נחשף כי דייוויד ס. מילר, האחראי על תת המערכת של לינוקס, לקח טלאים עם הטמעת ממשק ה- VPN של פרויקט WireGuard בסניף נט-הבא. איתו בתחילת השנה הבאה, השינויים המצטברים בסניף נטו-הבא הם יהוו את הבסיס למהדורת לינוקס 5.6.
למי שלא מודע לכך WireGuard הם צריכים לדעת את זה זה VPN אשר מיושם על בסיס שיטות הצפנה מודרניות, מספק ביצועים גבוהים מאוד, קל לשימוש, זה לא מסובך והוכיח את עצמו במספר פריסות גדולות המטפלות בכמויות גדולות של תנועה.
אודות WireGuard
הפרויקט פותח מאז 2015, הוא עבר ביקורת רשמית ואימות של שיטות ההצפנה בהן נעשה שימוש. התמיכה של WireGuard כבר משולב ב- NetworkManager וב- systemd, ותיקוני ליבה הם חלק מההפצות הבסיסיות של דביאן לא יציב, מגיה, אלפיני, ארצ ', ג'נטו, OpenWrt, NixOS, סובגרף ו- ALT.
WireGuard משתמש במושג ניתוב מפתח הצפנה, שכולל קישור מפתח פרטי לכל ממשק רשת ושימוש בו לאגירת מפתחות ציבוריים. החלפת המפתחות הציבוריים ליצירת חיבור נעשית באנלוגיה עם SSH.
כדי לנהל משא ומתן על מקשים ולהתחבר מבלי להתחיל דמון נפרד במרחב המשתמש, נעשה שימוש במנגנון Noise_IK של מסגרת פרוטוקול הרעש, בדומה לתחזוקת מפתחות מורשים ב- SSH. הנתונים מועברים באמצעות אנקפסולציה בחבילות UDP. תמיכה בשינוי כתובת ה- IP של שרת ה- VPN (נדידה) מבלי להפריע לחיבור ולהגדיר מחדש את הלקוח באופן אוטומטי.
לצורך הצפנה משתמשים בהצפנת זרם ChaCha20 ואלגוריתם אימות ההודעות Poly1305 (MAC), זה ממוקם כאנלוגים מהירים ובטוחים יותר של AES-256-CTR ו- HMAC, שיישומם בתוכנה מאפשר להשיג זמן ביצוע קבוע מבלי לערב תמיכה מיוחדת בחומרה.
לאחר זמן רב WireGuard ייכלל סוף סוף בלינוקס
נעשו ניסיונות שונים לקדם הקוד של WireGuard בתוך לינוקס, אך הם לא הצליחו בגלל קשירת היישומים שלהם בפונקציות קריפטוגרפיות, ששימשו להגברת הפרודוקטיביות.
פונקציות אלה הוצעו בתחילה לליבה כ- API נוסף ברמה נמוכה, שיכול בסופו של דבר להחליף את ה- Crypto API הרגיל.
לאחר משא ומתן בכנס מתכוני ליבה, יוצרי WireGuard בספטמבר הם קיבלו החלטה על פשרה לשנות את תיקוניהם להשתמש בממשק ה- API של Crypto, שמפתחי WireGuard מתלוננים עליו מבחינת ביצועים וביטחון כללי.
הוחלט כי ה- API ימשיך להתפתח, אך כפרויקט נפרד.
בהמשך נובמבר התחייבו מפתחי הליבה והם הסכימו להעביר חלק מהקוד לליבה הראשית. למעשה, רכיבים מסוימים יועברו לליבה, אך לא כ- API נפרד, אלא כחלק מתת-מערכת ה- Crypto API.
לדוגמא, Crypto API כבר כולל יישומים מהירים שהוכנו על ידי Wireguard של האלגוריתמים ChaCha20 ו- Poly1305.
לגבי החלק הבא של WireGuard בליבה, מייסד הפרויקט הודיע על ארגון מחדש של המאגר. כדי לפשט את הפיתוח, המאגר המונוליטי "WireGuard.git", שתוכנן לקיום נפרד, יוחלף בשלושה מאגרים נפרדים המתאימים יותר לארגון עבודות קוד בגרעין הראשי:
- wireguard-linux.git - עץ גרעין שלם עם שינויים מפרויקט Wireguard, שתיקוניו ייבדקו להכללה בגרעין ויועברו באופן קבוע לסניפי הרשת / רשת הבאה.
- wireguard-tools.git- מאגר של כלי עזר וסקריפטים הפועלים במרחב המשתמשים, כגון wg ו- wg-quick. המאגר יכול לשמש ליצירת חבילות להפצות.
- wireguard-linux-compat.git מאגר עם אפשרות מודול, המסופק בנפרד מהליבה וכולל את שכבת compat.h כדי להבטיח תאימות עם גרעינים ישנים יותר. הפיתוח העיקרי יתקיים במאגר wireguard-linux.git, אך עד כה למשתמשים יש את ההזדמנות והצורך בגרסה נפרדת של התיקונים יתמוך גם בצורה העבודה.