Det har avslöjats att David S. Miller, ansvarig för delsystemet Linux-nätverk, har tagit lappar med implementeringen av VPN-gränssnittet för WireGuard-projektet i nät-nästa gren. Med vilket i början av nästa år de ackumulerade förändringarna i netto-nästa filial de kommer att ligga till grund för Linux 5.6-utgåvan.
För de som inte är medvetna om WireGuard de borde veta att detta det är en VPN som implementeras på grundval av moderna krypteringsmetoder, ger mycket hög prestanda, är lätt att använda, Det är okomplicerat och har bevisat sig i ett antal stora distributioner som hanterar stora trafikvolymer.
Om WireGuard
Projektet har utvecklats sedan 2015, det har klarat en formell granskning och verifiering av de krypteringsmetoder som används. Stödet från WireGuard är redan integrerat i NetworkManager och systemd, och kärnplåster är en del av de grundläggande distributionerna av Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph och ALT.
WireGuard använder konceptet för krypteringsnyckel routing, vilket innebär att man binder en privat nyckel till varje nätverksgränssnitt och använder den för att binda offentliga nycklar. Utbytet av offentliga nycklar för att upprätta en anslutning sker analogt med SSH.
För att förhandla om nycklar och ansluta utan att starta en separat demon i användarutrymmet, Noise_IK-mekanismen i Noise Protocol Framework används, liknande underhållet av auktoriserade nycklar i SSH. Data överförs genom inkapsling i UDP-paket. Stöd för att ändra IP-adressen till VPN-servern (roaming) utan att avbryta anslutningen och konfigurera om klienten automatiskt.
För kryptering används ChaCha20-strömkryptering och Poly1305 (MAC) -autentiseringsalgoritmen, detta är positionerat som snabbare och säkrare analoger av AES-256-CTR och HMAC, vars mjukvaruimplementering gör det möjligt att uppnå en fast exekveringstid utan speciellt hårdvarustöd.
Efter lång tid kommer WireGuard äntligen att ingå i Linux
Under ett antal år har olika försök gjorts för att marknadsföra Koden för WireGuard inom Linux, men de har inte lyckats på grund av bindningen av sina egna implementeringar av kryptografiska funktioner, som användes för att öka produktiviteten.
Dessa funktioner föreslogs ursprungligen till kärnan som ett ytterligare API på låg nivå, som så småningom skulle kunna ersätta det vanliga Crypto API.
Efter förhandlingar vid konferensen Kernel Recipes, skaparna av WireGuard i september fattade de ett kompromissbeslut om att ändra sina lappar att använda Crypto core API, som WireGuard-utvecklare har klagomål när det gäller prestanda och allmän säkerhet.
Det beslutades att API: n skulle fortsätta att utvecklas, men som ett separat projekt.
Senare i november gjorde kärnutvecklarna ett åtagande och de gick med på att överföra en del av koden till huvudkärnan. Faktum är att vissa komponenter kommer att överföras till kärnan, men inte som ett separat API, utan som en del av Crypto API-delsystemet.
Till exempel innehåller Crypto API redan snabba implementeringar förberedda av Wireguard av algoritmerna ChaCha20 och Poly1305.
När det gäller nästa WireGuard-del i kärnan, projektets grundare meddelade en omstrukturering av förvaret. För att förenkla utvecklingen kommer det monolitiska "WireGuard.git" -förvaret, som utformades för en separat existens, att ersättas av tre separata förvar som är mer lämpliga för att organisera kodarbete i huvudkärnan:
- wireguard-linux.git - Ett komplett kärnträd med ändringar från Wireguard-projektet, vars korrigeringar kommer att granskas för inkludering i kärnan och regelbundet överföras till nät / nästa-filialerna.
- wireguard-tools.git- Ett arkiv med verktyg och skript som körs i användarutrymme, till exempel wg och wg-quick. Förvaret kan användas för att skapa paket för distributioner.
- wireguard-linux-compat.git ett förråd med ett modulalternativ, som levereras separat från kärnan och inkluderar kompat.h-lagret för att säkerställa kompatibilitet med äldre kärnor. Huvudutvecklingen kommer att ske i förvaret wireguard-linux.git, men hittills har användare möjlighet och behovet av en separat version av korrigeringsfilerna kommer också att stödjas i arbetsformen.