Quelques heures après le lancement de la nouvelle version du noyau Linux 5.6 a été présentée, qui inclut l'implémentation de WireGuard VPN (vous pouvez vérifier les changements et les actualités de ce nouvelle version ici) leur les développeurs ont publié la version de un lancement important de WireGuard VPN 1.0.0 marquant la livraison des composants WireGuard.
Étant donné que WireGuard est maintenant en cours de développement sur le noyau Linux principal, un dépôt wireguard-linux-compat.git a été préparé pour les distributions et les utilisateurs qui continuent à livrer des versions plus anciennes du noyau.
À propos de WireGuard VPN
WireGuard VPN est implémenté sur la base de méthodes de cryptage moderness, offre des performances très élevées, est facile à utiliser, sans tracas et a fait ses preuves dans un certain nombre de déploiements de grande envergure qui gèrent des volumes de trafic élevés. Le projet est développé depuis 2015, a passé avec succès un audit formel et une vérification des méthodes de cryptage utilisées.
Le support WireGuard est déjà intégré dans NetworkManager et systemd et les correctifs du noyau sont inclus dans les distributions de base de Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph et ALT.
WireGuard utilise le concept de routage de clé de chiffrement, ce qui implique de lier une clé privée à chaque interface réseau et de l'utiliser pour lier des clés publiques. L'échange de clés publiques pour établir une connexion se fait par analogie avec SSH.
Pour négocier les clés et se connecter sans démarrer un démon séparé dans l'espace utilisateur, le mécanisme Noise_IK du Noise Protocol Framework est utilisé, similaire à la conservation des clés autorisées dans SSH. Les données sont transmises par encapsulation dans des paquets UDP. Àpermet de changer l'adresse IP du serveur VPN (itinérance) sans interrompre la connexion avec reconfiguration automatique du client.
Pour le cryptage, Le chiffrement de flux ChaCha20 et l'algorithme d'authentification de message Poly1305 sont utilisés (MAC) développé par Daniel J. Bernstein, Tanja Lange et Peter Schwabe. ChaCha20 et Poly1305 se positionnent comme des analogues plus rapides et plus sécurisés de AES-256-CTR et HMAC, dont la mise en œuvre logicielle permet d'atteindre un temps d'exécution fixe sans impliquer de support matériel particulier.
Pour générer une clé secrète partagée, le protocole Diffie-Hellman sur les courbes elliptiques est utilisé dans l'implémentation de Curve25519, également proposée par Daniel Bernstein. Pour le hachage, l'algorithme BLAKE2s (RFC7693) est utilisé.
Quelles modifications sont incluses dans WireGuard VPN 1.0.0?
Le code inclus dans le noyau Linux a fait l'objet d'un audit de sécurité supplémentaire, réalisée par une société indépendante spécialisée dans de tels contrôles. L'audit n'a révélé aucun problème.
Le référentiel préparé comprend le code WireGuard avec support et couche compat.h pour assurer la compatibilité avec les noyaux plus anciens. Il est à noter que s'il existe une opportunité pour les développeurs et un besoin pour les utilisateurs, une version distincte des correctifs sera conservée sous une forme fonctionnelle.
Dans sa forme actuelle, WireGuard peut être utilisé avec les noyaux Ubuntu 20.04 et Debian 10 "Buster" et il est également disponible sous forme de correctifs pour les noyaux Linux 5.4 et 5.5. Les distributions utilisant les derniers noyaux, tels que Arch, Gentoo et Fedora 32, pourront utiliser WireGuard en conjonction avec la mise à jour du noyau 5.6.
Le processus de développement principal est maintenant en cours dans le référentiel wireguard-linux.git, qui inclut une arborescence complète du noyau Linux avec les modifications du projet Wireguard.
Les correctifs de ce référentiel seront examinés pour être inclus dans le noyau principal et seront régulièrement transférés vers les branches net / net-next.
Le développement des utilitaires et des scripts qui s'exécutent dans l'espace utilisateur, tels que wg et wg-quick, a lieu dans le référentiel wireguard-tools.git, qui peut être utilisé pour créer des packages dans les distributions.
De plus, aucune autre version du support de module de noyau dynamique ne sera requise même si WireGuard continuera à fonctionner comme un module de noyau chargeable.
Enfin si vous souhaitez en savoir plus à propos de cette nouvelle version, vous pouvez consulter la déclaration de ses développeurs dans le lien suivant.