具有里程碑意义的 VPN 发布 ,这标志着主核心WireGuard组件的交付 和稳定发展。 Linux内核中包含的代码 由专门从事此类审计的独立公司进行额外的安全审计。 审计没有发现任何问题。
由于 WireGuard 现在正在主 Linux 内核中开发,因此已经为发行版和继续使用旧版本内核的用户准备了一个存储库 。 该存储库包括向后移植的 WireGuard 代码和 compat.h 层,以确保与旧内核的兼容性。 值得注意的是,只要开发者有机会并且用户需要,单独版本的补丁就会以工作形式得到支持。 在目前的形式中,独立版本的 WireGuard 可以与以下内核一起使用 и ,也可以作为 Linux 内核的补丁提供 и 。 使用最新内核的发行版,例如 Arch、Gentoo 和
Fedora 32 将能够在 5.6 内核更新中使用 WireGuard。
现在主要的开发过程是在存储库中进行的 ,其中包括完整的 Linux 内核树以及 Wireguard 项目的更改。 来自该存储库的补丁将经过审查以包含在主内核中,并定期推送到 net/net-next 分支。 在用户空间中运行的实用程序和脚本(例如 wg 和 wg-quick)的开发是在存储库中进行的 ,可用于在发行版中创建包。
让我们提醒您,VPN WireGuard 是在现代加密方法的基础上实现的,提供非常高的性能,易于使用,没有复杂性,并且已经在处理大量流量的大量大型部署中证明了自己。 该项目自2015年开始开发,已通过审核并通过 使用的加密方法。 WireGuard 支持已集成到 NetworkManager 和 systemd 中,并且内核补丁包含在基本发行版中 、Mageia、Alpine、Arch、Gentoo、OpenWrt、NixOS、 и .
WireGuard 使用加密密钥路由的概念,其中涉及将私钥附加到每个网络接口并使用它来绑定公钥。 以与 SSH 类似的方式交换公钥以建立连接。 为了协商密钥并连接而无需在用户空间中运行单独的守护进程,来自的 Noise_IK 机制 类似于在 SSH 中维护authorized_keys。 数据传输是通过封装在UDP数据包中进行的。 它支持在不断开连接的情况下更改 VPN 服务器的 IP 地址(漫游)并自动进行客户端重新配置。
用于加密 流密码 和消息认证算法(MAC) ,由丹尼尔·伯恩斯坦设计(),坦尼娅·兰格
(塔尼娅·兰格)和彼得·施瓦贝。 ChaCha20 和 Poly1305 被定位为 AES-256-CTR 和 HMAC 的更快、更安全的类似物,其软件实现允许在不使用特殊硬件支持的情况下实现固定的执行时间。 为了生成共享密钥,实现中使用了椭圆曲线 Diffie-Hellman 协议 ,也是由丹尼尔·伯恩斯坦提出的。 用于散列的算法是 .
旧下 性能 与 OpenVPN(带有 HMAC-SHA3.9-3.8 的 256 位 AES)相比,WireGuard 的吞吐量提高了 2 倍,响应速度提高了 256 倍。 与 IPsec(256 位 ChaCha20+Poly1305 和 AES-256-GCM-128)相比,WireGuard 显示出轻微的性能改进 (13-18%) 和更低的延迟 (21-23%)。 项目网站上发布的测试结果涵盖了 WireGuard 的旧独立实施,并被标记为质量不够高。 自测试以来,WireGuard 和 IPsec 代码得到了进一步优化,现在速度更快。 尚未进行涵盖集成到内核中的实现的更完整的测试。 然而,值得注意的是,由于多线程,WireGuard 在某些情况下仍然优于 IPsec,而 OpenVPN 仍然非常慢。
来源: opennet.ru