Kilka godzin po uruchomieniu została zaprezentowana nowa wersja Linux Kernel 5.6, która obejmuje implementację WireGuard VPN (można sprawdzić zmiany i nowości na ten temat nowa wersja tutaj) ich programiści wydali wydanie znaczące uruchomienie WireGuard VPN 1.0.0 oznaczający dostawę komponentów WireGuard.
Ponieważ WireGuard jest obecnie rozwijany na głównym jądrze Linuksa, repozytorium wireguard-linux -atible.git zostało przygotowane dla dystrybucji i użytkowników, którzy nadal dostarczają starsze wersje jądra.
Informacje o WireGuard VPN
WireGuard VPN jest wdrażany w oparciu o nowoczesne metody szyfrowanias, zapewnia bardzo wysoką wydajność, jest łatwy w użyciu, nie sprawia problemów i został sprawdzony w wielu dużych wdrożeniach, które obsługują duże natężenie ruchu. Projekt rozwijany jest od 2015 roku, przeszedł formalny audyt i weryfikację stosowanych metod szyfrowania.
Obsługa WireGuard jest już zintegrowana z NetworkManager i systemd i łatki na jądro są zawarte w podstawowych dystrybucjach Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph i ALT.
WireGuard wykorzystuje koncepcję routingu klucza szyfrowania, co obejmuje powiązanie klucza prywatnego z każdym interfejsem sieciowym i użycie go do powiązania kluczy publicznych. Wymiana kluczy publicznych w celu nawiązania połączenia odbywa się analogicznie do SSH.
Aby negocjować klucze i łączyć się bez uruchamiania oddzielnego demona w przestrzeni użytkownika, używany jest mechanizm Noise_IK z Noise Protocol Framework, podobny do przechowywania autoryzowanych kluczy w SSH. Dane są przesyłane poprzez hermetyzację w pakietach UDP. DOpozwala zmienić adres IP serwera VPN (roaming) bez przerywania połączenia z automatyczną rekonfiguracją klienta.
Do szyfrowania Wykorzystywane jest szyfrowanie strumienia ChaCha20 i algorytm uwierzytelniania wiadomości Poly1305 (MAC) opracowany przez Daniela J. Bernsteina, Tanję Lange i Petera Schwabe. ChaCha20 i Poly1305 są pozycjonowane jako szybsze i bezpieczniejsze analogi AES-256-CTR i HMAC, których implementacja programowa pozwala osiągnąć stały czas wykonania bez angażowania specjalnego wsparcia sprzętowego.
Aby wygenerować wspólny tajny klucz, protokół Diffie-Hellman na krzywych eliptycznych jest używany w implementacji Curve25519, również zaproponowanej przez Daniela Bernsteina. W przypadku skrótu używany jest algorytm BLAKE2s (RFC7693).
Jakie zmiany zawiera WireGuard VPN 1.0.0?
Kod zawarty w jądrze Linuksa przeszedł audyt dodatkowego zabezpieczenia, przeprowadzonego przez niezależną firmę wyspecjalizowaną w takich kontrolach. Audyt nie wykazał żadnych problemów.
Przygotowane repozytorium zawiera kod WireGuard z podkładem i zgodną warstwą h aby zapewnić kompatybilność ze starszymi jądrami. Należy zauważyć, że chociaż istnieje możliwość dla programistów i potrzeba użytkowników, oddzielna wersja łatek zostanie zachowana w formie roboczej.
W obecnej formie WireGuard może być używany z jądrem Ubuntu 20.04 i Debian 10 „Buster” i jest również dostępny jako łaty dla jądra Linuksa 5.4 i 5.5. Dystrybucje korzystające z najnowszych jąder, takich jak Arch, Gentoo i Fedora 32, będą mogły używać WireGuard w połączeniu z aktualizacją jądra 5.6.
Główny proces rozwoju jest obecnie w repozytorium wireguard-linux.git, który zawiera pełne drzewo jądra Linuksa ze zmianami z projektu Wireguard.
Łatki w tym repozytorium zostaną przejrzane pod kątem włączenia do głównego jądra i będą regularnie przesyłane do gałęzi net / net-next.
Rozwój narzędzi i skryptów działających w przestrzeni użytkownika, takich jak wg i wg-quick, odbywa się w repozytorium wireguard-tools.git, które można wykorzystać do tworzenia pakietów w dystrybucjach.
Ponadto nie będą wymagane żadne dalsze kompilacje obsługi dynamicznych modułów jądra, mimo że WireGuard będzie nadal działał jako ładowalny moduł jądra.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat o nowej wersji można zapoznać się z oświadczeniem jej twórców W poniższym linku.