WireGuard je protokol novej generácie zabezpečeného tunelovania VPN novej generácie, ktorý vyvinula Jason Donenfeld. Je to zabezpečený sieťový tunel vrstvy 3 pre IPv4 a IPv6, ktorý používa "konzervatívne moderné kryptografické protokoly". Je založený na UDP a má zabudovanú tajnosť, ktorá mu umožňuje preraziť brány firewall. Autentifikačný model pre WireGuard je založený na autentifikovaných identifikátoroch SSH.


V porovnaní so zavedenými protokolmi tunelovania VPN, ako sú IPSec a OpenVPN, je WireGuard malý. Váženie iba 3782 riadkov kódu (v porovnaní s 329 853 pre OpenVPN), ekonomická veľkosť WireGuardu uľahčuje audit. To znamená, že kontrola bezpečnosti platformy je oveľa lacnejšia a popoludní ju môže vykonať iba jedna osoba.

WireGuard je navrhnutý ako univerzálna sieť VPN na spustenie vo vstavaných rozhraniach. Aj keď bol WireGuard pôvodne navrhnutý pre Linuxové jadro, teraz je implementovaný pre Android, MacOS a Windows. WireGuard je v skutočnosti chválený ako mobilná aplikácia VPN - pretože jeho tajné vlastnosti znamenajú, že nikdy neprenáša pakety, pokiaľ neexistujú skutočné údaje, ktoré sa majú odoslať. Výsledkom je, že na rozdiel od iných protokolov VPN, ktoré sú náročné na energiu, WireGuard nevyčerpáva batériu neustále..

Wireguard 2

Čo sa líši na WireGuard?

Vývojár spoločnosti WireGuard Jason Donenfeld je zakladateľom spoločnosti Edge Security. Zrezal si zuby v bezpečnostnom priemysle a pracoval v útočných a obranných aplikáciách. Vyvinul metódy na odfiltrovanie trás, ktoré mu umožnili zostať vo vnútri siete bez toho, aby boli odhalené.

„Keď ste v sieti a robíte test na červený tím a penetračný test, chcete mať možnosť udržať perzistenciu v sieti počas trvania úlohy. Chcete mať možnosť odfiltrovať údaje tajným spôsobom - aby ste sa vyhli detekcii - a získať údaje bezpečným a nezisteným spôsobom. “

Donenfeld hovorí, že počas svojej bezpečnostnej práce si uvedomil, že jeho metódy by sa mohli implementovať aj pre bezpečnú komunikáciu:

„Uvedomil som si, že veľa rovnakých techník, ktoré potrebujem na bezpečnú exfiltráciu, je skutočne dokonalé pre defenzívnu VPN. WireGuard má v sebe zabudované množstvo týchto pekných tajných funkcií, v ktorých ich nemôžete vyhľadávať na internete. Je to nedetekovateľné, pokiaľ neviete, kde sa nachádza. Neodpovedá na neoverené pakety. “

Výsledkom je podľa Donenfelda VPN tunel, ktorý je dôveryhodnejší ako jeho predchodcovia a ktorý je založený na novom kóde na rozdiel od toho, čo označuje ako „datované technológie od 90. rokov“..

Veľmi malý vodič

Prečo je Wireguard taký malý?

Jedným z hlavných cieľov spoločnosti Donenfeld pri vývoji programu WireGuard bolo zachovanie jednoduchosti kódu. Podľa Donenfelda to bolo inšpirované jeho všeobecnou nedôverou v obrovskú veľkosť existujúcich protokolov VPN. Keď hovoríme o OpenVPN a IPsec, Donenfeld vysvetlil:

"Dokonca aj po toľkých hodnoteniach a tímoch, ktoré vykonávajú audit týchto kodebáz, ľudia stále nachádzajú chyby, pretože sú príliš veľké a zložité."

Donenfeld hovorí, že jeho túžba udržiavať WireGuard minimálnu a jednoduchú viedla k vývoju kryptografie protokolu, ktorá má „malú implementáciu“, s menším možným využitím a zraniteľnosťou:

„Napríklad všetky polia protokolu majú pevnú dĺžku, takže nemusíme mať žiadne analyzátory. A ak neexistujú analyzátory, potom neexistujú žiadne chyby analyzátora. “

Pokiaľ ide o samotnú kryptografiu, WireGuard (a klienti WireGuard, ako je TunSafe) implementujú osvedčené moderné primitívy, ako sú Curve25519 (pre eliptickú krivku Diffie Hellman), ChaCha20 (pre hashovanie), Poly1305 a BLAKE2 (pre autentické šifrovanie) a SipHash2-4 (pre tabuľky hash). Donenfeld to hovorí "čo je dôležitejšie, neexistuje šifra". Toto je kľúčová časť protokolu, ktorá ho robí bezpečnejším ako jeho predchodcovia.

"Ak je šifra rozbitá, inovujete a nepovolíte rozbité šifry vo vašej sieti. V súčasnosti sú títo [primitívi] najkrajší, ale ak sa stanú neaktuálnymi, zmeníme ich."

Ďalšou zaujímavou vecou na Wireguarde je to, že v porovnaní s OpenVPN zvyšuje priepustnosť až šesťkrát. Teoreticky to znamená, že je oveľa lepšia pre úlohy náročné na údaje, ako sú hry alebo streamovanie v HD.

Veľké plány

Veľké plány pre WireGuard v systéme Linux

WireGuard je v súčasnosti pre stromové jadro modulom out of tree - takže keď si zakúpite distribúciu Linuxu, neprichádza vopred načítaný ako XFS alebo iné ovládače. To znamená, že ak chcete používať WireGuard, musíte vyhľadať zdroj a skompilovať ho sami - alebo nájsť dôveryhodný zdroj, ktorý ho už zostavil pre vašu verziu Linuxového jadra..

Donenfeld to chce zmeniť. Vývojár WireGuard chce, aby Linux štandardne pridal kód do jadra, takže s ním budú distribuované všetky Linuxy. Ak je návrh, ktorý Donenfeld predložil minulý utorok, úspešný, do jadra systému Linux by sa pridala sada opráv na integráciu bezpečného tunelového kódu VPN ako oficiálneho sieťového ovládača..

Otázniky

Môžete očakávať, že WireGuard bude implementovaný v komerčnom klientovi VPN v dohľadnej dobe?

WireGuard je zatiaľ nepreukázaný. Hoci pre svoju kryptografickú implementáciu bolo predmetom nejakého formálneho overenia, ešte sa nepovažuje za bezpečné. To znamená, že má nejaký spôsob, ako to bude náročné na OpenVPN.

Aj vývojári spoločnosti WireGuard pripúšťajú, že:

„WireGuard ešte nie je dokončený. Na tento kód by ste sa nemali spoliehať. Nevykonal riadny stupeň bezpečnostného auditu a protokol sa stále môže meniť. Pracujeme na stabilnom vydaní verzie 1.0, ale tento čas ešte neprišiel. “

Okrem toho je nezabezpečenie výmeny kľúčov spoločnosťou WireGuard problémom komerčných sietí VPN, ktoré potrebujú, aby ich rozhranie API bolo schopné bezpečným a efektívnym spôsobom spracovať zdieľanie kľúčov medzi viacerými servermi umiestnenými po celom svete..

Napriek tomu je diskusia o pridaní WireGuard do projektu jadra Linuxu vzrušujúca a ukazuje, že pre tento nový protokol VPN sú veľké nádeje. Zatiaľ je pravdepodobné, že zostanú na okraji - používajú ich iba ľudia, ktorí si želajú ďalšie zabezpečenie spojené s nastavením vlastného uzla VPN..

Emanuel Morgan, CIO v spoločnosti NordVPN, tvrdí, že považuje spoločnosť WireGuard za veľmi zaujímavú, ale povedal spoločnosti ProPrivacy.com, že komerční poskytovatelia VPN budú musieť „počkať, kým dostatočne nezreje“, skôr ako ju zvážia:

„Momentálne chýba príliš veľa častí na nasadenie v mierke a neexistuje štandardný spôsob distribúcie kľúčov. Bez distribúcie kľúčov je WireGuard menej žiaduce ako komerčná aplikácia VPN.

"Používatelia si musia byť istí, že sa pripájajú k legitímnemu serveru VPN a serverové certifikáty OpenVPN tento problém riešia jednoduchým, bezpečným a efektívnym spôsobom. “

Obrázkové kredity: New Design Illustrations / Shutterstock.com, tanewpix / Shutterstock.com, file404 / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me