Nekaj ur po predstavitvi nove različice Linuxa Kernel 5.6 je bila predstavljena, ki vključuje izvajanje WireGuard VPN (lahko preverite spremembe in novice tega nova različica tukaj) njihovi razvijalci izdali izdajo pomemben začetek WireGuard VPN 1.0.0 označuje dobavo komponent WireGuard.
Ker se WireGuard zdaj razvija na glavnem jedru Linuxa, pripravljeno je repozitorij wireguard-linux-compat.git za distribucije in uporabnike, ki še naprej pošiljajo starejše različice jedra.
O WireGuard VPN
WireGuard VPN se izvaja na osnovi sodobnih metod šifriranjas, zagotavlja zelo visoko zmogljivost, je enostaven za uporabo, brez težav in se je izkazal v številnih velikih postavitvah, ki obravnavajo velike količine prometa. Projekt se razvija od leta 2015, je opravil formalno revizijo in preverjanje uporabljenih metod šifriranja.
Podpora WireGuard je že integrirana v NetworkManager in systemd in popravki jedra so vključeni v osnovne distribucije Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph in ALT.
WireGuard uporablja koncept usmerjanja ključa za šifriranje, ki vključuje vezavo zasebnega ključa na vsak omrežni vmesnik in njegovo uporabo za vezavo javnih ključev. Izmenjava javnih ključev za vzpostavitev povezave poteka po analogiji s SSH.
Za pogajanje o ključih in povezavo, ne da bi v uporabniškem prostoru zagnali ločen demon, se uporablja mehanizem Noise_IK v okviru Noise Protocol Framework, podobno kot shranjevanje pooblaščenih ključev v SSH. Podatki se prenašajo z enkapsulacijo v pakete UDP. TOomogoča spreminjanje naslova IP strežnika VPN (gostovanje) brez prekinitve povezave s samodejno prekonfiguracijo odjemalca.
Za šifriranje Uporabljena sta šifriranje toka ChaCha20 in algoritem za preverjanje pristnosti sporočil Poly1305 (MAC), ki so ga razvili Daniel J. Bernstein, Tanja Lange in Peter Schwabe. ChaCha20 in Poly1305 sta pozicionirana kot hitrejša in varnejša analoga AES-256-CTR in HMAC, katerih programska izvedba omogoča doseganje fiksnega časa izvajanja brez posebne strojne podpore.
Za generiranje skupnega skrivnega ključa se pri izvedbi Curve25519 uporablja protokol Diffie-Hellman na eliptičnih krivuljah, ki ga je predlagal tudi Daniel Bernstein. Za zgoščevanje se uporablja algoritem BLAKE2s (RFC7693).
Katere spremembe so vključene v WireGuard VPN 1.0.0?
Koda, vključena v jedro Linuxa, je bila podvržena reviziji dodatne varnosti, ki jo izvede neodvisno podjetje, specializirano za tak nadzor. Revizija ni pokazala nobenih težav.
Pripravljeno skladišče vključuje kodo WireGuard s podlago in slojem comp.h za zagotovitev združljivosti s starejšimi jedri. Upoštevati je treba, da čeprav obstajajo možnosti za razvijalce in potrebe za uporabnike, bo ločena različica popravkov ohranjena v delujoči obliki.
V sedanji obliki WireGuard se lahko uporablja z jedroma Ubuntu 20.04 in Debian 10 "Buster" na voljo pa je tudi kot popravki za jedra Linux 5.4 in 5.5. Distribucije z najnovejšimi jedri, kot so Arch, Gentoo in Fedora 32, bodo lahko skupaj z posodobitvijo jedra 5.6 uporabljale WireGuard.
Glavni razvojni postopek je zdaj v repozitoriju wireguard-linux.git, ki vključuje celotno drevo jedra Linuxa s spremembami iz projekta Wireguard.
Popravki v tem repozitoriju bodo pregledani za vključitev v glavno jedro in redno preneseni v podružnice net / net-next.
Razvoj pripomočkov in skriptov, ki se izvajajo v uporabniškem prostoru, kot sta wg in wg-quick, poteka v odlagališču wireguard-tools.git, ki ga lahko uporabimo za ustvarjanje paketov v distribucijah.
Prav tako ne bodo potrebne nadaljnje gradnje podpore dinamičnega jedrnega modula, čeprav bo WireGuard še naprej deloval kot naložljiv jedrski modul.
Končno če vas zanima več o tem o tej novi različici si lahko ogledate izjavo njenih razvijalcev V naslednji povezavi.