אין קערן Linux 5.6 אַקטיווירט VPN WireGuard

הייַנט לינוס אריבערגעפארן די נעץ-ווייַטער צווייַג מיט VPN ינטערפייסיז צו זיך WireGuard. וועגן דעם געשעעניש сообщили אויף די מיילינג רשימה WireGuard.

קאָד זאַמלונג פֿאַר די נייַע קערנעל איז איצט אָנגייענדיק. Linux קסנומקס. WireGuard — א שנעלער, נעקסט-דור VPN וואס ניצט מאדערנע קריפטאגראפיע. עס איז ארגינעל אנטוויקלט געווארן אלס א פשוטערע און באקוועמערע אלטערנאטיוו צו עקזיסטירנדע VPN'ס. עס איז אנטוויקלט געווארן דורך קאנאדישן אינפארמאציע זיכערהייט ספעציאליסט דזשייסאן א. דאנענפעלד. אין אויגוסט 2018, WireGuard באקומען לויב פֿון לינוס טאָרוואַלדס. אַרום יענער צײַט האָט מען אָנגעהויבן אַרבעטן אויף אײַנפֿירן VPN אין דעם קערנעל. Linuxדער פּראָצעס האָט גענומען אַ ביסל לענגער.

איך זע אז דזשייסאן האט געמאכט א "פּולל ריקוועסט" צו ארייננעמען WireGuard "אין דעם קערנעל," האט לינוס געשריבן דעם 2טן אויגוסט, 2018. "קען איך נאר נאכאמאל באטאנען מיין ליבע פאר דעם ווי-פי-ען און האפן אויף א שנעלע צוזאמענלייגונג? דער קאוד איז אפשר נישט פערפעקט, אבער איך האב עס אנגעקוקט, און פארגליכן מיט די שרעקן... OpenVPN און IPSec, עס איז אַן עכטע קונסטווערק."

טראָץ לינוס'ס וואונטשן, האָט זיך דער צונויפגיסן געדויערט מיט אַ האַלב יאָר. דער הויפּט פּראָבלעם איז געווען טייד צו פּראַפּרייאַטערי ימפּלאַמאַנץ פון קריפּטאָגראַפיק פאַנגקשאַנז, וואָס זענען געניצט צו פֿאַרבעסערן פאָרשטעלונג. נאָך לאַנג נאַגאָושייישאַנז אין סעפטעמבער 2019 עס איז געווען אַ קאָמפּראָמיס באַשלוס איז געמאכט איבערזעצן פּאַטשאַז צו די קריפּטאָ API פונקציעס וואָס זענען בנימצא אין די קערנעל, צו וועלכע די דעוועלאָפּערס האָבן צוטריט WireGuard עס זענען געווען עטלעכע קלאָגעס וועגן פאָרשטעלונג און אַלגעמיינע זיכערהייט. אָבער אייגענע קריפּטאָ פונקציעס האָבן געלעזט דעם פּראָבלעם. WireGuard אפגעזונדערטע נידעריק-לעוועל צינק APIs און זיי איבערפירן צום קערנעל מיט דער צייט. אין נאוועמבער האבן די קערנעל דעוועלאָפּערס געהאלטן זייער צוזאג און מסכים געווען אַריבערפירן טייל פון די קאָד פון צינק צו די הויפּט קערן. פֿאַר בייַשפּיל, אין די קריפּטאָ אַפּי אַרייַנגערעכנט צוגעגרייט אין WireGuard שנעלע אימפלעמענטאציעס פון די ChaCha20 און Poly1305 אַלגעריטמען.

צום סוף, דעם 9טן דעצעמבער, 2019, האט דוד ס. מילער, וועלכער איז פאראנטווארטלעך פארן קערנעל נעטוואָרקינג סובסיסטעם, Linux, אנגענומען צו דער נעץ-ווייַטער צווייַג פּאַטשאַז מיט די ימפּלאַמענטיישאַן פון די VPN צובינד פֿון די פּרויעקט WireGuard.

און הייַנט, 29 יאנואר 2020, די ענדערונגען זענען צו לינוס פֿאַר ינקלוזשאַן אין די קערן.

קליימד Benefits WireGuard איבער אנדערע VPN לייזונגען:

• גרינג צו נוצן.
• ניצט מאָדערן קריפּטאָגראַפי: ראַש פּראָטאָקאָל פריימווערק, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, עטק.
• סאָליד, ליינעוודיק קאָד, גרינגער צו פאָרשן פֿאַר וואַלנעראַביליטיז.
• הויך פאָרשטעלונג.
• קלאָר און פּראָטים ספּעציפיקאַציע.

די גאנצע גרונטלעכע לאָגיק WireGuard נעמט ווייניגער ווי 4000 שורות קאוד, משא"כ OpenVPN און IPSec איז הונדערטער טויזנטער ליניעס.

"V WireGuard מען ניצט דעם קאנצעפט פון ענקריפּשאַן שליסל רוטינג, וואָס באַשטייט פון בינדן אַ פּריוואַטן שליסל צו יעדער נעץ צובינד און עס ניצן פֿאַר פּובליק שליסל בינדינג. פּובליק שליסלען ווערן אויסגעטוישט צו שאַפֿן אַ פֿאַרבינדונג אין אַ שטייגער ענלעך צו SSH. צו פֿאַרהאַנדלען שליסלען און שאַפֿן אַ פֿאַרבינדונג אָן צו לויפֿן אַ באַזונדערן דאַעמאָן אין באַניצער פּלאַץ, דער Noise_IK מעקאַניזם פֿון ראַש פּראָטאָקאָל פראַמעוואָרקענלעך צו האַלטן Authorized_keys אין SSH. דאַטן טראַנסמיסיע איז דורכגעקאָכט דורך ענקאַפּסולאַטיאָן אין UDP פּאַקיץ. עס שטיצט טשאַנגינג די IP אַדרעס פון די וופּן סערווער (ראָומינג) אָן דיסקאַנעקטינג די קשר מיט אָטאַמאַטיק ריקאַנפיגיעריישאַן פון דעם קליענט, - שרייבט Opennet.

פֿאַר ענקריפּשאַן געוויינט דורך טייַך סיפער ChaCha20 און אָנזאָג אָטענטאַקיישאַן אַלגערידאַם (MAC) פּאָליקסנומקס, דיזיינד דורך דניאל בערנשטיין (דניאל י בערנשטיין), Tanja Lange און Peter Schwabe. ChaCha20 און Poly1305 זענען פּאַזישאַנד ווי פאַסטער און סאַפער אַנאַלאָגועס פון AES-256-CTR און HMAC, די ווייכווארג ימפּלאַמענטיישאַן פון וואָס אַלאַוז אַטשיווינג אַ פאַרפעסטיקט דורכפירונג צייט אָן די נוצן פון ספּעציעל ייַזנוואַרג שטיצן. צו דזשענערייט אַ שערד סוד שליסל, די יליפּטיק ויסבייג Diffie-Hellman פּראָטאָקאָל איז געניצט אין די ימפּלאַמענטיישאַן קורוועקסנומקס, אויך פארגעלייגט דורך דניאל בערנשטיין. דער אַלגערידאַם געניצט פֿאַר כאַשינג איז BLAKE2s (RFC7693)'.

רעזולטאַטן פאָרשטעלונג טעסץ פֿון דער באַאַמטער וועבזייטל:

באַנדווידט (מעגאַביט / s)


פּינג (מס)

טעסט קאַנפיגיעריישאַן:

• Intel Core i7-3820QM און Intel Core i7-5200U
• גיגאַביט קאַרדס Intel 82579LM און Intel I218LM
• Linux 4.6.1
• קאָנפיגוראַטיאָן WireGuard256-ביט טשאַטשאַ20 מיט פּאָלי1305 פֿאַר מעק
• ערשטער IPsec קאַנפיגיעריישאַן: 256-ביסל ChaCha20 מיט Poly1305 פֿאַר MAC
• צווייטע IPsec קאַנפיגיעריישאַן: AES-256-GCM-128 (מיט AES-NI)
• קאָנפיגוראַטיאָן OpenVPNעקוויוואַלענטע ציפער סוויט פון 256-ביט AES מיט HMAC-SHA2-256, UDP מאָדע
• פאָרשטעלונג איז געמאסטן ניצן iperf3, ווייזט די דורכשניטלעך רעזולטאַט איבער 30 מינוט.

טעאָרעטיש, נאָך אינטעגראַציע אין די נעץ סטאַק WireGuard זאָל אַרבעטן נאָך שנעלער. אָבער אין פאַקט, וועט דאָס נישט זיין דער פאַל צוליב דעם איבערגאַנג צו די קריפּטאָ API'ס איינגעבויטע קריפּטאָגראַפֿישע פֿונקציעס. עס איז מעגלעך אַז נישט אַלע פֿון זיי זענען נאָך אָפּטימיזירט צום פאָרשטעלונג לעוועל פֿון דער נאַטיווער ווערסיע. WireGuard.

"פון מיין שטאנדפונקט פון קוק, WireGuard עס איז גאָר אידעאַל פֿאַרן באַניצער. אַלע נידעריק-לעוועל באַשלוסן ווערן גענומען אין באַטראַכט אין דער ספּעציפֿיקאַציע, אַזוי עס נעמט בלויז אַ פּאָר מינוט צו שטעלן אַ טיפּישע VPN אינפֿראַסטרוקטור. עס איז כּמעט אוממעגלעך צו פֿאַרפּאַטשקען די קאָנפֿיגוראַציע. писали אויף Habré אין 2018. - ייַנמאָנטירונג פּראָצעס דיסקרייבד אין דעטאַל אויף דער באַאַמטער וועבזייַטל, איך וואָלט ווי צו סעפּעראַטלי טאָן די ויסגעצייכנט OpenWRT שטיצן. דעם יז פון נוצן און קאַמפּאַקטנאַס פון די קאָד באַזע איז אַטשיווד דורך ילימאַנייטינג די פאַרשפּרייטונג פון שליסלען. עס איז קיין קאָמפּלעקס באַווייַזן סיסטעם און אַלע דעם פֿירמע גרויל זענען פונאנדערגעטיילט פיל ווי SSH שליסלען.

פּרויעקט WireGuard איז אנטוויקלט זינט 2015, עס איז געווארן אוידיטירט און פאָרמאַל וועראַפאַקיישאַן. שטיצן WireGuard אינטעגרירט אין נעטוואָרקמענעדזשער און סיסטעםד, און קערנעל פּאַטשאַז זענען אַרייַנגערעכנט אין די באַזע דיסטריביושאַנז Debian נישט-סטאַביל, מאַגעיאַ, אַלפּיין, אַרטש, דזשענטו, אָפּענוורט, ניקסאָס, סאַבגראַף און אַלט.

מקור: www.habr.com