Zostało to ujawnione Podjął się David S. Miller, odpowiedzialny za podsystem sieci Linux łatki z wdrożenie interfejsu VPN projektu WireGuard w oddziale net-next. Z tym na początku przyszłego roku skumulowane zmiany w branży net-next będą stanowić podstawę wydania Linuksa 5.6.
Dla nieświadomych WireGuard powinni wiedzieć, że to to jest VPN który jest realizowany w oparciu o nowoczesne metody szyfrowania, zapewnia bardzo wysoką wydajność, jest łatwy w użyciu, Jest nieskomplikowany i sprawdził się w wielu dużych wdrożeniach obsługujących duże natężenie ruchu.
O WireGuard
Projekt rozwijany jest od 2015 roku, przeszedł formalny audyt i weryfikację stosowanych metod szyfrowania. Wsparcie WireGuard jest już zintegrowany z NetworkManager i systemd, i łatki na jądro są częścią podstawowych dystrybucji Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph i ALT.
WireGuard wykorzystuje koncepcję routingu klucza szyfrowania, co obejmuje powiązanie klucza prywatnego z każdym interfejsem sieciowym i użycie go do powiązania kluczy publicznych. Wymiana kluczy publicznych w celu nawiązania połączenia odbywa się analogicznie do SSH.
Aby negocjować klucze i łączyć się bez uruchamiania osobnego demona w przestrzeni użytkownika, wykorzystywany jest mechanizm Noise_IK z Noise Protocol Framework, podobnie do obsługi autoryzowanych kluczy w SSH. Dane są przesyłane poprzez hermetyzację w pakietach UDP. Wsparcie dla zmiany adresu IP serwera VPN (roaming) bez przerywania połączenia i automatycznej rekonfiguracji klienta.
Do szyfrowania używane jest szyfrowanie strumieniowe ChaCha20 oraz algorytm uwierzytelniania wiadomości Poly1305 (MAC), jest pozycjonowany jako szybsze i bezpieczniejsze analogi AES-256-CTR i HMAC, których implementacja programowa pozwala osiągnąć stały czas wykonania bez angażowania specjalnego wsparcia sprzętowego.
Po długim czasie WireGuard zostanie wreszcie włączony do Linuksa
Podejmowano różne próby promocji Kod WireGuard w systemie Linux, ale nie odnieśli sukcesu ze względu na wiązanie ich własnych implementacji funkcji kryptograficznych, które były wykorzystywane do zwiększenia produktywności.
Te funkcje były początkowo proponowane jądru jako dodatkowe API niskiego poziomu, które ostatecznie mogłoby zastąpić zwykłe Crypto API.
Po negocjacjach na konferencji Kernel Recipes, twórcy WireGuard we wrześniu podjęli kompromisową decyzję o zmianie łatek do korzystania z podstawowego interfejsu API Crypto, którego programiści WireGuard mają skargi dotyczące wydajności i ogólnego bezpieczeństwa.
Zdecydowano, że API będzie się dalej rozwijać, ale jako osobny projekt.
Później w listopadzie programiści jądra zobowiązali się i zgodzili się przenieść część kodu do głównego jądra. W rzeczywistości niektóre komponenty zostaną przeniesione do jądra, ale nie jako oddzielne API, ale jako część podsystemu Crypto API.
Na przykład Crypto API zawiera już szybkie implementacje przygotowane przez Wireguard algorytmów ChaCha20 i Poly1305.
Jeśli chodzi o następną część WireGuard w rdzeniu, założyciel projektu zapowiedział restrukturyzację składowiska. Aby uprościć programowanie, monolityczne repozytorium „WireGuard.git”, które zostało zaprojektowane do osobnego istnienia, zostanie zastąpione trzema oddzielnymi repozytoriami, które są bardziej odpowiednie do organizowania pracy z kodem w głównym jądrze:
- wireguard-linux.git - Pełne drzewo jądra ze zmianami z projektu Wireguard, którego łaty będą sprawdzane pod kątem włączenia do jądra i regularnie przesyłane do gałęzi net / net-next.
- wireguard-tools.git- Repozytorium narzędzi i skryptów działających w przestrzeni użytkownika, takich jak wg i wg-quick. Repozytorium może służyć do tworzenia pakietów do dystrybucji.
- wireguard-linux-Compatible.git repozytorium z opcją modułu, dostarczane oddzielnie od jądra i zawiera warstwę compliance.h, aby zapewnić kompatybilność ze starszymi jądrami. Główny rozwój będzie odbywał się w repozytorium wireguard-linux.git, ale do tej pory użytkownicy mają możliwość i potrzebę posiadania osobnej wersji łatek również będą obsługiwane w formie roboczej.