WireGuard был принят и будет интегрирован в следующую версию Linux 5.6.

проволока

 

Выявлено, что Дэвид С. Миллер, ответственный за сетевую подсистему Linux, взял патчи с реализация VPN-интерфейса проекта WireGuard в ветке net-next. При этом в начале следующего года накопленные изменения в ветке net-next они лягут в основу выпуска Linux 5.6.

Для тех, кто не знает WireGuard они должны знать, что это это VPN который реализован на основе современных методов шифрования, обеспечивает очень высокую производительность, проста в использовании, Он несложен и зарекомендовал себя в ряде крупных развертываний, обрабатывающих большие объемы трафика.

О WireGuard

Проект разрабатывается с 2015 года, прошел формальный аудит и проверку используемых методов шифрования. Поддержка WireGuard уже интегрирован в NetworkManager и systemd, а патчи ядра являются частью базовых дистрибутивов Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph и ALT.

WireGuard использует концепцию маршрутизации ключей шифрования, который включает привязку закрытого ключа к каждому сетевому интерфейсу и его использование для привязки открытых ключей. Обмен открытыми ключами для установления соединения осуществляется по аналогии с SSH.

Чтобы согласовать ключи и подключиться без запуска отдельного демона в пользовательском пространстве, используется механизм Noise_IK платформы Noise Protocol Framework, аналогично ведению авторизованных ключей в SSH. Данные передаются путем инкапсуляции в пакеты UDP. Поддержка изменения IP-адреса VPN-сервера (роуминг) без прерывания соединения и автоматической перенастройки клиента.

Для шифрования используется шифрование потока ChaCha20. и алгоритм аутентификации сообщений Poly1305 (MAC) позиционируется как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без привлечения специальной аппаратной поддержки.

Спустя долгое время WireGuard, наконец, будет включен в Linux.

Linux

Были предприняты различные попытки продвижения Кодекс WireGuard в Linux, но они не увенчались успехом из-за привязки их собственных реализаций криптографических функций, которые использовались для повышения производительности.

Эти функции изначально были предложены ядру как дополнительный низкоуровневый API, который в конечном итоге может заменить обычный Crypto API.

После переговоров на конференции Kernel Recipes, создатели WireGuard в сентябре они приняли компромиссное решение поменять свои патчи использовать Crypto core API, на который разработчики WireGuard жалуются с точки зрения производительности и общей безопасности.

Было решено, что API будет развиваться и дальше, но как отдельный проект.

Позже в ноябре разработчики ядра взяли на себя обязательство и они согласились перенести часть кода в основное ядро. Фактически, некоторые компоненты будут перенесены в ядро, но не как отдельный API, а как часть подсистемы Crypto API.

Например, Crypto API уже включает быстрые реализации, подготовленные Wireguard. алгоритмов ChaCha20 и Poly1305.

Что касается следующей установки WireGuard в ядре, основатель проекта объявил о реструктуризации репозитория. Для упрощения разработки монолитный репозиторий WireGuard.git, который проектировался для отдельного существования, будет заменен тремя отдельными репозиториями, которые лучше подходят для организации работы кода в основном ядре:

  • Wireguard-linux.git - Полное дерево ядра с изменениями из проекта Wireguard, патчи которого будут проверяться на предмет включения в ядро ​​и регулярно переноситься в ветки net / net-next.
  • Wireguard-tools.git- Репозиторий утилит и скриптов, запускаемых в пользовательском пространстве, таких как wg и wg-quick. Репозиторий можно использовать для создания пакетов для дистрибутивов.
  • Wireguard-linux-compat.git  репозиторий с опцией модуля, поставляемый отдельно от ядра и включающий слой compat.h для обеспечения совместимости со старыми ядрами. Основная разработка будет проходить в репозитории wireguard-linux.git, но до сих пор у пользователей есть возможность и необходимость отдельной версии патчей также будет поддерживаться в рабочем виде.

Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.