Několik hodin po spuštění nové verze linuxového jádra 5.6 bylo představeno, což zahrnuje implementaci WireGuard VPN (můžete zkontrolovat změny a novinky tohoto nová verze zde) jejich vývojáři vydali vydání významné spuštění WireGuard VPN 1.0.0 označující dodávku komponent WireGuard.
Vzhledem k tomu, že WireGuard se nyní vyvíjí na hlavním jádře Linuxu, bylo připraveno úložiště wireguard-linux-compat.git pro distribuce a uživatele, kteří nadále dodávají starší verze jádra.
O síti WireGuard VPN
WireGuard VPN je implementována na základě moderních šifrovacích metods, poskytuje velmi vysoký výkon, je snadno použitelný, bezproblémový a prokázal se v řadě velkých nasazení, která zvládají velké objemy provozu. Projekt je vyvíjen od roku 2015, prošel formálním auditem a ověřením použitých šifrovacích metod.
Podpora WireGuard je již integrována do NetworkManageru a systemd a jádrové opravy jsou zahrnuty v základních distribucích Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph a ALT.
WireGuard používá koncept směrování šifrovacích klíčů, což zahrnuje svázání soukromého klíče s každým síťovým rozhraním a jeho použití k navázání veřejných klíčů. Výměna veřejných klíčů k navázání spojení se provádí analogicky s SSH.
K vyjednání klíčů a připojení bez spuštění samostatného démona v uživatelském prostoru se používá mechanismus Noise_IK rámce Noise Protocol, podobně jako zachování autorizovaných klíčů v SSH. Data jsou přenášena prostřednictvím zapouzdření v paketech UDP. NAumožňuje změnit IP adresu serveru VPN (roaming) bez přerušení spojení s automatickou rekonfigurací klienta.
Pro šifrování, Používá se šifrování proudu ChaCha20 a algoritmus ověřování zpráv Poly1305 (MAC) vytvořili Daniel J. Bernstein, Tanja Lange a Peter Schwabe. ChaCha20 a Poly1305 jsou umístěny jako rychlejší a bezpečnější analogy AES-256-CTR a HMAC, jejichž softwarová implementace umožňuje dosáhnout pevné doby provádění bez použití speciální hardwarové podpory.
Ke generování sdíleného tajného klíče se při implementaci Curve25519, který také navrhl Daniel Bernstein, používá protokol Diffie-Hellman o eliptických křivkách. Pro hash se používá algoritmus BLAKE2s (RFC7693).
Jaké změny jsou součástí aplikace WireGuard VPN 1.0.0?
Kód obsažený v linuxovém jádře prošel auditem dodatečné bezpečnosti prováděné nezávislou společností specializovanou na tyto kontroly. Audit neodhalil žádné problémy.
Připravené úložiště obsahuje kód WireGuard s podporou a kompatibilitou vrstev zajistit kompatibilitu se staršími jádry. Je třeba poznamenat, že i když existuje příležitost pro vývojáře a potřebu uživatelů, samostatná verze oprav bude zachována v pracovní formě.
Ve své současné podobě WireGuard lze použít s jádry Ubuntu 20.04 a Debian 10 „Buster“ a je také k dispozici jako opravy pro jádra Linux 5.4 a 5.5. Distribuce využívající nejnovější jádra, jako jsou Arch, Gentoo a Fedora 32, budou moci používat WireGuard ve spojení s aktualizací jádra 5.6.
Hlavní vývojový proces nyní probíhá v úložišti wireguard-linux.git, který obsahuje plný strom jádra Linuxu se změnami z projektu Wireguard.
Opravy v tomto úložišti budou zkontrolovány, zda jsou zahrnuty do hlavního jádra, a budou pravidelně přenášeny do větví net / net-next.
Vývoj nástrojů a skriptů, které běží v uživatelském prostoru, například wg a wg-quick, probíhá v úložišti wireguard-toolss.git, které lze použít k vytváření balíčků v distribucích.
Rovněž nebudou vyžadována žádná další sestavení podpory dynamických modulů jádra, přestože WireGuard bude i nadále fungovat jako zaváděcí modul jádra.
Konečně pokud máte zájem o tom vědět více o této nové verzi si můžete přečíst prohlášení jejích vývojářů Na následujícím odkazu.