„WireGuard“ yra naujos kartos atvirojo kodo saugus tunelinis VPN protokolas, kurį sukūrė Jasonas Donenfeldas. Tai yra 3 lygmens saugaus tinklo tunelis, skirtas IPv4 ir IPv6 "konservatyvūs modernūs kriptografiniai protokolai". Jis yra UDP pagrįstas ir turi įmontuotą slaptą signalą, kuris leidžia jį pramušti per užkardas. „WireGuard“ autentifikavimo modelis yra pagrįstas SSH autentifikuotais klavišais.


Palyginti su nustatytais VPN tuneliavimo protokolais, tokiais kaip IPSec ir OpenVPN, „WireGuard“ yra mažas. „WireGuard“ ekonominis dydis, kurį sudaro tik 3782 kodo eilutės (palyginti su 329 853 „OpenVPN“), žymiai lengviau audituoti. Tai reiškia, kad patikrinti platformos saugumą yra daug pigiau, o popietę tai gali padaryti tik vienas asmuo.

„WireGuard“ yra sukurtas kaip bendrosios paskirties VPN, skirtas paleisti įterptas sąsajas. Nors „WireGuard“ iš pradžių buvo sukurtas „Linux Kernel“, dabar jis buvo įdiegtas „Android“, „MacOS“ ir „Windows“. Tiesą sakant, „WireGuard“ yra giriama kaip mobilioji VPN programa - nes jos slaptos funkcijos reiškia, kad ji niekada neperduoda paketų, nebent yra faktiniai siunčiami duomenys. Rezultatas yra tas, kad, skirtingai nei kiti VPN protokolai, kurie yra alkani dėl energijos, „WireGuard“ nenusileidžia akumuliatoriui nuolat.

Laidininkas 2

Kuo skiriasi „WireGuard“?

„WireGuard“ kūrėjas Jasonas Donenfeldas yra „Edge Security“ įkūrėjas. Jis supjaustė dantis saugos pramonėje, dirbdamas puolimo ir gynybos srityse. Jis sukūrė maršruto rinkinio eksfiltravimo metodus, leidžiančius jam likti tinklo viduje, jo neaptikus.

„Kai esate tinkle, darote raudoną komandos vertinimą ir skverbties testą, norite išsaugoti tinklo atkaklumą visą užduotį. Norite, kad būtų galima slaptai išfiltruoti duomenis - kad išvengtumėte aptikimo - ir saugiai ir nepastebimai išduoti duomenis. “

Donenfeldas sako, kad dirbdamas saugumo srityje jis suprato, kad jo metodai gali būti įgyvendinti ir saugaus ryšio srityje:

„Aš supratau, kad daugelis tų pačių metodų, kurių man reikėjo saugiam eksfiltravimui, iš tikrųjų puikiai tinka gynybiniam VPN. Taigi, „WireGuard“ turi daugybę šių nuostabių slaptų funkcijų, įmontuotų ten, kur negalite jos nuskaityti internete. Tai yra neaptinkama, nebent jūs žinote, kur ji yra. Jis neatsakys į neautentifikuotus paketus. “

Anot Donenfeldo, rezultatas yra patikimesnis nei jo pirmtakai VPN tunelis, pagrįstas nauju kodu, o ne tuo, ką jis vadina „pasenusiomis 1990-ųjų technologijomis“..

Labai maža viela

Kodėl „Wireguard“ yra toks mažas??

Vienas iš pagrindinių Donenfeldo tikslų kuriant „WireGuard“ buvo išlaikyti kodą paprastą. Donenfeldo teigimu, tai paskatino jo bendras nepasitikėjimas didžiuliu esamų VPN protokolų dydžiu. Kalbėdamas apie „OpenVPN“ ir „IPsec“, Donenfeldas paaiškino:

"Net atlikę daugybę įvertinimų ir komandų, tikrinančių šias pagrindines bazes, žmonės vis dar randa klaidų, nes jos yra tiesiog per didelės ir sudėtingos".

Donenfeldas sako, kad jo noras išlaikyti „WireGuard“ minimalų ir paprastą lėmė protokolinės kriptografijos, kuri turi „mažą įgyvendinimą“, turinčią mažiau galimų išnaudojimų ir pažeidžiamumų, plėtrą:

„Pavyzdžiui, visi protokolo laukai yra fiksuoto ilgio, todėl mes neturime analizuoti. Ir jei nėra analizuotojų, nėra ir analizatoriaus klaidų “.

Kalbėdami apie pačią kriptografiją, „WireGuard“ (ir „WireGuard“ klientai, tokie kaip „TunSafe“) įgyvendina patikrintus šiuolaikinius primityvus, tokius kaip „Curve25519“ (elipsinei kreivei Diffie Hellman), „ChaCha20“ (maišyti), „Poly1305“ ir „BLAKE2“ (už autentifikuotą šifravimą) ir „SipHash2-4“. (maišos lentelėms). Donenfeldas tai sako "Svarbu, kad nėra šifro judrumo". Tai yra pagrindinė protokolo dalis, dėl kurios jis tampa saugesnis nei jo pirmtakai.

"Jei šifras sulaužytas, atnaujinkite ir neleidžiate sugadintų šifrų tinkle. Šiuo metu šie [primityvai] yra patys gražiausi, bet jei bet kuriuo metu jie pasensta, mes juos pakeisime."

Kitas įdomus „Wireguard“ dalykas yra tai, kad jis padidina pralaidumą net šešis kartus, palyginti su „OpenVPN“. Teoriškai tai reiškia, kad tai daug geriau atliekant daug duomenų reikalaujančias užduotis, pavyzdžiui, žaidžiant ar transliuojant HD formatu.

Dideli planai

Dideli „WireGuard“ planai „Linux“

Šiuo metu „WireGuard“ nėra „Linux“ branduolio modulis, todėl perkant „Linux“ paskirstymą jis nėra iš anksto įkeltas, kaip XFS ar kitos tvarkyklės. Tai reiškia, kad jei norite naudoti „WireGuard“, turite atsekti šaltinį ir patys jį sukompiliuoti - arba surasti patikimą šaltinį, kuris jį jau sudarė jūsų „Linux“ branduolio versijai..

Donenfeldas nori, kad tai pasikeistų. „WireGuard“ kūrėjas nori, kad „Linux“ prie branduolio pridėtų kodą pagal numatytuosius nustatymus, kad visi „Linux“ kūriniai būtų su savimi. Jei praėjusį antradienį Donenfeldo pateiktas pasiūlymas bus sėkmingas, „Linux“ branduolyje bus pridėtas pataisų rinkinys, kad būtų galima integruoti saugų VPN tuneliavimo kodą kaip oficialų tinklo tvarkyklę..

Klausimų ženklai

Ar galite tikėtis, kad „WireGuard“ bus įdiegta komerciniame VPN kliente bet kuriuo metu?

Šiuo metu „WireGuard“ vis dar nėra įrodytas. Nors šiam kriptografiniam įgyvendinimui buvo atliktas oficialus patikrinimas, jis vis dar nelaikomas saugiu. Tai reiškia, kad ji dar turi eiti prieš pradėdama iššūkį „OpenVPN“.

Net „WireGuard“ kūrėjai pripažįsta:

„„ WireGuard “dar nėra baigtas. Neturėtumėte pasikliauti šiuo kodu. Jam nebuvo atliktas tinkamas saugumo audito laipsnis, o protokolas vis dar gali būti keičiamas. Mes dirbame link stabilios 1.0 versijos, bet dar neatėjo laikas. “

Be to, „WireGuard“ netinkamas raktų keitimas yra problema komerciniams VPT, kuriems reikalingas jų API, kad jie galėtų saugiai ir efektyviai valdyti dalijimosi raktus tarp kelių visame pasaulyje esančių serverių..

Nepaisant to, kalbėjimas apie „WireGuard“ pridėjimą prie „Linux“ branduolio projekto yra jaudinantis ir parodo, kad yra daug vilčių dėl šio naujojo VPN protokolo. Kol kas tai greičiausiai liks pakraščiuose - ja naudojasi tik žmonės, norintys papildomo saugumo kuriant savo VPN mazgą..

Emanuelis Morganas, „NordVPN“ CIO darbuotojas, sako, kad jam „WireGuard“ atrodo labai įdomus, tačiau sakė ProPrivacy.com, kad komerciniams VPT teikėjams reikės „palaukti, kol jis pakankamai subręs“, prieš pradėdamas įgyvendinti:

„Šiuo metu trūksta per daug dalių, kad būtų galima dislokuoti mastelį, ir nėra standartinio būdo, kaip paskirstyti raktus. Be raktų paskirstymo, „WireGuard“ yra mažiau pageidautina kaip komercinė VPN programa.

"Vartotojai turi būti tikri, kad prisijungia prie teisėto VPN serverio, o „OpenVPN“ serverio sertifikatai šią problemą išsprendžia paprastai, saugiai ir efektyviai. “

Vaizdo kreditai: Naujojo dizaino iliustracijos / Shutterstock.com, tanewpix / Shutterstock.com, file404 / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me