Niekoľko hodín po uvedení novej verzie Linuxu na trh bolo predstavené jadro 5.6, ktoré obsahuje implementáciu WireGuard VPN (môžete si skontrolovať zmeny a novinky z tohto nová verzia tu) ich vývojári vydali vydanie významné spustenie Aplikácia WireGuard VPN 1.0.0 označuje dodávku komponentov WireGuard.
Pretože WireGuard sa teraz vyvíja na hlavnom jadre Linuxu, bolo pripravené úložisko wireguard-linux-compat.git pre distribúcie a používateľov, ktorí naďalej dodávajú staršie verzie jadra.
Informácie o sieti WireGuard VPN
WireGuard VPN je implementovaná na základe moderných metód šifrovanias, poskytuje veľmi vysoký výkon, je ľahko použiteľný, bezproblémový a bolo preukázané v mnohých veľkých nasadeniach, ktoré zvládajú vysoké objemy prenosu. Projekt sa vypracoval od roku 2015, prešiel formálnym auditom a overením použitých metód šifrovania.
Podpora aplikácie WireGuard je už integrovaná do programov NetworkManager a systemd a opravy jadra sú obsiahnuté v základných distribúciách Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph a ALT.
WireGuard využíva koncepciu smerovania šifrovacieho kľúča, ktorá zahŕňa naviazanie súkromného kľúča na každé sieťové rozhranie a jeho použitie na naviazanie verejných kľúčov. Výmena verejných kľúčov na nadviazanie spojenia sa uskutočňuje analogicky s SSH.
Na vyjednávanie kľúčov a pripojenie bez spustenia samostatného démona v užívateľskom priestore sa používa mechanizmus Noise_IK v rámci Noise Protocol Framework, podobne ako uchovávanie autorizovaných kľúčov v SSH. Dáta sa prenášajú zapuzdrením v paketoch UDP. TOumožňuje zmeniť IP adresu servera VPN (roaming) bez prerušenia spojenia s automatickou rekonfiguráciou klienta.
Pre šifrovanie, Používa sa šifrovanie toku ChaCha20 a algoritmus overovania správ Poly1305 (MAC) vyvinuté Danielom J. Bernsteinom, Tanjou Lange a Peterom Schwabem. ChaCha20 a Poly1305 sú umiestnené ako rýchlejšie a bezpečnejšie analógy AES-256-CTR a HMAC, ktorých softvérová implementácia umožňuje dosiahnuť pevný čas vykonania bez potreby špeciálnej hardvérovej podpory.
Na vygenerovanie zdieľaného tajného kľúča sa pri implementácii Curve25519, ktorý navrhol Daniel Bernstein, používa protokol Diffie-Hellman o eliptických krivkách. Pre hash sa používa algoritmus BLAKE2s (RFC7693).
Aké zmeny obsahuje WireGuard VPN 1.0.0?
Kód obsiahnutý v jadre Linuxu prešiel auditom dodatočnej bezpečnosti, ktorú vykonáva nezávislá spoločnosť špecializovaná na tieto kontroly. Audit neodhalil žiadne problémy.
Pripravené úložisko obsahuje kód WireGuard s podložkou a vrstvou kompatibil.h aby sa zabezpečila kompatibilita so staršími jadrami. Je potrebné poznamenať, že aj keď existuje príležitosť pre vývojárov a používateľov, samostatná verzia opráv bude zachovaná v pracovnej podobe.
V súčasnej podobe Aplikáciu WireGuard je možné použiť v jadrách Ubuntu 20.04 a Debian 10 „Buster“ a je k dispozícii aj ako záplaty pre jadrá Linux 5.4 a 5.5. Distribúcie používajúce najnovšie jadrá, ako sú Arch, Gentoo a Fedora 32, budú môcť používať WireGuard v spojení s aktualizáciou jadra 5.6.
Hlavný proces vývoja teraz prebieha v úložisku wireguard-linux.git, ktorý obsahuje kompletný strom jadra Linuxu so zmenami z projektu Wireguard.
Opravy v tomto úložisku budú skontrolované, či neobsahujú hlavné jadro, a budú pravidelne prenášané do pobočiek net / net-next.
Vývoj pomocných programov a skriptov, ktoré bežia v užívateľskom priestore, ako napríklad wg a wg-quick, sa uskutočňuje v úložisku wireguard-toolss.git, ktoré je možné použiť na vytváranie balíkov v distribúciách.
Tiež nebudú potrebné žiadne ďalšie zostavenia podpory dynamických modulov jadra, aj keď WireGuard bude aj naďalej fungovať ako načítateľný modul jadra.
Konečne ak máte záujem dozvedieť sa o tom viac o tejto novej verzii sa môžete oboznámiť s vyhlásením jej vývojárov Na nasledujúcom odkaze.