據透露, 負責Linux網絡子系統的David S. Miller接管了 修補 net-next分支中WireGuard項目的VPN接口的實現。 到明年年初,net-next分支中的累積變化 它們將構成Linux 5.6發行版的基礎。
對於那些不知道的人 WireGuard 他們應該知道 這是一個VPN 在現代加密方法的基礎上實現的, 提供非常高的性能,易於使用, 它很簡單,並且在處理大量流量的大型部署中得到了證明。
關於WireGuard
該項目自2015年開始開發,已經通過了對所使用加密方法的正式審核和驗證。 的支持 WireGuard已經集成到NetworkManager和systemd中, 和內核補丁是Debian Unstable,Mageia,Alpine,Arch,Gentoo,OpenWrt,NixOS,Subgraph和ALT的基本發行版的一部分。
WireGuard使用加密密鑰路由的概念, 這涉及將私鑰綁定到每個網絡接口,並使用它來綁定公鑰。 類似於建立SSH的公共密鑰交換以建立連接。
要協商密鑰並進行連接而無需在用戶空間中啟動單獨的守護程序, 使用了噪聲協議框架的Noise_IK機制,類似於SSH中授權密鑰的維護。 數據通過封裝在UDP數據包中進行傳輸。 支持更改VPN服務器的IP地址 (漫遊)而不會中斷連接,並自動重新配置客戶端。
為了進行加密,使用了ChaCha20流密碼 以及Poly1305(MAC)消息身份驗證算法,它被定位為AES-256-CTR和HMAC的更快,更安全的類似物,其軟件實現允許實現固定的執行時間而無需特殊的硬件支持。
經過很長時間,WireGuard最終將包含在Linux中
進行了各種嘗試來促進 的代碼 Linux中的WireGuard, 但是由於綁定了自己的加密功能實現(這些功能用於提高生產率)而未能獲得成功。
這些功能最初是作為附加的低級API向內核提出的,可以最終替代常規的Crypto API。
在內核食譜會議上進行談判之後, WireGuard的創造者 在XNUMX月,他們做出了妥協的決定來更改補丁 使用Crypto核心API,WireGuard開發人員在性能和一般安全性方面都有抱怨。
決定將繼續開發該API,但這是一個單獨的項目。
XNUMX月下旬,內核開發人員做出了承諾 他們同意將一些代碼轉移到主內核。 實際上,某些組件將被轉移到內核,但不是作為單獨的API,而是作為Crypto API子系統的一部分。
例如,Crypto API已經包含由Wireguard準備的快速實現 ChaCha20和Poly1305算法。
關於核心中的下一個WireGuard部分, 該項目的創始人宣布對存儲庫進行重組。 為了簡化開發,為單獨存在而設計的整體式“ WireGuard.git”存儲庫將由三個更適合在主內核中組織代碼工作的獨立存儲庫取代:
- 線衛-linux.git -帶有Wireguard項目更改的完整內核樹,將對其補丁進行審查以包含在內核中,並定期將其轉移到net / net-next分支中。
- Wireguard-tools.git-在用戶空間中運行的實用程序和腳本的存儲庫,例如wg和wg-quick。 該存儲庫可用於創建分發包。
- wireguard-linux-compat.git 一個帶有模塊選項的存儲庫,與內核分開提供,並包含compat.h層以確保與較早版本的內核兼容。 主要開發將在wireguard-linux.git存儲庫中進行,但是直到現在,用戶仍將有機會並在工作表格中支持單獨版本的補丁程序。