Vài giờ sau khi ra mắt phiên bản mới của Linux Kernel 5.6, bao gồm việc triển khai WireGuard VPN (bạn có thể kiểm tra các thay đổi và tin tức về điều này phiên bản mới đây) của chúng các nhà phát triển đã phát hành bản phát hành của một sự ra mắt quan trọng của WireGuard VPN 1.0.0 đánh dấu việc cung cấp các thành phần WireGuard.
Vì WireGuard hiện đang được phát triển trên nhân Linux chính, một kho lưu trữ wireguard-linux-compat.git đã được chuẩn bị cho các bản phân phối và người dùng tiếp tục gửi các phiên bản cũ hơn của hạt nhân.
Giới thiệu về WireGuard VPN
WireGuard VPN được triển khai trên cơ sở các phương pháp mã hóa hiện đạis, cung cấp hiệu suất rất cao, dễ sử dụng, không phức tạp và đã được chứng minh trong một số triển khai lớn xử lý khối lượng lớn lưu lượng truy cập. Dự án đã được phát triển từ năm 2015, đã vượt qua kiểm tra chính thức và xác minh các phương pháp mã hóa được sử dụng.
Hỗ trợ WireGuard đã được tích hợp vào NetworkManager và systemd và các bản vá hạt nhân được bao gồm trong các bản phân phối cơ sở của Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph và ALT.
Dây bảo vệ sử dụng khái niệm định tuyến khóa mã hóa, liên quan đến việc ràng buộc một khóa riêng với mỗi giao diện mạng và sử dụng nó để ràng buộc các khóa công khai. Việc trao đổi khóa công khai để thiết lập kết nối được thực hiện tương tự với SSH.
Để thương lượng các khóa và kết nối mà không cần khởi động một daemon riêng biệt trong không gian người dùng, cơ chế Noise_IK của Khung giao thức tiếng ồn được sử dụng, tương tự như giữ các khóa được ủy quyền trong SSH. Dữ liệu được truyền thông qua đóng gói trong các gói UDP. ĐẾNcho phép thay đổi địa chỉ IP của máy chủ VPN (chuyển vùng) mà không làm gián đoạn kết nối với cấu hình lại ứng dụng khách tự động.
Để mã hóa, Mã hóa luồng ChaCha20 và thuật toán xác thực tin nhắn Poly1305 được sử dụng (MAC) được phát triển bởi Daniel J. Bernstein, Tanja Lange và Peter Schwabe. ChaCha20 và Poly1305 được định vị là các chất tương tự nhanh hơn và an toàn hơn của AES-256-CTR và HMAC, mà việc triển khai phần mềm cho phép đạt được thời gian thực thi cố định mà không cần hỗ trợ phần cứng đặc biệt.
Để tạo khóa bí mật dùng chung, giao thức Diffie-Hellman trên đường cong elliptic được sử dụng trong việc triển khai Curve25519, cũng do Daniel Bernstein đề xuất. Đối với băm, thuật toán BLAKE2s (RFC7693) được sử dụng.
Những thay đổi nào được bao gồm trong WireGuard VPN 1.0.0?
Mã có trong nhân Linux đã trải qua quá trình kiểm tra bảo mật bổ sung, được thực hiện bởi một công ty độc lập chuyên về các biện pháp kiểm soát như vậy. Cuộc kiểm toán không phát hiện ra bất kỳ vấn đề nào.
Kho lưu trữ đã chuẩn bị bao gồm mã WireGuard với sự ủng hộ và lớp compat.h để đảm bảo khả năng tương thích với các hạt nhân cũ hơn. Cần lưu ý rằng mặc dù có cơ hội cho các nhà phát triển và nhu cầu của người dùng, một phiên bản riêng của các bản vá sẽ được giữ ở dạng hoạt động.
Ở dạng hiện tại, WireGuard có thể được sử dụng với các hạt nhân "Buster" Ubuntu 20.04 và Debian 10 và nó cũng có sẵn dưới dạng bản vá cho các nhân Linux 5.4 và 5.5. Các bản phân phối sử dụng hạt nhân mới nhất, chẳng hạn như Arch, Gentoo và Fedora 32, sẽ có thể sử dụng WireGuard cùng với bản cập nhật hạt nhân 5.6.
Quá trình phát triển chính hiện đang được tiến hành trong kho lưu trữ wireguard-linux.git, bao gồm một cây nhân Linux đầy đủ với những thay đổi từ dự án Wireguard.
Các bản vá trong kho này sẽ được xem xét để đưa vào nhân chính và sẽ thường xuyên được chuyển đến các nhánh net / net-next.
Việc phát triển các tiện ích và tập lệnh chạy trong không gian người dùng, chẳng hạn như wg và wg-quick, diễn ra trong kho lưu trữ wireguard-tools.git, có thể được sử dụng để tạo các gói trong các bản phân phối.
Ngoài ra, sẽ không yêu cầu bản dựng thêm hỗ trợ mô-đun nhân động mặc dù WireGuard sẽ tiếp tục hoạt động như một mô-đun nhân có thể tải được.
Cuối cùng nếu bạn muốn biết thêm về nó về phiên bản mới này, bạn có thể tham khảo tuyên bố của các nhà phát triển Trong liên kết sau đây.