Minulý měsíc jsme zde na blogu hovořili o novinkách, které vydal David S. Miller, odpovědný za síťový subsystém Linux, do kterého se zapojuji záplaty s implementace rozhraní VPN projektu WireGuard v pobočce net-next.
S tím Úložiště převzal Linus Torvalds, který tvoří budoucí větev jádra Linuxu 5.6 a po několika změnách ve středu kolem 1:XNUMX SEČ vytáhl Torvalds síťové aktualizace z úložiště David Millers, přičemž v horní části seznamu je WireGuard.
S tím očekáváno linuxové jádro 5.6 koncem března nebo začátkem dubna konečně podpoří technologii tunelového propojení WireGuard VPNstejně jako počáteční podpora pro rozšíření MPTCP (MultiPath TCP).
Dříve byla kryptografická primitiva potřebná pro fungování WireGuard přenesena z knihovny Zinc do standardního Crypto API a zahrnuta do jádra 5.5.
Jádro Linux by pravděpodobně poskytoval podporu Wireguard po dlouhou dobu, pokud by nedošlo ke sporu o šifrovací základnu vyvinutou speciálně pro technologii VPN. Vyřešení těchto nesrovnalostí trvalo asi rok a půl.
Tento proces byl odvozen od toho tým WireGuard v této věci přijme opatření, od jednání na konferenci Kernel Recipes, ve kterém tvůrci WireGuard v září učinili kompromisní rozhodnutí změnit své patche používat Crypto core API, na které mají vývojáři WireGuard stížnosti z hlediska výkonu a obecné bezpečnosti.
Bylo rozhodnuto, že API bude pokračovat ve vývoji, ale jako samostatný projekt. Později v listopadu se vývojáři jádra zavázali a dohodli se na přenosu části kódu do hlavního jádra. Ve skutečnosti budou některé komponenty přeneseny do jádra, ale ne jako samostatné API, ale jako součást subsystému Crypto API.
Wireguard slibuje rychlé navázání spojení, dobrý výkon, stejně jako robustní, rychlá a transparentní manipulace s potraty připojení. Konfigurace této technologie je navíc mnohem snazší než u jiných technologií VPN a implementuje zabezpečení proti odposlechu pomocí nejnovějších šifrovacích algoritmů.
Tým WireGuard na svých webových stránkách vysvětluje, co odlišuje jejich protokol od ostatních, a říká:
"WireGuard byl navržen s ohledem na snadné nasazení a jednoduchost."
Je zamýšleno tak, aby se dal snadno implementovat ve velmi malém počtu řádků kódu a aby byl snadno auditovatelný kvůli slabým místům zabezpečení.
Ve srovnání s obry jako * Swan / IPsec nebo OpenVPN / OpenSSL, kde je auditování gigantických kódových základen skličujícím úkolem i pro velké týmy bezpečnostních odborníků, má WireGuard důkladně prověřit jednotlivci.
Vícecestný TCP, na druhou stranu, je rozšíření protokolu TCP, které umožňuje organizovat provoz připojení TCP se současným doručováním paketů na více trasách prostřednictvím různých síťových rozhraní, která jsou vázána na různé adresy IP (použití více datových připojení najednou)
Vícecestný TCP lze použít jak pro zvýšení výkonu, tak pro zvýšení spolehlivosti.
Například MPTCP lze použít k uspořádání přenosu dat na smartphonu pomocí připojení WiFi a 3G současně, nebo ke snížení nákladů připojením serveru pomocí několika levných odkazů namísto jednoho drahého.
Dalším případem, například u příslušných serverů, může být při překročení dosahu WLAN plynulý přechod z WLAN na připojení mobilního telefonu. Integrace protokolu Multipath TCP do systému Linux je také výhodná, protože nadcházející mobilní technologie 5G tuto technologii vyžaduje.
Konečně, Očekává se, že nová verze Linux Kernel 5.6 jak jsme zmínili na začátku přijel jsem na konci března (předběžné datum je 29. března) nebo začátkem dubna (Dubna 6) i když se to může trochu lišit.
zdroj: https://git.kernel.org