Vad är WireGuard VPN-protokoll?

WireGuard är ett nästa generations VPN-protokoll med säker källkod med säker källkod, utvecklad av Jason Donenfeld. Det är en Layer 3-säker nätverkstunnel för IPv4 och IPv6 som använder "konservativa moderna kryptografiska protokoll". Det är UDP-baserat och har inbyggt stealth, vilket gör det möjligt att slå igenom brandväggar. Autentiseringsmodellen för WireGuard är baserad på SSH: s autentiserade_nycklar.


Jämfört med etablerade VPN-tunnelprotokoll som IPSec och OpenVPN är WireGuard liten. Med en vikt på bara 3782 kodrader (jämfört med 329 853 för OpenVPN) gör WireGuards ekonomiska storlek det mycket lättare att granska. Detta innebär att det är mycket billigare att kontrollera plattformens säkerhet och kan göras på en eftermiddag av bara en person.

WireGuard är utformad för att vara ett allmänt VPN för att köra på inbäddade gränssnitt. Även om WireGuard ursprungligen var designad för Linux-kärnan, har den nu implementerats för Android, MacOS och Windows. I själva verket är WireGuard berömd som en mobil VPN-applikation - eftersom dess stealthfunktioner innebär att det aldrig sänder paket om det inte finns faktiska data som ska skickas. Resultatet är att WireGuard, till skillnad från andra VPN-protokoll, som är strömhängande, inte ständigt tappar batteriet.

Wireguard 2

Vad är annorlunda med WireGuard?

WireGuards utvecklare Jason Donenfeld är grundaren av Edge Security. Han klippte tänderna i säkerhetsbranschen och arbetade i offensiva och defensiva tillämpningar. Han utvecklade rutinpaket exfiltreringsmetoder som tillät honom att stanna kvar i ett nätverk utan att upptäckas.

”När du är i ett nätverk som gör ett rött teamutvärdering och penetrationstest vill du kunna upprätthålla en beständighet i nätverket under uppdragets varaktighet. Du vill kunna exportera data på ett stealthy sätt - så att du kan undvika upptäckt - och få informationen ut på ett säkert och oupptäckt sätt. "

Donenfeld säger att han under sitt säkerhetsarbete blev medveten om att hans metoder också kunde implementeras för säker kommunikation:

”Jag insåg att många av samma tekniker som jag behövde för säker exfiltrering faktiskt är perfekta för en defensiv VPN. Så, WireGuard har många av dessa fina stealthfunktioner inbyggda där du inte kan söka efter det på internet, det kan inte upptäckas om du inte vet var det är. Det svarar inte på oautentiserade paket. ”

Resultatet är, enligt Donenfeld, en VPN-tunnel som är mer pålitlig än dess föregångare och som är baserad på ny kod i motsats till vad han kallar "daterad teknik från 1990-talet".

Mycket liten Wireguard

Varför är Wireguard så liten?

Ett av Donenfelds viktigaste mål för att utveckla WireGuard var att hålla koden enkel. Enligt Donenfeld inspirerades detta av hans allmänna brist på förtroende för den stora storleken på befintliga VPN-protokoll. På tal om OpenVPN och IPsec förklarade Donenfeld:

"Även efter så många bedömningar och team som granskar dessa codebaser hittar människor fortfarande buggar, eftersom de bara är för stora och komplexa."

Donenfeld säger att hans önskan att hålla WireGuard minimal och enkel ledde till utvecklingen av protokollkryptografi som har en "liten implementering", med mindre möjliga utnyttjanden och sårbarheter:

"Till exempel är alla fält i protokollet fast längd, så vi behöver inte ha några analyser. Och om det inte finns några tolkare så finns det inga tolkbugs. "

För att tala om själva kryptografin implementerar WireGuard (och WireGuard-klienter som TunSafe) beprövade moderna primitiv som Curve25519 (för elliptisk kurva Diffie Hellman), ChaCha20 (för hasning), Poly1305 och BLAKE2 (för autentiserad kryptering) och SipHash2-4 (för hashtabellerna). Donenfeld säger det "Det är viktigt att det inte finns någon chiffer-agility". Detta är en viktig del av protokollet som gör det säkrare än sina föregångare.

"Om chifferet är trasigt uppgraderar du och du tillåter inte trasiga chiffer i ditt nätverk. Just nu är dessa [primitiva] de trevligaste, men om de blir föråldrade när som helst kommer vi att ändra dem."

En annan spännande sak med Wireguard är att den ökar kapaciteten med upp till sex gånger jämfört med OpenVPN. I teorin betyder det att det är mycket bättre för datakrävande uppgifter som spel eller streaming i HD.

Stora planer

Stora planer för WireGuard på Linux

För närvarande är WireGuard en out-tree-modul för Linux-kärnan - så när du köper en Linux-distribution kommer den inte att laddas i förväg som XFS eller andra drivrutiner. Detta innebär att om du vill använda WireGuard måste du spåra källan och kompilera den själv - eller hitta en pålitlig källa som redan har sammanställt den för din Linux-kärnversion.

Donenfeld vill att det ska förändras. WireGuards utvecklare vill att Linux ska lägga till koden till kärnan som standard så att alla Linuxdistros levereras med den. Om det förslag som Donenfeld lade fram förra tisdagen är framgångsrikt, skulle en uppsättning patchar läggas till Linux-kärnan för att integrera den säkra VPN-tunnelingskoden som en officiell nätverksdrivare.

Frågetecken

Kan du förvänta dig att se WireGuard implementerad i en kommersiell VPN-klient när som helst snart?

För tillfället är WireGuard fortfarande obevisad. Även om det har varit föremål för viss formell verifiering för dess kryptografiska implementering, anses det ännu inte vara säkert. Detta betyder att det har något sätt att gå innan det kommer att utmana OpenVPN.

Till och med WireGuards utvecklare erkänner att:

”WireGuard är ännu inte komplett. Du bör inte lita på den här koden. Det har inte genomgått korrekt grader av säkerhetsrevision och protokollet kan fortfarande ändras. Vi arbetar för en stabil 1.0-release, men den tiden har ännu inte kommit. ”

Dessutom är WireGuards icke-hantering av nyckelutbyte ett problem för kommersiella VPN, som behöver deras API för att kunna hantera delningsnycklar mellan flera servrar som finns runt om i världen på ett säkert och effektivt sätt.

Trots detta är samtalet om att lägga till WireGuard till Linux-kärnprojektet spännande och visar att det finns stora förhoppningar för detta nya VPN-protokoll. För tillfället kommer det sannolikt att förbli i utkanten - används endast av människor som önskar den extra säkerheten som är involverad i att sätta upp sin egen VPN-nod.

Emanuel Morgan, CIO på NordVPN, säger att han tycker att WireGuard är mycket intressant men berättade för ProPrivacy.com att kommersiella VPN-leverantörer kommer att behöva ”vänta tills det har mognat tillräckligt” innan man överväger att implementera det:

”För närvarande saknas för många delar för att distribuera den i skala och det finns inget standard sätt att distribuera nycklar. Utan nyckeldistribution är WireGuard mindre önskvärd som en kommersiell VPN-applikation.

"Användare måste vara säkra på att de ansluter till en legitim VPN-server, och OpenVPNs servercertifikat löser detta problem på ett enkelt, säkert och effektivt sätt. ”

Bildkrediter: New Design Illustrations / Shutterstock.com, tanewpix / Shutterstock.com, file404 / Shutterstock.com

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

+ 78 = 79

map