích với các kernel cũ hơn. Cần lưu ý rằng miễn là các nhà phát triển có cơ hội và người dùng cần nó, một phiên bản riêng biệt của các bản vá sẽ được hỗ trợ ở dạng hoạt động. Ở dạng hiện tại, phiên bản độc lập của WireGuard có thể được sử dụng với các hạt nhân từ и và cũng có sẵn dưới dạng bản vá cho nhân Linux и . Các bản phân phối sử dụng các nhân mới nhất như Arch, Gentoo và
Fedora 32 sẽ có thể sử dụng WireGuard với bản cập nhật kernel 5.6.
Quá trình phát triển chính hiện được thực hiện trong kho lưu trữ , bao gồm cây nhân Linux hoàn chỉnh với những thay đổi từ dự án Wireguard. Các bản vá từ kho lưu trữ này sẽ được xem xét để đưa vào kernel chính và thường xuyên được đẩy tới các nhánh net/net-next. Việc phát triển các tiện ích và tập lệnh chạy trong không gian người dùng, chẳng hạn như wg và wg-quick, được thực hiện trong kho lưu trữ , có thể được sử dụng để tạo các gói trong bản phân phối.
Hãy nhớ lại rằng VPN WireGuard được triển khai trên cơ sở các phương pháp mã hóa hiện đại, mang lại hiệu suất rất cao, dễ sử dụng, không phức tạp và đã chứng minh được bản thân trong một số hoạt động triển khai lớn xử lý lượng lớn lưu lượng truy cập. Dự án được phát triển từ năm 2015, đã vượt qua kiểm toán và các phương pháp mã hóa được sử dụng. Hỗ trợ WireGuard đã được tích hợp vào NetworkManager và systemd, đồng thời các bản vá kernel được bao gồm trong các bản phân phối cơ sở , Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, и .
WireGuard sử dụng khái niệm định tuyến khóa mã hóa, bao gồm việc liên kết khóa riêng với từng giao diện mạng và sử dụng khóa chung để liên kết. Việc trao đổi khóa công khai để thiết lập kết nối cũng tương tự như SSH. Để đàm phán các khóa và kết nối mà không cần chạy trình nền không gian người dùng riêng biệt, cơ chế Noise_IK từ , tương tự như việc duy trì ủy quyền trong SSH. Việc truyền dữ liệu được thực hiện thông qua việc đóng gói trong các gói UDP. Nó hỗ trợ thay đổi địa chỉ IP của máy chủ VPN (chuyển vùng) mà không ngắt kết nối với cấu hình lại máy khách tự động.
Để mã hóa mật mã dòng và Thuật toán xác thực tin nhắn (MAC) , được thiết kế bởi Daniel Bernstein (), Tanya Lange
(Tanja Lange) và Peter Schwabe (Peter Schwabe). ChaCha20 và Poly1305 được định vị là các chất tương tự nhanh hơn và an toàn hơn của AES-256-CTR và HMAC, việc triển khai phần mềm cho phép đạt được thời gian thực thi cố định mà không cần hỗ trợ phần cứng đặc biệt. Để tạo khóa bí mật dùng chung, giao thức Diffie-Hellman trên các đường cong elip được sử dụng trong quá trình triển khai , cũng được đề xuất bởi Daniel Bernstein. Thuật toán được sử dụng để băm .
Dưới cái cũ Hiệu suất WireGuard đã chứng minh thông lượng cao hơn 3.9 lần và khả năng phản hồi cao hơn 3.8 lần so với OpenVPN (AES 256-bit với HMAC-SHA2-256). So với IPsec (256-bit ChaCha20+Poly1305 và AES-256-GCM-128), WireGuard cho thấy sự cải thiện hiệu suất một chút (13-18%) và độ trễ thấp hơn (21-23%). Các kết quả thử nghiệm được đăng trên trang web của dự án bao gồm việc triển khai WireGuard độc lập cũ và được đánh dấu là có chất lượng không đủ cao. Kể từ khi thử nghiệm, mã WireGuard và IPsec đã được tối ưu hóa hơn nữa và hiện nhanh hơn. Thử nghiệm đầy đủ hơn bao gồm việc triển khai được tích hợp vào kernel vẫn chưa được thực hiện. Tuy nhiên, cần lưu ý rằng WireGuard vẫn hoạt động tốt hơn IPsec trong một số trường hợp do đa luồng, trong khi OpenVPN vẫn rất chậm.
Nguồn: opennet.ru