Bylo zveřejněno, že David S. Miller, zodpovědný za síťový subsystém Linux, se ujal záplaty s implementace rozhraní VPN projektu WireGuard v pobočce net-next. S nimiž na začátku příštího roku došlo k akumulovaným změnám v odvětví net-next budou tvořit základ pro vydání Linuxu 5.6.
Pro ty, kteří nevědí WireGuard měli by to vědět je to VPN který je implementován na základě moderních šifrovacích metod, poskytuje velmi vysoký výkon, snadno se používá, Je nekomplikovaný a osvědčil se v řadě velkých nasazení, která zvládají velké objemy provozu.
O společnosti WireGuard
Projekt je vyvíjen od roku 2015, prošel formálním auditem a ověřením použitých šifrovacích metod. Podpora WireGuard je již integrován do NetworkManageru a systemd, a opravy jádra jsou součástí základních distribucí Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph a ALT.
WireGuard používá koncept směrování šifrovacích klíčů, což zahrnuje navázání soukromého klíče na každé síťové rozhraní a jeho použití k navázání veřejných klíčů. Výměna veřejných klíčů k navázání spojení se provádí analogicky s SSH.
Chcete-li vyjednat klíče a připojit se bez spuštění samostatného démona v uživatelském prostoru, používá se mechanismus Noise_IK rámce Noise Protocol Framework, podobně jako údržba autorizovaných klíčů v SSH. Data jsou přenášena prostřednictvím zapouzdření v paketech UDP. Podpora pro změnu IP adresy serveru VPN (roaming) bez přerušení připojení a automaticky překonfigurovat klienta.
Pro šifrování se používá šifrování proudu ChaCha20 a algoritmus ověřování zpráv Poly1305 (MAC) je umístěn jako rychlejší a bezpečnější analoga AES-256-CTR a HMAC, jehož softwarová implementace umožňuje dosáhnout pevné doby provádění bez použití speciální hardwarové podpory.
Po dlouhé době bude WireGuard konečně součástí Linuxu
Byly učiněny různé pokusy o propagaci Kód WireGuard v Linuxu, ale nebyli úspěšní kvůli vázání vlastních implementací kryptografických funkcí, které byly použity ke zvýšení produktivity.
Tyto funkce byly původně navrženy jádru jako další nízkoúrovňové API, které by nakonec mohlo nahradit běžné Crypto API.
Po jednáních na konferenci Kernel Recipes, tvůrci WireGuard v září učinili kompromisní rozhodnutí změnit své patche používat Crypto core API, na které mají vývojáři WireGuard stížnosti z hlediska výkonu a obecné bezpečnosti.
Bylo rozhodnuto, že API bude pokračovat ve vývoji, ale jako samostatný projekt.
Později v listopadu se vývojáři jádra zavázali a dohodli se na přenosu části kódu do hlavního jádra. Ve skutečnosti budou některé komponenty přeneseny do jádra, ale ne jako samostatné API, ale jako součást subsystému Crypto API.
Například Crypto API již zahrnuje rychlé implementace připravené Wireguardem algoritmů ChaCha20 a Poly1305.
Pokud jde o další splátku WireGuard v jádru, zakladatel projektu oznámil restrukturalizaci úložiště. Pro zjednodušení vývoje bude monolitické úložiště „WireGuard.git“, které bylo navrženo pro samostatnou existenci, nahrazeno třemi samostatnými úložišti, která jsou vhodnější pro organizaci práce s kódem v hlavním jádře:
- wireguard-linux.git - Kompletní strom jádra se změnami z projektu Wireguard, jehož patche budou zkontrolovány pro zařazení do jádra a pravidelně převedeny do větví net / net-next.
- wireguard-toolss.git- Úložiště obslužných programů a skriptů, které běží v uživatelském prostoru, například wg a wg-quick. Úložiště lze použít k vytvoření balíčků pro distribuce.
- wireguard-linux -patpat.git úložiště s možností modulu, dodávané odděleně od jádra, které obsahuje vrstvu compat.h, aby byla zajištěna kompatibilita se staršími jádry. Hlavní vývoj proběhne v úložišti wireguard-linux.git, ale dosud mají uživatelé příležitost a v pracovní formě bude podporována také potřeba samostatné verze oprav.