Een paar uur na de lancering van de nieuwe versie van de Linux Kernel 5.6 werd gepresenteerd, die de implementatie van WireGuard VPN omvat (u kunt de wijzigingen en het nieuws hierover bekijken) nieuwe versie hier) hun ontwikkelaars hebben de release van een belangrijke lancering van WireGuard VPN 1.0.0 markeert de levering van WireGuard-componenten.
Aangezien WireGuard nu wordt ontwikkeld op de belangrijkste Linux-kernel, er is een wireguard-linux-compat.git repository opgesteld voor distributies en gebruikers die doorgaan met het verzenden van oudere versies van de kernel.
Over WireGuard VPN
WireGuard VPN wordt geïmplementeerd op basis van moderne versleutelingsmethodens, levert zeer hoge prestaties, is gebruiksvriendelijk, probleemloos en heeft zich bewezen in een aantal grote implementaties die grote hoeveelheden verkeer verwerken. Het project is ontwikkeld sinds 2015, is geslaagd voor een formele audit en verificatie van de gebruikte versleutelingsmethoden.
WireGuard-ondersteuning is al geïntegreerd in NetworkManager en systemd en kernelpatches zijn inbegrepen in de basisdistributies van Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph en ALT.
WireGuard maakt gebruik van het concept van coderingssleutelroutering, wat inhoudt dat een privésleutel aan elke netwerkinterface wordt gekoppeld en deze wordt gebruikt om openbare sleutels te binden. Het uitwisselen van publieke sleutels om een verbinding tot stand te brengen gebeurt naar analogie met SSH.
Om over sleutels te onderhandelen en verbinding te maken zonder een aparte daemon in de gebruikersruimte te starten, wordt het Noise_IK-mechanisme van het Noise Protocol Framework gebruikt, vergelijkbaar met het bewaren van geautoriseerde sleutels in SSH. Gegevens worden verzonden door middel van inkapseling in UDP-pakketten. NAARlaten we het IP-adres van de VPN-server wijzigen (roaming) zonder de verbinding te onderbreken met automatische clientherconfiguratie.
Voor versleuteling, ChaCha20-stroomversleuteling en Poly1305-algoritme voor berichtverificatie worden gebruikt (MAC) ontwikkeld door Daniel J. Bernstein, Tanja Lange en Peter Schwabe. ChaCha20 en Poly1305 zijn gepositioneerd als snellere en veiligere analogen van AES-256-CTR en HMAC, waarvan de software-implementatie een vaste uitvoeringstijd mogelijk maakt zonder speciale hardware-ondersteuning.
Om een gedeelde geheime sleutel te genereren, wordt het Diffie-Hellman-protocol op elliptische krommen gebruikt bij de implementatie van Curve25519, ook voorgesteld door Daniel Bernstein. Voor de hash wordt het BLAKE2s-algoritme (RFC7693) gebruikt.
Welke wijzigingen zijn opgenomen in WireGuard VPN 1.0.0?
De code in de Linux-kernel onderging een audit aanvullende beveiliging, uitgevoerd door een onafhankelijk bedrijf dat gespecialiseerd is in dergelijke controles. De audit bracht geen problemen aan het licht.
De voorbereide repository bevat de WireGuard-code met steun en laag compatibel. h om compatibiliteit met oudere kernels te garanderen Opgemerkt wordt dat hoewel er een mogelijkheid is voor ontwikkelaars en een behoefte aan gebruikers, een afzonderlijke versie van de patches in werkende vorm zal worden gehouden.
In zijn huidige vorm WireGuard kan worden gebruikt met Ubuntu 20.04 en Debian 10 "Buster" -kernels en het is ook beschikbaar als patches voor de Linux 5.4- en 5.5-kernels. Distributies die de nieuwste kernels gebruiken, zoals Arch, Gentoo en Fedora 32, zullen WireGuard kunnen gebruiken in combinatie met de 5.6 kernel-update.
Het belangrijkste ontwikkelingsproces is nu aan de gang in de wireguard-linux.git-repository, die een volledige Linux-kernelboom bevat met wijzigingen ten opzichte van het Wireguard-project.
De patches in deze repository zullen worden beoordeeld voor opname in de hoofdkernel en zullen regelmatig worden overgebracht naar de net / net-next branches.
Ontwikkeling van hulpprogramma's en scripts die in gebruikersruimte draaien, zoals wg en wg-quick, vindt plaats in de wireguard-tools.git-repository, die kan worden gebruikt om pakketten in distributies te maken.
Ook zijn er geen verdere builds van dynamische kernelmoduleondersteuning nodig, ook al zal WireGuard blijven functioneren als een laadbare kernelmodule.
Eindelijk als u er meer over wilt weten over deze nieuwe versie kunt u de verklaring van de ontwikkelaars raadplegen In de volgende link.