据透露, 负责Linux网络子系统的David S. Miller接管了 修补 net-next分支中WireGuard项目的VPN接口的实现。 到明年年初,net-next分支中的累积变化 它们将构成Linux 5.6发行版的基础。
对于那些不知道的人 WireGuard 他们应该知道 这是一个VPN 在现代加密方法的基础上实现的, 提供非常高的性能,易于使用, 它并不复杂,并且已在许多处理大量流量的大型部署中得到了证明。
关于WireGuard
该项目自2015年开始开发,已经通过了对所使用加密方法的正式审核和验证。 的支持 WireGuard已集成到NetworkManager和systemd中, 和内核补丁是Debian Unstable,Mageia,Alpine,Arch,Gentoo,OpenWrt,NixOS,Subgraph和ALT的基本发行版的一部分。
WireGuard使用加密密钥路由的概念, 这涉及将私钥绑定到每个网络接口,并使用它来绑定公钥。 类似于建立SSH的公共密钥交换以建立连接。
要协商密钥并进行连接而无需在用户空间中启动单独的守护程序, 使用了噪声协议框架的Noise_IK机制,类似于SSH中授权密钥的维护。 数据通过封装在UDP数据包中进行传输。 支持更改VPN服务器的IP地址 (漫游)而不会中断连接,并自动重新配置客户端。
对于加密,使用ChaCha20流加密 以及Poly1305(MAC)消息认证算法,它被定位为AES-256-CTR和HMAC的更快,更安全的类似物,其软件实现允许在不涉及特殊硬件支持的情况下实现固定的执行时间。
经过很长时间,WireGuard最终将包含在Linux中
进行了各种尝试来促进 的代码 Linux中的WireGuard, 但是由于绑定了自己的加密功能实现(用于提高生产率)而未能成功。
这些功能最初是作为附加的低级API向内核提出的,可以最终替代常规的Crypto API。
在内核食谱会议上进行谈判之后, WireGuard的创造者 在XNUMX月,他们做出了妥协的决定来更改补丁 使用Crypto核心API,WireGuard开发人员在性能和一般安全性方面都有抱怨。
决定将继续开发该API,但这是一个单独的项目。
XNUMX月下旬,内核开发人员做出了承诺 他们同意将一些代码转移到主内核。 实际上,某些组件将被转移到内核,但不是作为单独的API,而是作为Crypto API子系统的一部分。
例如,Crypto API已经包含由Wireguard准备的快速实现 ChaCha20和Poly1305算法。
关于核心中的下一个WireGuard部分, 该项目的创始人宣布对存储库进行重组。 为了简化开发,为单独存在而设计的整体式“ WireGuard.git”存储库将由三个更适合在主内核中组织代码工作的独立存储库代替:
- 线卫-linux.git -带有Wireguard项目更改的完整内核树,将对其补丁进行审查以包含在内核中,并定期将其转移到net / net-next分支中。
- Wireguard-tools.git-在用户空间中运行的实用程序和脚本的存储库,例如wg和wg-quick。 该存储库可用于创建分发包。
- wireguard-linux-compat.git 一个带有模块选项的存储库,与内核分开提供,并包含compat.h层以确保与较早版本的内核兼容。 主要的开发工作将在wireguard-linux.git存储库中进行,但是直到现在,用户仍然有机会,并且工作表单也将支持对补丁的单独版本的需求。