Einige Stunden nach dem Start der neuen Version des Linux-Kernels 5.6 wurde die Implementierung von WireGuard VPN vorgestellt (Sie können die Änderungen und Neuigkeiten dazu überprüfen neue Version hier) ihr Entwickler haben die Veröffentlichung von veröffentlicht ein bedeutender Start von WireGuard VPN 1.0.0 markiert die Lieferung von WireGuard-Komponenten.
Da WireGuard jetzt auf dem Haupt-Linux-Kernel entwickelt wird, Ein Wireguard-Linux-Compat.git-Repository wurde vorbereitet für Distributionen und Benutzer, die weiterhin ältere Versionen des Kernels ausliefern.
Informationen zu WireGuard VPN
WireGuard VPN wird auf Basis moderner Verschlüsselungsmethoden implementierts bietet eine sehr hohe Leistung, ist einfach zu bedienen, problemlos und hat sich in einer Reihe großer Bereitstellungen bewährt, die ein hohes Verkehrsaufkommen bewältigen. Das Projekt wurde seit 2015 entwickelt, hat eine formelle Prüfung und Überprüfung der verwendeten Verschlüsselungsmethoden bestanden.
Die WireGuard-Unterstützung ist bereits in NetworkManager und systemd integriert und Kernel-Patches sind in den Basisdistributionen von Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph und ALT enthalten.
WireGuard verwendet das Konzept des Routings von VerschlüsselungsschlüsselnHierbei wird ein privater Schlüssel an jede Netzwerkschnittstelle gebunden und zum Binden öffentlicher Schlüssel verwendet. Der Austausch öffentlicher Schlüssel zum Herstellen einer Verbindung erfolgt analog zu SSH.
Um Schlüssel auszuhandeln und eine Verbindung herzustellen, ohne einen separaten Daemon im Benutzerbereich zu starten, wird der Noise_IK-Mechanismus des Noise Protocol Framework verwendet, ähnlich wie beim Speichern autorisierter Schlüssel in SSH. Daten werden durch Kapselung in UDP-Paketen übertragen. ZUHiermit können Sie die IP-Adresse des VPN-Servers ändern (Roaming) ohne Unterbrechung der Verbindung mit automatischer Client-Neukonfiguration.
Zur Verschlüsselung ChaCha20-Stream-Verschlüsselung und Poly1305-Nachrichtenauthentifizierungsalgorithmus werden verwendet (MAC) entwickelt von Daniel J. Bernstein, Tanja Lange und Peter Schwabe. ChaCha20 und Poly1305 sind als schnellere und sicherere Analoga von AES-256-CTR und HMAC positioniert, deren Softwareimplementierung es ermöglicht, eine feste Ausführungszeit ohne spezielle Hardwareunterstützung zu erreichen.
Um einen gemeinsamen geheimen Schlüssel zu generieren, wird bei der Implementierung von Curve25519, das ebenfalls von Daniel Bernstein vorgeschlagen wurde, das Diffie-Hellman-Protokoll für elliptische Kurven verwendet. Für den Hash wird der BLAKE2s-Algorithmus (RFC7693) verwendet.
Welche Änderungen sind in WireGuard VPN 1.0.0 enthalten?
Der im Linux-Kernel enthaltene Code wurde einer Prüfung unterzogen von zusätzlicher Sicherheit, durchgeführt von einem unabhängigen Unternehmen, das auf solche Kontrollen spezialisiert ist. Die Prüfung ergab keine Probleme.
Das vorbereitete Repository enthält den WireGuard-Code mit Träger und Schichtkompatibilität.h um die Kompatibilität mit älteren Kerneln sicherzustellen. Es wird darauf hingewiesen, dass Entwickler zwar die Möglichkeit haben und Benutzer benötigt werden, eine separate Version der Patches jedoch in funktionsfähiger Form bleibt.
In seiner jetzigen Form WireGuard kann mit Ubuntu 20.04- und Debian 10 "Buster" -Kernen verwendet werden und es ist auch als Patches für die Linux 5.4- und 5.5-Kernel verfügbar. Distributionen, die die neuesten Kernel wie Arch, Gentoo und Fedora 32 verwenden, können WireGuard in Verbindung mit dem 5.6-Kernel-Update verwenden.
Der Hauptentwicklungsprozess läuft jetzt im Repository wireguard-linux.git, der einen vollständigen Linux-Kernelbaum mit Änderungen aus dem Wireguard-Projekt enthält.
Die Patches in diesem Repository werden auf Aufnahme in den Hauptkern überprüft und regelmäßig an die Zweige net / net-next übertragen.
Die Entwicklung von Dienstprogrammen und Skripten, die im Benutzerbereich ausgeführt werden, wie z. B. wg und wg-quick, erfolgt im Repository wireguard-tools.git, mit dem Pakete in Distributionen erstellt werden können.
Außerdem sind keine weiteren Builds für die Unterstützung dynamischer Kernelmodule erforderlich, obwohl WireGuard weiterhin als ladbares Kernelmodul fungiert.
Schließlich wenn Sie mehr darüber wissen möchten Informationen zu dieser neuen Version finden Sie in der Erklärung der Entwickler im folgenden Link.