WireGuard adalah protokol VPN tunneling terbuka sumber terbuka generasi yang dibangunkan oleh Jason Donenfeld. Ia adalah terowong rangkaian Layer 3 untuk IPv4 dan IPv6 yang digunakan "protokol kriptografi moden konservatif". Ia berasaskan UDP dan telah terbina dalam stealth, yang membolehkan ia menumbuk melalui firewall. Model pengesahan untuk WireGuard didasarkan pada authenticated_keys SSH.


Berbanding protokol terowong VPN yang ditubuhkan seperti IPSec dan OpenVPN, WireGuard adalah kecil. Sebanyak 3782 garisan kod (berbanding 329,853 untuk OpenVPN), saiz ekonomi WireGuard menjadikannya lebih mudah untuk di audit. Ini bermakna bahawa menyemak keselamatan platform adalah lebih murah, dan boleh dilakukan pada waktu petang dengan hanya satu orang.

WireGuard direka untuk menjadi tujuan umum VPN untuk menjalankan pada antara muka tertanam. Walaupun WireGuard pada asalnya direka untuk Linux Kernel, kini telah dilaksanakan untuk Android, MacOS, dan Windows. Malah, WireGuard dipuji sebagai aplikasi VPN mudah alih - kerana ciri tersembunyinya bermakna ia tidak pernah menghantar paket kecuali terdapat data sebenar yang akan dihantar. Hasilnya ialah, tidak seperti protokol VPN yang lain, yang lapar, WireGuard tidak sentiasa menguras bateri.

Wireguard 2

Apa yang berbeza mengenai WireGuard?

Pemaju WireGuard Jason Donenfeld adalah pengasas Edge Security. Dia memotong giginya di dalam industri keselamatan, bekerja dalam aplikasi yang menyerang dan bertahan. Dia membangunkan kaedah exfiltration kit laluan yang membolehkannya kekal di dalam rangkaian tanpa dikesan.

"Apabila anda dalam rangkaian melakukan penilaian pasukan merah dan ujian penembusan anda mahu dapat mengekalkan ketekunan dalam rangkaian untuk tempoh tugasan. Anda mahu dapat mengecilkan data dalam cara yang senyap - supaya anda boleh mengelakkan pengesanan - dan mendapatkan data dalam cara yang selamat dan tidak dapat dikesan. "

Donenfeld mengatakan bahawa semasa menjalankan kerja-kerja keamanannya, beliau menyedari bahawa kaedahnya juga dapat dilaksanakan untuk komunikasi yang selamat:

"Saya menyedari bahawa banyak teknik yang sama yang saya perlukan untuk exfiltration selamat sebenarnya sesuai untuk VPN pertahanan. Oleh itu, WireGuard mempunyai banyak ciri siluman yang baik yang dibina di mana anda tidak boleh mengimbasnya di internet, ia tidak dapat dikesan melainkan anda tahu di mana ia berada. Ia tidak akan bertindak balas terhadap paket yang tidak disahkan. "

Hasilnya, menurut Donenfeld, adalah terowong VPN yang lebih dapat dipercaya daripada pendahulunya dan berdasarkan kod baru yang bertentangan dengan apa yang dia sebut sebagai "teknologi bertarikh dari tahun 1990-an".

Penjaga Sangat Kecil

Kenapa Wireguard sangat kecil?

Salah satu matlamat utama Donenfeld dalam membangunkan WireGuard adalah untuk memastikan kod itu mudah. Menurut Donenfeld ini telah diilhami oleh kekurangan keyakinannya terhadap saiz protokol VPN sedia ada yang besar. Bercakap tentang OpenVPN dan IPsec, Donenfeld menjelaskan:

"Walaupun begitu banyak penilaian dan pasukan yang mengaudit dasar-dasar ini orang masih mencari pepijat, kerana mereka terlalu besar dan kompleks."

Donenfeld mengatakan bahawa hasratnya untuk memastikan WireGuard yang minimum dan mudah membawa kepada pembangunan kriptografi protokol yang mempunyai "pelaksanaan kecil", dengan eksploitasi dan kelemahan yang kurang mungkin:

"Sebagai contoh, semua medan dalam protokol itu tetap panjang, jadi kita tidak perlu mempunyai parser. Dan jika tidak ada parsers maka tidak ada parser bug. "

Untuk menyebut kriptografi itu sendiri, WireGuard (dan pelanggan WireGuard seperti TunSafe) melaksanakan primitif moden yang terbukti seperti Curve25519 (untuk keluk elips Diffie Hellman), ChaCha20 (untuk hashing), Poly1305 dan BLAKE2 (untuk enkripsi yang disahkan), dan SipHash2-4 (untuk jadual hash). Donenfeld mengatakan itu "pentingnya, tidak ada ketangkasan cipher". Ini adalah bahagian utama protokol yang menjadikannya lebih selamat daripada yang terdahulu.

"Sekiranya cip tersebut pecah, anda naikkan dan anda tidak membenarkan ciphers pecah di rangkaian anda. Pada masa ini [primitives] ini adalah yang paling baik, tetapi jika mereka menjadi ketinggalan zaman pada bila-bila, kita akan mengubahnya."

Satu lagi perkara menarik mengenai Wireguard ialah ia meningkatkan daya tampung sehingga enam kali berbanding OpenVPN. Secara teori, ini bermakna lebih baik untuk tugas intensif data seperti permainan atau streaming dalam HD.

Rancangan Besar

Rancangan besar untuk WireGuard di Linux

Pada masa ini, WireGuard adalah daripada modul pokok untuk kernel Linux - jadi apabila anda membeli pengedaran Linux, ia tidak akan dimuatkan seperti XFS atau pemandu lain. Ini bermakna jika anda mahu menggunakan WireGuard, anda perlu mengesan sumber dan menyusunnya sendiri - atau mencari sumber yang boleh dipercayai yang telah dikompilinya untuk versi kernel Linux anda.

Donenfeld mahu perubahan itu. Pembangun WireGuard mahu Linux untuk menambah kod ke Kernel secara lalai supaya semua distros Linux kapal dengannya. Sekiranya cadangan Donenfeld yang dikemukakan pada Selasa lalu berjaya, satu set patch akan ditambah ke kernel Linux untuk mengintegrasikan kod tunneling VPN selamat sebagai pemandu rangkaian rasmi.

Tanda soal

Bolehkah anda mengharapkan untuk melihat WireGuard dilaksanakan dalam klien VPN komersial dalam masa terdekat??

Buat masa ini WireGuard masih belum terbukti. Walaupun ia telah tertakluk kepada beberapa pengesahan rasmi untuk pelaksanaan kriptografi, ia belum dianggap selamat. Ini bermakna ia mempunyai beberapa cara untuk pergi sebelum ia akan mencabar OpenVPN.

Malah pemaju WireGuard mengaku bahawa:

"WireGuard belum selesai. Anda tidak harus bergantung pada kod ini. Ia tidak mengalami tahap pengauditan keselamatan dan protokol masih tertakluk kepada perubahan. Kami sedang berusaha ke arah pembebasan 1.0 yang stabil, tetapi masa itu belum lagi datang. "

Di samping itu, pertukaran utama WireGuard tidak menjadi masalah untuk VPN komersial, yang memerlukan API mereka untuk dapat mengendalikan kunci perkongsian di antara pelbagai pelayan yang terletak di seluruh dunia dengan cara yang selamat dan cekap.

Walaupun demikian, perbincangan untuk menambah WireGuard kepada projek kernel Linux menarik dan menunjukkan bahawa terdapat harapan yang tinggi untuk protokol VPN novel ini. Buat masa ini, ia mungkin kekal di pinggir - hanya digunakan oleh orang yang menginginkan keselamatan tambahan yang terlibat dalam menubuhkan nod VPN mereka sendiri.

Emanuel Morgan, CIO di NordVPN, mengatakan dia mendapati WireGuard sangat menarik tetapi memberitahu ProPrivacy.com bahawa penyedia VPN komersial perlu "menunggu sehingga ia sudah cukup matang" sebelum mempertimbangkan untuk melaksanakannya:

"Pada masa ini terlalu banyak bahagian yang hilang untuk digunakan pada skala dan tidak ada cara standard untuk mengedarkan kunci. Tanpa pengedaran utama, WireGuard kurang diminati sebagai aplikasi VPN komersial.

"Pengguna perlu memastikan bahawa mereka menyambung ke pelayan VPN yang sah, dan sijil pelayan OpenVPN menyelesaikan masalah ini dengan cara yang mudah, selamat dan cekap. "

Kredit imej: Reka Bentuk Design Baru / Shutterstock.com, tanewpix / Shutterstock.com, file404 / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me