Це було розкрито Девід С. Міллер, відповідальний за мережеву підсистему Linux, взяв патчі з реалізація інтерфейсу VPN проекту WireGuard у гілці net-next. З якою на початку наступного року накопичилися зміни в нетто-наступній галузі вони ляжуть в основу випуску Linux 5.6.
Для тих, хто не знає WireGuard вони повинні знати, що це це VPN який реалізований на основі сучасних методів шифрування, забезпечує дуже високу продуктивність, простий у використанні, Він нескладний і зарекомендував себе в ряді великих розгортань, що обробляють великі обсяги трафіку.
Про WireGuard
Проект розроблявся з 2015 року, він пройшов офіційний аудит та перевірку використовуваних методів шифрування. Підтримка WireGuard вже інтегрований у NetworkManager та systemd, та патчі ядра є частиною основних дистрибутивів Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph та ALT.
WireGuard використовує концепцію маршрутизації ключа шифрування, що передбачає прив’язку приватного ключа до кожного мережевого інтерфейсу та використання його для прив’язки відкритих ключів. Обмін відкритими ключами для встановлення з'єднання здійснюється за аналогією з SSH.
Для узгодження ключів та підключення без запуску окремого демона в просторі користувача, використовується механізм Noise_IK в рамках Noise Protocol Framework, подібно до обслуговування авторизованих ключів у SSH. Дані передаються шляхом інкапсуляції в пакети UDP. Підтримка зміни IP-адреси сервера VPN (роумінг), не перериваючи з’єднання та автоматично переналаштовуючи клієнта.
Для шифрування використовується шифрування потоку ChaCha20 та алгоритм автентифікації повідомлень Poly1305 (MAC), він позиціонується як швидший та безпечніший аналог AES-256-CTR та HMAC, програмна реалізація якого дозволяє досягти фіксованого часу виконання без залучення спеціальної технічної підтримки.
Через довгий час WireGuard нарешті буде включений в Linux
Були зроблені різні спроби просування Код WireGuard в Linux, але вони не мали успіху через прив'язку власних реалізацій криптографічних функцій, які використовувались для підвищення продуктивності.
Спочатку ці функції були запропоновані ядру як додатковий API низького рівня, який з часом може замінити звичайний API Crypto.
Після переговорів на конференції Kernel Recipes, творці WireGuard у вересні вони прийняли компромісне рішення змінити свої патчі використовувати API Crypto core, до якого розробники WireGuard мають скарги щодо продуктивності та загальної безпеки.
Було вирішено, що API продовжуватиме розвиватися, але як окремий проект.
Пізніше в листопаді розробники ядра взяли на себе зобов'язання і вони погодились передати частину коду в основне ядро. Фактично деякі компоненти будуть передані в ядро, але не як окремий API, а як частина підсистеми API Crypto.
Наприклад, Crypto API вже включає швидкі реалізації, підготовлені Wireguard алгоритмів ChaCha20 та Poly1305.
Щодо наступного внеску WireGuard в ядрі, засновник проекту оголосив про реструктуризацію сховища. Для спрощення розробки монолітне сховище "WireGuard.git", яке було розроблено для окремого існування, буде замінено трьома окремими сховищами, які більше підходять для організації роботи коду в основному ядрі:
- wireguard-linux.git - Повне дерево ядра зі змінами від проекту Wireguard, виправлення яких буде перевірятися на включення до ядра та регулярно передаватися в гілки net / net-next.
- wireguard-tools.git- Сховище утиліт та сценаріїв, що працюють у просторі користувача, таких як wg та wg-quick. Сховище можна використовувати для створення пакетів для розподілу.
- wireguard-linux-compat.git сховище з опцією модуля, що постачається окремо від ядра та включає рівень compat.h для забезпечення сумісності зі старими ядрами. Основна розробка відбуватиметься у сховищі wireguard-linux.git, але до цього часу користувачі мають можливість, а потреба в окремій версії виправлень також буде підтримуватися в робочій формі.