WireGuard е следващо поколение VPN протокол със защитено тунелиране с отворен код, разработен от Джейсън Доненфелд. Това е защитен мрежов тунел на Layer 3 за IPv4 и IPv6, който използва "консервативни съвременни криптографски протоколи". Той е базиран на UDP и има вграден стелт, който му позволява да пробива през защитни стени. Моделът за удостоверяване за WireGuard се основава на SSH's authentication_keys.


В сравнение с установените протоколи за тунелиране на VPN като IPSec и OpenVPN, WireGuard е малък. Претегляйки само с 3782 реда код (в сравнение с 329 853 за OpenVPN), икономическият размер на WireGuard прави много по-лесен одита. Това означава, че проверката на сигурността на платформата е много по-евтина и може да се извърши следобед само от един човек.

WireGuard е проектиран да бъде VPN с общо предназначение за работа върху вградени интерфейси. Въпреки че WireGuard първоначално е проектиран за Linux Kernel, сега е реализиран за Android, MacOS и Windows. Всъщност WireGuard се възхвалява като мобилно VPN приложение - тъй като неговите скрити функции означават, че никога не предава пакети, освен ако не се изпращат реални данни. Резултатът е, че за разлика от други VPN протоколи, които са гладни за захранване, WireGuard не изтощава постоянно батерията.

Щитка 2

Какво е различното в WireGuard?

Програмистът на WireGuard Джейсън Доненфелд е основателят на Edge Security. Той си реже зъбите в индустрията за сигурност, като работи в офанзивни и отбранителни приложения. Той разработи методи за ексфилтрация на маршрутен комплект, които му позволиха да остане в мрежа, без да бъде открит.

„Когато сте в мрежа, правите тест за оценка на червения екип и проникване, искате да можете да поддържате постоянство в мрежата за продължителността на заданието. Искате да можете да ексфилтрирате данните по прикрит начин - така че да избегнете откриването им - и да извадите данните по сигурен и неоткрит начин. “

Доненфелд казва, че по време на работата си по сигурността той е узнал, че неговите методи могат да бъдат приложени и за сигурни комуникации:

„Разбрах, че много от едни и същи техники, необходими за сигурна ексфилтрация, всъщност са идеални за защитен VPN. И така, WireGuard има много от тези приятни скрит функции, вградени там, където не можете да го сканирате в интернет, това е неоткриваемо, освен ако не знаете къде се намира. Той няма да отговори на неоторизирани пакети. "

Резултатът, според Доненфелд, е VPN тунел, който е по-надежден от предшествениците си и който се основава на нов код, за разлика от това, което той нарича „датирани технологии от 90-те години“.

Много малка телена охрана

Защо Wireguard е толкова малък?

Една от ключовите цели на Доненфелд при разработването на WireGuard беше да запази кода просто. Според Доненфелд това е вдъхновено от общата му липса на увереност в огромния размер на съществуващите VPN протоколи. Говорейки за OpenVPN и IPsec, Доненфелд обясни:

„Дори след толкова много оценки и екипи, одитиращи тези бази данни, хората все още намират грешки, защото те са твърде големи и сложни.“

Доненфелд казва, че желанието му да поддържа WireGuard минимално и просто доведе до разработването на криптография на протокол, която има „мъничка реализация“, с по-малко възможни експлоатации и уязвимости:

„Например, всички полета в протокола са с фиксирана дължина, така че не е нужно да имаме парсери. И ако няма парсери, няма и грешки в парсера. "

За да говори за самата криптография, WireGuard (и клиентите на WireGuard като TunSafe) прилагат доказани съвременни примитиви като Curve25519 (за елиптична крива Diffie Hellman), ChaCha20 (за хеширане), Poly1305 и BLAKE2 (за автентифицирано криптиране) и SipHash2-4 (за хеш таблиците). Доненфелд казва това "важното е, че няма шифровост на шифъра". Това е ключова част от протокола, което го прави по-сигурен от предшествениците му.

"Ако шифърът е счупен, тогава надграждате и не допускате счупени шифри в мрежата си. В момента тези [примитиви] са най-хубавите, но ако по всяко време стареят, ние ще ги променим."

Друго вълнуващо нещо при Wireguard е, че той увеличава пропускателната способност до шест пъти в сравнение с OpenVPN. На теория това означава, че е много по-добре за интензивни данни като игри или стрийминг в HD.

Големи планове

Големи планове за WireGuard на Linux

В момента WireGuard е модул, който не е в дърво за Linux ядрото - така че, когато закупите дистрибуция на Linux, той не се предлага предварително като XFS или други драйвери. Това означава, че ако искате да използвате WireGuard, трябва да проследите източника и да го компилирате сами - или да намерите надежден източник, който вече го е съставил за вашата версия на Linux ядрото.

Доненфелд иска това да се промени. Програмистът на WireGuard иска Linux да добави кода в ядрото по подразбиране, така че всички Linux да се разпространяват с него. Ако предложението, подадено от Доненфелд миналия вторник, е успешно, към ядрото на Linux ще бъде добавен набор от пачове, за да се интегрира защитният VPN тунелен код като официален мрежов драйвер.

Въпросителни знаци

Можете ли да очаквате скоро да видите WireGuard, реализиран в търговски VPN клиент?

Засега WireGuard все още е недоказан. Въпреки че е подложен на официална проверка за криптографското му прилагане, той все още не се счита за сигурен. Това означава, че има някакъв път, преди да се окаже предизвикателство към OpenVPN.

Дори разработчиците на WireGuard признават, че:

„WireGuard все още не е завършен. Не трябва да разчитате на този код. Той не е преминал правилни степени на одит на сигурността и протоколът все още подлежи на промяна. Работим за стабилна версия 1.0, но това време все още не е дошло. “

В допълнение, неработенето на WireGuard от обмена на ключове е проблем за търговските VPN, които се нуждаят от техния API, за да могат да обработват ключовете за споделяне между множество сървъри, разположени по целия свят, по сигурен и ефективен начин.

Въпреки това, разговорът за добавяне на WireGuard към проекта за ядрото на Linux е вълнуващ и показва, че има големи надежди за този нов VPN протокол. Засега е вероятно да остане на границата - използва се само от хора, които желаят допълнителната сигурност, включена в настройката на своя собствен VPN възел.

Емануел Морган, CIO от NordVPN, казва, че намира WireGuard за изключително интересен, но каза за ProPrivacy.com, че доставчиците на VPN от търговски мрежи ще трябва да „изчакат, докато той достатъчно узрее“, преди да обмислят прилагането му:

„В момента липсват твърде много части, за да се разгърнат в мащаб и няма стандартен начин за разпространение на ключовете. Без разпределение на ключове, WireGuard е по-малко желателно като търговско VPN приложение.

"Потребителите трябва да са сигурни, че се свързват с легитимен VPN сървър, а сървърните сертификати на OpenVPN решават този проблем по прост, сигурен и ефективен начин. “

Образни кредити: Нови дизайнерски илюстрации / Shutterstock.com, tanewpix / Shutterstock.com, file404 / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me