具有里程碑意義的 VPN 發布 ,這標誌著主核心WireGuard組件的交付 和穩定發展。 Linux 核心中包含的程式碼 由專門從事此類審計的獨立公司進行額外的安全審計。 審計沒有發現任何問題。
由於 WireGuard 現在正在主 Linux 核心中開發,因此已經為發行版和繼續使用舊版本核心的用戶準備了一個儲存庫 。 此儲存庫包括向後移植的 WireGuard 程式碼和 compat.h 層,以確保與舊核心的兼容性。 值得注意的是,只要開發者有機會並且使用者需要,單獨版本的補丁就會以工作形式得到支援。 在目前的形式中,獨立版本的 WireGuard 可以與以下核心一起使用 и ,也可以作為 Linux 核心的補丁提供 и 。 使用最新內核的發行版,例如 Arch、Gentoo 和
Fedora 32 將能夠在 5.6 核心更新中使用 WireGuard。
現在主要的開發過程是在儲存庫中進行的 ,其中包括完整的 Linux 核心樹以及 Wireguard 專案的變更。 來自該儲存庫的修補程式將經過審查以包含在主核心中,並定期推送到 net/net-next 分支。 在使用者空間中執行的實用程式和腳本(例如 wg 和 wg-quick)的開發是在儲存庫中進行的 ,可用於在發行版中建立包。
讓我們提醒您,VPN WireGuard 是在現代加密方法的基礎上實現的,提供非常高的性能,易於使用,沒有複雜性,並且已經在處理大量流量的大量大型部署中證明了自己。 該專案自2015年開始開發,已通過審核並通過 使用的加密方法。 WireGuard 支援已整合到 NetworkManager 和 systemd 中,並且核心補丁包含在基本發行版中 、Mageia、Alpine、Arch、Gentoo、OpenWrt、NixOS、 и .
WireGuard 使用加密金鑰路由的概念,其中涉及將私鑰附加到每個網路介面並使用它來綁定公鑰。 以與 SSH 類似的方式交換公鑰以建立連線。 為了協商金鑰並連接而無需在用戶空間中運行單獨的守護進程,來自的 Noise_IK 機制 類似於在 SSH 中維護authorized_keys。 資料傳輸是透過封裝在UDP資料包中進行的。 它支援在不斷開連接的情況下更改 VPN 伺服器的 IP 位址(漫遊)並自動進行用戶端重新配置。
用於加密 流密碼 和訊息認證演算法(MAC) ,由丹尼爾·伯恩斯坦設計(),坦妮亞·蘭格
(塔妮亞·蘭格)和彼得·施瓦貝。 ChaCha20 和 Poly1305 被定位為 AES-256-CTR 和 HMAC 的更快、更安全的類似物,其軟體實現允許在不使用特殊硬體支援的情況下實現固定的執行時間。 為了產生共享金鑰,實作中使用了橢圓曲線 Diffie-Hellman 協定 ,也是由丹尼爾·伯恩斯坦提出的。 用於散列的演算法是 .
舊下 效能 與 OpenVPN(具有 HMAC-SHA3.9-3.8 的 256 位元 AES)相比,WireGuard 的吞吐量提高了 2 倍,回應速度提高了 256 倍。 與 IPsec(256 位元 ChaCha20+Poly1305 和 AES-256-GCM-128)相比,WireGuard 顯示出輕微的效能改進 (13-18%) 和更低的延遲 (21-23%)。 專案網站上發布的測試結果涵蓋了 WireGuard 的舊獨立實施,並被標記為品質不夠高。 自測試以來,WireGuard 和 IPsec 程式碼得到了進一步優化,現在速度更快。 尚未進行涵蓋整合到核心中的實現的更完整的測試。 然而,值得注意的是,由於多線程,WireGuard 在某些情況下仍然優於 IPsec,而 OpenVPN 仍然非常慢。
來源: opennet.ru