Няколко часа след стартирането на новата версия на Linux Kernel 5.6 беше представена, която включва внедряването на WireGuard VPN (можете да проверите промените и новините от това нова версия тук) техен разработчиците пуснаха изданието на значително стартиране на WireGuard VPN 1.0.0, отбелязваща доставката на компоненти WireGuard.
Тъй като WireGuard сега се разработва върху основното ядро на Linux, подготвено е хранилище на wireguard-linux-compat.git за дистрибуции и потребители, които продължават да доставят по-стари версии на ядрото.
Относно WireGuard VPN
WireGuard VPN е реализиран на базата на съвременни методи за криптиранеs, той осигурява много висока производителност, лесен е за използване, няма безпокойство и е доказан в редица големи внедрявания, които обработват големи обеми трафик. Проектът е разработен от 2015 г., е преминал официален одит и проверка на използваните методи за криптиране.
Поддръжката на WireGuard вече е интегрирана в NetworkManager и systemd и корекциите на ядрото са включени в основните дистрибуции на Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph и ALT.
WireGuard използва концепцията за маршрутизиране на ключ за криптиране, което включва обвързване на частен ключ към всеки мрежов интерфейс и използването му за обвързване на публични ключове. Обменът на публични ключове за установяване на връзка се извършва по аналогия със SSH.
За договаряне на ключове и свързване без стартиране на отделен демон в потребителското пространство се използва механизмът Noise_IK на Noise Protocol Framework, подобно на запазването на оторизирани ключове в SSH. Данните се предават чрез капсулиране в UDP пакети. ДА СЕпозволява промяна на IP адреса на VPN сървъра (роуминг), без да се прекъсва връзката с автоматично преконфигуриране на клиента.
За криптиране, Използват се криптиране на потока ChaCha20 и алгоритъм за удостоверяване на съобщения Poly1305 (MAC), разработен от Даниел Дж. Бърнстейн, Таня Ланге и Питър Швабе. ChaCha20 и Poly1305 са позиционирани като по-бързи и по-сигурни аналози на AES-256-CTR и HMAC, чиято софтуерна реализация позволява да се постигне фиксирано време за изпълнение, без да се включва специална хардуерна поддръжка.
За генериране на споделен таен ключ, протоколът Diffie-Hellman за елиптични криви се използва при изпълнението на Curve25519, също предложен от Даниел Бърнстейн. За хеша се използва алгоритъмът BLAKE2s (RFC7693).
Какви промени са включени в WireGuard VPN 1.0.0?
Кодът, включен в ядрото на Linux, премина одит на допълнителна сигурност, извършена от независима компания, специализирана в такъв контрол. Одитът не разкри проблеми.
Подготвеното хранилище включва код WireGuard с подложка и слой compat.h за да се осигури съвместимост с по-стари ядра. Отбелязва се, че макар да има възможност за разработчици и нужда от потребители, отделна версия на кръпките ще се запази в работна форма.
В сегашния си вид, WireGuard може да се използва с ядра на Ubuntu 20.04 и Debian 10 "Buster" и се предлага и като кръпки за ядрата на Linux 5.4 и 5.5. Разпределенията, използващи най-новите ядра, като Arch, Gentoo и Fedora 32, ще могат да използват WireGuard заедно с актуализацията на ядрото 5.6.
Основният процес на разработка вече е в ход в хранилището wireguard-linux.git, което включва пълно дърво на ядрото на Linux с промени от проекта Wireguard.
Пачовете в това хранилище ще бъдат прегледани за включване в основното ядро и ще бъдат редовно прехвърляни към клоновете net / net-next.
Разработването на помощни програми и скриптове, които се изпълняват в потребителско пространство, като wg и wg-quick, се извършва в хранилището wireguard-tools.git, което може да се използва за създаване на пакети в дистрибуции.
Освен това няма да са необходими допълнителни компилации на поддръжка на динамичен модул на ядрото, въпреки че WireGuard ще продължи да функционира като зареждаем модул на ядрото.
Накрая ако се интересувате да научите повече за това за тази нова версия можете да се консултирате с изявлението на нейните разработчици В следващия линк.