Dat is bekendgemaakt David S. Miller, verantwoordelijk voor het Linux-netwerksubsysteem, heeft genomen patches met de implementatie van de VPN-interface van het WireGuard-project in de net-next branch. Waarmee begin volgend jaar de geaccumuleerde veranderingen in de netto-volgende tak ze zullen de basis vormen voor de uitgave van Linux 5.6.
Voor degenen die het niet weten WireGuard ze zouden moeten weten dat dit het is een VPN die wordt geïmplementeerd op basis van moderne versleutelingsmethoden, levert zeer hoge prestaties, is gemakkelijk te gebruiken, Het is ongecompliceerd en heeft zichzelf bewezen in een aantal grote implementaties die grote hoeveelheden verkeer verwerken.
Over WireGuard
Het project is ontwikkeld sinds 2015 en heeft een formele audit en verificatie van de gebruikte versleutelingsmethoden doorstaan. De steun van WireGuard is al geïntegreerd in NetworkManager en systemd, en kernelpatches maken deel uit van de basisdistributies van Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph en ALT.
WireGuard maakt gebruik van het concept van coderingssleutelroutering, waarbij een privésleutel aan elke netwerkinterface wordt gekoppeld en deze wordt gebruikt om openbare sleutels te binden. Het uitwisselen van openbare sleutels om een verbinding tot stand te brengen, gebeurt naar analogie met SSH.
Om over sleutels te onderhandelen en verbinding te maken zonder een aparte daemon in de gebruikersruimte te starten, het Noise_IK-mechanisme van het Noise Protocol Framework wordt gebruikt, vergelijkbaar met het onderhoud van geautoriseerde sleutels in SSH. Gegevens worden verzonden door middel van inkapseling in UDP-pakketten. Ondersteuning om het IP-adres van de VPN-server te wijzigen (roaming) zonder de verbinding te onderbreken en de client automatisch opnieuw te configureren.
Voor versleuteling wordt ChaCha20-stroomversleuteling gebruikt en het Poly1305 (MAC) berichtauthenticatie-algoritme, dit is gepositioneerd als snellere en veiligere analogen van AES-256-CTR en HMAC, waarvan de software-implementatie het mogelijk maakt om een vaste uitvoeringstijd te bereiken zonder speciale hardware-ondersteuning.
Na een lange tijd zal WireGuard eindelijk in Linux worden opgenomen
Er zijn verschillende pogingen gedaan om te promoten De code van WireGuard binnen Linux, maar ze zijn niet succesvol geweest vanwege de binding van hun eigen implementaties van cryptografische functies, die werden gebruikt om de productiviteit te verhogen.
Deze functies werden aanvankelijk aan de kernel voorgesteld als een extra low-level API, die uiteindelijk de reguliere Crypto API zou kunnen vervangen.
Na onderhandelingen op de Kernel Recipes-conferentie, de makers van WireGuard in september namen ze een compromisbesluit om hun patches te wijzigen om de Crypto core API te gebruiken, waarvan WireGuard-ontwikkelaars klachten hebben over prestaties en algemene beveiliging.
Er werd besloten dat de API zich zou blijven ontwikkelen, maar dan als een apart project.
Later in november hebben de kernelontwikkelaars een toezegging gedaan en ze kwamen overeen om een deel van de code over te dragen naar de hoofdkernel. In feite zullen sommige componenten naar de kernel worden overgebracht, maar niet als een aparte API, maar als onderdeel van het Crypto API-subsysteem.
De Crypto API bevat bijvoorbeeld al snelle implementaties die zijn voorbereid door Wireguard van de algoritmen ChaCha20 en Poly1305.
Wat betreft de volgende WireGuard-aflevering in de kern, de oprichter van het project kondigde een herstructurering van de repository aan. Om de ontwikkeling te vereenvoudigen, zal de monolithische "WireGuard.git" -repository, die is ontworpen voor een afzonderlijk bestaan, worden vervangen door drie afzonderlijke repositories die geschikter zijn voor het organiseren van codewerk in de hoofdkernel:
- wireguard-linux.git - Een complete kernelboom met wijzigingen van het Wireguard-project, waarvan patches zullen worden herzien voor opname in de kernel en regelmatig naar de net / net-next branches worden overgebracht.
- wireguard-tools.git- Een opslagplaats van hulpprogramma's en scripts die in gebruikersruimte worden uitgevoerd, zoals wg en wg-quick. De repository kan worden gebruikt om pakketten voor distributies te maken.
- wireguard-linux-compat.git een repository met een module-optie, apart geleverd vanuit de kernel en bevat de compat.h-laag om compatibiliteit met oudere kernels te garanderen. De belangrijkste ontwikkeling zal plaatsvinden in de wireguard-linux.git repository, maar tot nu toe hebben gebruikers de mogelijkheid en de behoefte aan een aparte versie van de patches zal ook ondersteund worden in de werkende vorm.