כמה שעות לאחר הצגת הגרסה החדשה של לינוקס Kernel 5.6, הכוללת את הטמעת ה- WireGuard VPN (תוכלו לבדוק את השינויים והחדשות על כך גרסה חדשה כאן) שלהם מפתחים פרסמו את המהדורה של השקה משמעותית של WireGuard VPN 1.0.0 המסמן את מסירת רכיבי WireGuard.
מכיוון ש- WireGuard מפותח כעת על ליבת הלינוקס הראשית, הוכן מאגר wireguard-linux-compat.git להפצות ומשתמשים שממשיכים לשלוח גרסאות ישנות יותר של הליבה.
אודות WireGuard VPN
ה- WireGuard VPN מיושם על בסיס שיטות הצפנה מודרניותs, מספק ביצועים גבוהים מאוד, קל לשימוש, ללא טרחה, והוכח במספר פריסות גדולות המטפלות בכמויות תנועה גבוהות. הפרויקט פותח מאז 2015, עבר ביקורת ואימות רשמי של שיטות ההצפנה בהן נעשה שימוש.
תמיכת WireGuard כבר משולבת ב- NetworkManager וב- systemd ותיקוני גרעינים כלולים בהפצות הבסיס של Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph ו- ALT.
WireGuard משתמש במושג ניתוב מפתח הצפנה, שכולל קשירת מפתח פרטי לכל ממשק רשת ושימוש בו לאיגוד מפתחות ציבוריים. החלפת המפתחות הציבוריים ליצירת חיבור נעשית באנלוגיה עם SSH.
כדי לנהל משא ומתן על מקשים ולהתחבר מבלי להתחיל דמון נפרד במרחב המשתמשים, נעשה שימוש במנגנון Noise_IK של Noise Protocol Framework, בדומה לשמירת מפתחות מורשים ב- SSH. הנתונים מועברים באמצעות אנקפסולציה בחבילות UDP. למאפשר לשנות את כתובת ה- IP של שרת ה- VPN (נדידה) מבלי להפריע לחיבור עם תצורה אוטומטית של לקוח מחדש.
להצפנה, נעשה שימוש בהצפנת זרם ChaCha20 ואלגוריתם אימות הודעות Poly1305 (MAC) שפותחה על ידי דניאל ג'יי ברנשטיין, טנג'ה לאנג ופיטר שוואבה. ChaCha20 ו- Poly1305 ממוקמים כאנלוגים מהירים ובטוחים יותר של AES-256-CTR ו- HMAC, אשר יישום התוכנה שלהם מאפשר להשיג זמן ביצוע קבוע מבלי לערב תמיכה מיוחדת בחומרה.
כדי ליצור מפתח סודי משותף, נעשה שימוש בפרוטוקול Diffie-Hellman על עקומות אליפטיות ביישום Curve25519, המוצע גם על ידי דניאל ברנשטיין. עבור החשיש, נעשה שימוש באלגוריתם BLAKE2s (RFC7693).
אילו שינויים כלולים ב- WireGuard VPN 1.0.0?
הקוד הכלול בליבת לינוקס עבר ביקורת של אבטחה נוספת, המבוצעת על ידי חברה עצמאית המתמחה בבקרות כאלה. הביקורת לא העלתה בעיות.
המאגר המוכן כולל את קוד WireGuard עם גיבוי והתאמת שכבות כדי להבטיח תאימות עם גרעינים ישנים יותר. יצוין כי אמנם קיימת הזדמנות למפתחים וצורך במשתמשים, אך גרסה נפרדת של התיקונים תישמר בצורה עובדת.
במתכונתו הנוכחית, ניתן להשתמש ב- WireGuard עם גרעיני "באסטר" של אובונטו 20.04 ודביאן 10 והוא זמין גם כתיקונים עבור גרעיני הלינוקס 5.4 ו- 5.5. הפצות המשתמשות בגרעינים האחרונים, כגון Arch, Gentoo ו- Fedora 32, יוכלו להשתמש ב- WireGuard בשילוב עם עדכון הליבה 5.6.
תהליך הפיתוח העיקרי מתנהל כעת במאגר wireguard-linux.git, הכולל עץ ליבות לינוקס מלא עם שינויים מפרויקט Wireguard.
התיקונים במאגר זה ייבדקו להכללה בגרעין הראשי ויועברו באופן קבוע לסניפי ה- net / net-next.
פיתוח כלי עזר ותסריטים הפועלים במרחב המשתמשים, כגון wg ו- wg-quick, מתרחש במאגר wireguard-tools.git, שניתן להשתמש בו ליצירת חבילות בהפצות.
כמו כן, לא תידרש בנייה נוספת של תמיכה במודול ליבה דינמי למרות ש- WireGuard ימשיך לתפקד כמודול ליבה הניתן לטעינה.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך לגבי גרסה חדשה זו, תוכלו להתייעץ עם הצהרת המפתחים שלה בקישור הבא.