Това беше разкрито Дейвид С. Милър, отговорен за мрежовата подсистема на Linux, взе лепенки с внедряването на VPN интерфейса на проекта WireGuard в клона net-next. С което в началото на следващата година натрупаните промени в нетния следващ клон те ще формират основата за изданието на Linux 5.6.
За тези, които не знаят WireGuard те трябва да знаят, че това това е VPN което се прилага на базата на съвременни методи за криптиране, осигурява много висока производителност, лесен е за използване, Той е неусложнен и се е доказал в редица големи внедрявания, обработващи големи обеми трафик.
Относно WireGuard
Проектът е разработен от 2015 г., той е преминал официален одит и проверка на използваните методи за криптиране. Подкрепата на WireGuard вече е интегриран в NetworkManager и systemd, и корекциите на ядрото са част от основните дистрибуции на Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph и ALT.
WireGuard използва концепцията за маршрутизиране на ключове за криптиране, което включва обвързване на частен ключ към всеки мрежов интерфейс и използването му за обвързване на публични ключове. Обменът на публични ключове за установяване на връзка се извършва по аналогия със SSH.
За да договаряте ключове и да се свързвате, без да стартирате отделен демон в потребителското пространство, се използва механизмът Noise_IK на рамката за протокола за шум, подобно на поддържането на оторизирани ключове в SSH. Данните се предават чрез капсулиране в UDP пакети. Поддръжка за промяна на IP адреса на VPN сървър (роуминг), без да прекъсвате връзката и автоматично преконфигурирате клиента.
За криптиране се използва криптиране на потока ChaCha20 и алгоритъма за удостоверяване на съобщенията Poly1305 (MAC), това се позиционира като по-бързи и по-сигурни аналози на AES-256-CTR и HMAC, чиято софтуерна реализация позволява да се постигне фиксирано време за изпълнение, без да се включва специална хардуерна поддръжка.
След дълго WireGuard най-накрая ще бъде включен в Linux
Правени са различни опити за популяризиране Кодът на WireGuard в Linux, но те не са били успешни поради обвързването на собствените им реализации на криптографски функции, които са били използвани за увеличаване на производителността.
Тези функции първоначално бяха предложени на ядрото като допълнителен API на ниско ниво, който в крайна сметка може да замени обикновения API на Crypto.
След преговори на конференцията Kernel Recipes, създателите на WireGuard през септември те взеха компромисно решение да променят своите кръпки да използва API на Crypto core, от който разработчиците на WireGuard имат оплаквания по отношение на производителността и общата сигурност.
Решено бе, че API ще продължи да се развива, но като отделен проект.
По-късно през ноември разработчиците на ядрото поеха ангажимент и те се съгласиха да прехвърлят част от кода в основното ядро. Всъщност някои компоненти ще бъдат прехвърлени в ядрото, но не като отделен API, а като част от подсистемата на Crypto API.
Например Crypto API вече включва бързи внедрения, подготвени от Wireguard на алгоритмите ChaCha20 и Poly1305.
По отношение на следващата вноска WireGuard в ядрото, основателят на проекта обяви преструктуриране на хранилището. За да се опрости разработката, монолитното хранилище "WireGuard.git", което е проектирано за отделно съществуване, ще бъде заменено от три отделни хранилища, които са по-подходящи за организиране на работата на кода в основното ядро:
- wireguard-linux.git - Пълно дърво на ядрото с промени от проекта Wireguard, чиито кръпки ще бъдат прегледани за включване в ядрото и редовно прехвърляни в клоновете net / net-next.
- wireguard-tools.git- Хранилище на помощни програми и скриптове, които се изпълняват в потребителско пространство, като wg и wg-quick. Хранилището може да се използва за създаване на пакети за дистрибуции.
- wireguard-linux-compat.git хранилище с модулна опция, доставя се отделно от ядрото и включва слоя compat.h, за да се осигури съвместимост с по-стари ядра. Основното развитие ще се осъществи в хранилището wireguard-linux.git, но досега потребителите имат възможност и необходимостта от отделна версия на кръпките също ще се поддържа в работна форма.