Il a été révélé que David S. Miller, responsable du sous-système réseau Linux, a pris patchs avec l'implémentation de l'interface VPN du projet WireGuard dans la branche net-next. Avec lequel au début de l'année prochaine, les changements accumulés dans la branche nette suivante ils formeront la base de la version Linux 5.6.
Pour ceux qui ignorent WireGuard ils devraient savoir que cela c'est un VPN qui est mis en œuvre sur la base de méthodes de cryptage modernes, offre de très hautes performances, est facile à utiliser, Il est simple et a fait ses preuves dans un certain nombre de grands déploiements traitant des volumes de trafic élevés.
À propos de WireGuard
Le projet est développé depuis 2015, il a passé un audit formel et une vérification des méthodes de cryptage utilisées. Le soutien de WireGuard est déjà intégré à NetworkManager et systemd, et les correctifs du noyau font partie des distributions de base de Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph et ALT.
WireGuard utilise le concept de routage de clé de chiffrement, ce qui implique de lier une clé privée à chaque interface réseau et de l'utiliser pour lier des clés publiques. L'échange de clés publiques pour établir une connexion se fait par analogie avec SSH.
Pour négocier les clés et se connecter sans démarrer un démon séparé dans l'espace utilisateur, le mécanisme Noise_IK du Noise Protocol Framework est utilisé, similaire à la maintenance des clés autorisées en SSH. Les données sont transmises par encapsulation dans des paquets UDP. Prise en charge de la modification de l'adresse IP du serveur VPN (itinérance) sans interrompre la connexion et reconfigurer automatiquement le client.
Pour le cryptage, le cryptage de flux ChaCha20 est utilisé et l'algorithme d'authentification de message Poly1305 (MAC), il se positionne comme des analogues plus rapides et plus sûrs de AES-256-CTR et HMAC, dont la mise en œuvre logicielle permet d'atteindre un temps d'exécution fixe sans impliquer de support matériel spécial.
Après un long moment, WireGuard sera enfin inclus dans Linux
Diverses tentatives ont été faites pour promouvoir Le code de WireGuard sous Linux, mais ils n'ont pas réussi en raison de la liaison de leurs propres implémentations de fonctions cryptographiques, qui ont été utilisées pour augmenter la productivité.
Ces fonctions ont été initialement proposées au noyau en tant qu'API supplémentaire de bas niveau, qui pourrait éventuellement remplacer l'API Crypto standard.
Après négociations lors de la conférence Kernel Recipes, les créateurs de WireGuard en septembre, ils ont pris une décision de compromis pour changer leurs correctifs d'utiliser l'API de base Crypto, dont les développeurs WireGuard ont des plaintes en termes de performances et de sécurité générale.
Il a été décidé que l'API continuerait à se développer, mais en tant que projet distinct.
Plus tard en novembre, les développeurs du noyau se sont engagés et ils ont accepté de transférer une partie du code vers le noyau principal. En fait, certains composants seront transférés vers le noyau, mais pas en tant qu'API distincte, mais dans le cadre du sous-système Crypto API.
Par exemple, l'API Crypto inclut déjà des implémentations rapides préparées par Wireguard des algorithmes ChaCha20 et Poly1305.
En ce qui concerne la prochaine tranche WireGuard dans le noyau, le fondateur du projet a annoncé une restructuration du référentiel. Pour simplifier le développement, le référentiel monolithique "WireGuard.git", qui a été conçu pour une existence distincte, sera remplacé par trois référentiels distincts qui conviennent mieux à l'organisation du travail de code dans le noyau principal:
- wireguard-linux.git - Une arborescence complète du noyau avec les changements du projet Wireguard, dont les correctifs seront examinés pour être inclus dans le noyau et régulièrement transférés vers les branches net / net-next.
- wireguard-tools.git- Un référentiel d'utilitaires et de scripts qui s'exécutent dans l'espace utilisateur, tels que wg et wg-quick. Le référentiel peut être utilisé pour créer des packages pour les distributions.
- wireguard-linux-compat.git un référentiel avec une option de module, fourni séparément du noyau et inclut la couche compat.h pour assurer la compatibilité avec les noyaux plus anciens. Le développement principal aura lieu dans le référentiel wireguard-linux.git, mais jusqu'à présent, les utilisateurs ont la possibilité et le besoin d'une version séparée des correctifs sera également pris en charge dans le formulaire de travail.