Det er blevet afsløret, at David S. Miller, ansvarlig for Linux-netværksundersystemet, har taget plastre med implementeringen af VPN-grænsefladen fra WireGuard-projektet i net-næste gren. Med hvilket i begyndelsen af næste år de akkumulerede ændringer i netto-næste gren de danner grundlaget for Linux 5.6-udgivelsen.
For dem der ikke er opmærksomme på WireGuard de skulle vide, at dette det er en VPN som er implementeret på basis af moderne krypteringsmetoder, giver meget høj ydeevne, er nem at bruge, Det er ukompliceret og har bevist sig i en række store implementeringer, der håndterer store mængder trafik.
Om WireGuard
Projektet er blevet udviklet siden 2015, det har bestået en formel revision og verifikation af de anvendte krypteringsmetoder. Støtten fra WireGuard er allerede integreret i NetworkManager og systemd, og kerneopdateringer er en del af de grundlæggende distributioner af Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph og ALT.
WireGuard bruger konceptet med krypteringsnøglerute, hvilket indebærer at binde en privat nøgle til hver netværksgrænseflade og bruge den til at binde offentlige nøgler. Udvekslingen af offentlige nøgler for at etablere en forbindelse sker analogt med SSH.
For at forhandle nøgler og oprette forbindelse uden at starte en separat dæmon i brugerrummet, Noise_IK-mekanismen i Noise Protocol Framework anvendessvarende til vedligeholdelse af autoriserede nøgler i SSH. Data overføres gennem indkapsling i UDP-pakker. Support til at ændre IP-adressen på VPN-serveren (roaming) uden at afbryde forbindelsen og automatisk konfigurere klienten igen.
Til kryptering anvendes ChaCha20-streamkryptering og Poly1305 (MAC) meddelelsesgodkendelsesalgoritmen, dette er placeret som hurtigere og mere sikre analoger til AES-256-CTR og HMAC, hvis softwareimplementering gør det muligt at opnå en fast udførelsestid uden at involvere særlig hardwaresupport.
Efter lang tid vil WireGuard endelig blive inkluderet i Linux
Der er gjort forskellige forsøg på at promovere Koden til WireGuard inden for Linux, men de har ikke haft succes på grund af bindingen af deres egne implementeringer af kryptografiske funktioner, som blev brugt til at øge produktiviteten.
Disse funktioner blev oprindeligt foreslået til kernen som en ekstra API på lavt niveau, som til sidst kunne erstatte den almindelige Crypto API.
Efter forhandlinger på Kernel Recipes-konferencen skaberne af WireGuard i september traf de en kompromisbeslutning om at ændre deres patches at bruge Crypto core API, som WireGuard-udviklerne har klager over med hensyn til ydeevne og overordnet sikkerhed.
Det blev besluttet, at API'et fortsat skulle udvikles, men som et separat projekt.
Senere i november forpligtede kerneudviklerne sig og accepterede at overføre noget af koden til hovedkernen. Faktisk vil nogle komponenter blive overført til kernen, men ikke som en separat API, men som en del af Crypto API-undersystemet.
For eksempel inkluderer Crypto API allerede hurtige implementeringer udarbejdet af Wireguard af ChaCha20- og Poly1305-algoritmerne.
Med hensyn til den næste WireGuard-del i kernen, grundlæggeren af projektet annoncerede en omstrukturering af lageret. For at forenkle udviklingen erstattes det monolitiske "WireGuard.git" -lager, der blev designet til en separat eksistens, med tre separate arkiver, der er mere egnede til at organisere kodearbejde i hovedkernen:
- wireguard-linux.git - Et komplet kernetræ med ændringer fra Wireguard-projektet, hvis patches bliver gennemgået for at blive inkluderet i kernen og regelmæssigt overført til net / net-next filialer.
- wireguard-tools.git- Et lager af hjælpeprogrammer og scripts, der kører i brugerrum, såsom wg og wg-quick. Depotet kan bruges til at oprette pakker til distributioner.
- wireguard-linux-compat.git et lager med en modulindstilling, der leveres separat fra kernen og inkluderer compat.h-laget for at sikre kompatibilitet med ældre kerner. Hovedudviklingen finder sted i wireguard-linux.git-arkivet, men indtil nu har brugerne mulighed for, og behovet for en separat version af programrettelserne understøttes også i arbejdsformen.