S-a dezvăluit că David S. Miller, responsabil pentru subsistemul rețelei Linux, a preluat patch-uri cu implementarea interfeței VPN a proiectului WireGuard în ramura net-next. Cu care la începutul anului viitor, modificările acumulate în ramura net-next ele vor sta la baza lansării Linux 5.6.
Pentru cei care nu știu WireGuard ar trebui să știe că asta este un VPN care este implementat pe baza metodelor moderne de criptare, oferă performanțe foarte ridicate, este ușor de utilizat, Este simplă și s-a dovedit într-o serie de implementări mari care gestionează volume mari de trafic.
Despre WireGuard
Proiectul a fost dezvoltat din 2015, a trecut un audit formal și verificarea metodelor de criptare utilizate. Sprijinul WireGuard este deja integrat în NetworkManager și systemd, și patch-urile kernel fac parte din distribuțiile de bază ale Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph și ALT.
WireGuard folosește conceptul de rutare a cheilor de criptare, ceea ce implică legarea unei chei private la fiecare interfață de rețea și utilizarea acesteia pentru a lega cheile publice. Schimbul de chei publice pentru stabilirea unei conexiuni se face prin analogie cu SSH.
Pentru a negocia cheile și a vă conecta fără a porni un daemon separat în spațiul utilizatorului, se utilizează mecanismul Noise_IK al Noise Protocol Framework, similar cu întreținerea cheilor autorizate în SSH. Datele sunt transmise prin încapsulare în pachete UDP. Suport pentru schimbarea adresei IP a serverului VPN (roaming) fără a întrerupe conexiunea și reconfigura automat clientul.
Pentru criptare, se utilizează criptarea fluxului ChaCha20 și algoritmul de autentificare a mesajelor Poly1305 (MAC), acesta este poziționat ca analogi mai rapizi și mai siguri ai AES-256-CTR și HMAC, a căror implementare software permite realizarea unui timp de execuție fix fără implicarea suportului hardware special.
După mult timp, WireGuard va fi în cele din urmă inclus în Linux
S-au făcut diverse încercări de promovare Codul de WireGuard în Linux, dar nu au avut succes datorită legării propriilor implementări ale funcțiilor criptografice, care au fost folosite pentru a crește productivitatea.
Aceste funcții au fost inițial propuse nucleului ca un API suplimentar de nivel scăzut, care în cele din urmă ar putea înlocui API-ul Crypto obișnuit.
După negocieri la conferința Kernel Rețete, creatorii WireGuard în septembrie au luat o decizie de compromis pentru a-și schimba patch-urile să folosească API-ul de bază Crypto, al cărui dezvoltator WireGuard are plângeri în ceea ce privește performanța și securitatea generală.
S-a decis că API-ul va continua să se dezvolte, dar ca un proiect separat.
Mai târziu, în noiembrie, dezvoltatorii de kernel și-au luat angajamentul și au fost de acord să transfere o parte din cod la nucleul principal. De fapt, unele componente vor fi transferate în nucleu, dar nu ca un API separat, ci ca parte a subsistemului Crypto API.
De exemplu, API-ul Crypto include deja implementări rapide pregătite de Wireguard a algoritmilor ChaCha20 și Poly1305.
În ceea ce privește următoarea tranșă WireGuard din nucleu, fondatorul proiectului a anunțat o restructurare a depozitului. Pentru a simplifica dezvoltarea, depozitul monolitic "WireGuard.git", care a fost conceput pentru o existență separată, va fi înlocuit cu trei depozite separate care sunt mai potrivite pentru organizarea codului de lucru în nucleul principal:
- wireguard-linux.git - Un arbore de nucleu complet cu modificări din proiectul Wireguard, ale cărui patch-uri vor fi revizuite pentru a fi incluse în nucleu și transferate în mod regulat către ramurile net / net-next.
- wireguard-tools.git- Un depozit de utilități și scripturi care rulează în spațiul utilizatorului, cum ar fi wg și wg-quick. Depozitul poate fi folosit pentru a crea pachete pentru distribuții.
- wireguard-linux-compat.git un depozit cu o opțiune de modul, furnizat separat de nucleu și include stratul compat.h pentru a asigura compatibilitatea cu nucleele mai vechi. Dezvoltarea principală va avea loc în depozitul wireguard-linux.git, dar până acum utilizatorii au posibilitatea și necesitatea unei versiuni separate a patch-urilor va fi, de asemenea, susținută în forma de lucru.