공개되었습니다 Linux 네트워크 하위 시스템을 담당하는 David S. Miller는 패치 net-next 브랜치에서 WireGuard 프로젝트의 VPN 인터페이스 구현. 내년 초 net-next 지점의 누적 변경 사항 그들은 Linux 5.6 릴리스의 기반이 될 것입니다.
모르는 사람들을 위해 와이어 가드 그들은 이것을 알아야합니다 그것은 VPN입니다 최신 암호화 방법을 기반으로 구현되며 매우 높은 성능을 제공하고 사용하기 쉬우 며 복잡하지 않으며 대량의 트래픽을 처리하는 여러 대규모 배포에서 입증되었습니다.
WireGuard 정보
이 프로젝트는 2015 년부터 개발되었으며 사용 된 암호화 방법에 대한 공식적인 감사 및 검증을 통과했습니다. 지원 WireGuard는 이미 NetworkManager에 통합되어 있으며 systemd, 커널 패치는 Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph 및 ALT의 기본 배포판의 일부입니다.
WireGuard는 암호화 키 라우팅 개념을 사용합니다. 여기에는 개인 키를 각 네트워크 인터페이스에 바인딩하고이를 사용하여 공개 키를 바인딩하는 작업이 포함됩니다. 연결 설정을위한 공개 키 교환은 SSH와 유사하게 수행됩니다.
사용자 공간에서 별도의 데몬을 시작하지 않고 키를 협상하고 연결하려면 Noise Protocol Framework의 Noise_IK 메커니즘이 사용됩니다., SSH의 승인 된 키 유지 관리와 유사합니다. 데이터는 UDP 패킷의 캡슐화를 통해 전송됩니다. VPN 서버의 IP 주소 변경 지원 (로밍) 연결을 중단하지 않고 클라이언트를 자동으로 재구성합니다.
암호화를 위해 ChaCha20 스트림 암호화가 사용됩니다. Poly1305 (MAC) 메시지 인증 알고리즘은 AES-256-CTR 및 HMAC의 더 빠르고 안전한 아날로그로 자리 잡고 있으며, 소프트웨어 구현을 통해 특별한 하드웨어 지원없이 고정 된 실행 시간을 달성 할 수 있습니다.
오랜만에 WireGuard가 마침내 Linux에 포함될 것입니다.
홍보를 위해 다양한 시도가 이루어졌습니다. 코드 Linux 내의 WireGuard, 그러나 그들은 생산성을 높이기 위해 사용 된 암호화 기능의 자체 구현의 바인딩으로 인해 성공하지 못했습니다.
이러한 기능은 초기에 추가 하위 수준 API로 커널에 제안되었으며 결국 일반 Crypto API를 대체 할 수 있습니다.
Kernel Recipes 컨퍼런스에서 협상 한 후 WireGuard의 제작자 XNUMX 월에 그들은 패치를 변경하기 위해 타협 결정을 내 렸습니다. WireGuard 개발자가 성능 및 일반 보안 측면에서 불만을 제기하는 Crypto core API를 사용합니다.
API는 계속 개발되지만 별도의 프로젝트로 결정되었습니다.
XNUMX 월 말에 커널 개발자는 그리고 그들은 코드의 일부를 메인 커널로 옮기는 데 동의했습니다. 실제로 일부 구성 요소는 커널로 전송되지만 별도의 API가 아니라 Crypto API 하위 시스템의 일부로 전송됩니다.
예를 들어 Crypto API에는 이미 Wireguard에서 준비한 빠른 구현이 포함되어 있습니다. ChaCha20 및 Poly1305 알고리즘의.
코어의 다음 WireGuard 설치와 관련하여 프로젝트의 창립자는 저장소의 구조 조정을 발표했습니다. 개발을 단순화하기 위해 별도의 존재를 위해 설계된 모 놀리 식 "WireGuard.git"리포지토리는 메인 코어에서 코드 작업을 구성하는 데 더 적합한 세 개의 개별 리포지토리로 대체됩니다.
- wireguard-linux.git -Wireguard 프로젝트에서 변경된 전체 커널 트리, 패치는 커널에 포함되었는지 검토하고 정기적으로 net / net-next 브랜치로 전송됩니다.
- wireguard-tools.git-wg 및 wg-quick과 같이 사용자 공간에서 실행되는 유틸리티 및 스크립트의 저장소입니다. 저장소는 배포 용 패키지를 만드는 데 사용할 수 있습니다.
- wireguard-linux-compat.git 커널과 별도로 제공되며 이전 커널과의 호환성을 보장하기 위해 compat.h 계층을 포함하는 모듈 옵션이있는 저장소. 주요 개발은 wireguard-linux.git 리포지토리에서 이루어 지지만 지금까지는 사용자에게 기회가 주어지며 별도의 패치 버전에 대한 필요성도 작업 형태로 지원 될 것입니다.