在发布新版本的Linux Kernel 5.6几个小时后,其中包括WireGuard VPN的实现(您可以查看此更改和消息) 新版本在这里) 他们的 开发人员发布了 重大推出 WireGuard VPN 1.0.0标志着WireGuard组件的交付。
由于WireGuard现在是在主要的Linux内核上开发的, 一个wireguard-linux-compat.git仓库已经准备好了 适用于继续发行较旧版本内核的发行版和用户。
关于WireGuard VPN
WireGuard VPN是在现代加密方法的基础上实现的,提供了非常高的性能,易于使用,没有麻烦,并且已经在处理大量流量的许多大型部署中得到了证明。 该项目自2015年开始开发, 已通过对使用的加密方法的正式审核和验证。
WireGuard支持已集成到NetworkManager和systemd中 和内核补丁包含在Debian Unstable,Mageia,Alpine,Arch,Gentoo,OpenWrt,NixOS,Subgraph和ALT的基本发行版中。
WireGuard 使用加密密钥路由的概念,这涉及将私钥绑定到每个网络接口,并使用它来绑定公钥。 类似于建立SSH的公共密钥交换以建立连接。
为了协商密钥并进行连接而无需在用户空间中启动单独的守护程序,使用了噪声协议框架的Noise_IK机制,类似于将授权密钥保留在SSH中。 数据通过封装在UDP数据包中进行传输。 到让我们更改VPN服务器的IP地址 (漫游),而不会通过自动重新配置客户端来中断连接。
对于加密, 使用ChaCha20流加密和Poly1305消息认证算法 (MAC)由Daniel J. Bernstein,Tanja Lange和Peter Schwabe开发。 ChaCha20和Poly1305定位为AES-256-CTR和HMAC的更快,更安全的类似物,其软件实现允许在不涉及特殊硬件支持的情况下实现固定的执行时间。
为了生成共享密钥,在椭圆曲线上的Diffie-Hellman协议也用于由Daniel Bernstein提出的Curve25519的实现中。 对于哈希,使用BLAKE2s算法(RFC7693)。
WireGuard VPN 1.0.0包含哪些更改?
Linux内核中包含的代码经过了审核 由专门从事此类控制的独立公司执行的附加安全性检查。 审计没有发现任何问题。
准备好的存储库包含WireGuard代码 有支持和层compat.h 确保与较早版本的内核兼容。 注意,尽管开发人员有机会,也有用户需求,但补丁的单独版本将以工作形式保留。
以目前的形式, WireGuard可以与Ubuntu 20.04和Debian 10“ Buster”内核一起使用 它也可以作为Linux 5.4和5.5内核的补丁程序使用。 使用最新的内核(例如Arch,Gentoo和Fedora 32)的发行版将能够结合使用WireGuard和5.6内核更新。
主要的开发过程现在在wireguard-linux.git存储库中进行,其中包括完整的Linux内核树,其中包含Wireguard项目的更改。
该存储库中的补丁将被检查是否包含在主内核中,并将定期转移到net / net-next分支中。
可在用户空间中运行的实用程序和脚本(例如wg和wg-quick)的开发在wireguard-tools.git存储库中进行,该存储库可用于在发行版中创建程序包。
而且,即使WireGuard将继续充当可加载的内核模块,也不需要进一步构建动态内核模块支持。
最后 如果您有兴趣了解更多信息 关于这个新版本,您可以查阅其开发人员的声明。 在下面的链接中。