Co je to protokol WireGuard VPN?

WireGuard je protokol nové generace zabezpečeného tunelového propojení VPN vytvořený společností Jason Donenfeld. Jedná se o zabezpečený síťový tunel vrstvy 3 pro IPv4 a IPv6, který používá "konzervativní moderní kryptografické protokoly". Je založen na UDP a má zabudovanou tajnost, která mu umožňuje prorazit brány firewall. Autentizační model pro WireGuard je založen na autentizovaných_keys SSH.

Ve srovnání se zavedenými VPN tunelovacími protokoly, jako jsou IPSec a OpenVPN, je WireGuard malý. Vážení pouze na 3782 řádcích kódu (v porovnání s 329 853 pro OpenVPN), ekonomická velikost WireGuardu usnadňuje audit. To znamená, že kontrola bezpečnosti platformy je mnohem levnější a může ji provést v odpoledních hodinách jen jedna osoba.

WireGuard je navržen jako univerzální VPN pro běh na zabudovaných rozhraních. Přestože byl WireGuard původně navržen pro linuxové jádro, byl nyní implementován pro Android, MacOS a Windows. WireGuard je ve skutečnosti chválen jako mobilní VPN aplikace - protože jeho tajné vlastnosti znamenají, že nikdy nepřenáší pakety, pokud neexistují skutečná data, která mají být odeslána. Výsledkem je, že na rozdíl od jiných protokolů VPN, které jsou náročné na energii, WireGuard nevyčerpává baterii neustále.

Drátěný strážce 2

Co se liší na WireGuard?

Vývojář WireGuardu Jason Donenfeld je zakladatelem Edge Security. Řezal si zuby v bezpečnostním průmyslu a pracoval v útočných a obranných aplikacích. Vyvinul metody exfiltrace kitů tras, které mu umožnily zůstat uvnitř sítě, aniž by byly detekovány.

„Když se účastníte sítě, která provádí hodnocení červeného týmu a penetrační test, chcete si udržet vytrvalost v síti po celou dobu přiřazení. Chcete být schopni filtrovat data tajným způsobem - abyste se vyhnuli detekci - a získejte data bezpečným a nezjištěným způsobem. “

Donenfeld říká, že během své bezpečnostní práce si uvědomil, že jeho metody lze také implementovat pro bezpečnou komunikaci:

"Uvědomil jsem si, že mnoho stejných technik, které jsem potřeboval pro bezpečnou exfiltraci, je ve skutečnosti ideální pro defenzivní VPN." WireGuard má proto spoustu těchto pěkných tajných funkcí, které nelze zabudovat na internetu, je nedetekovatelné, pokud nevíte, kde to je. Nereaguje na neověřené pakety. “

Výsledkem je podle Donenfelda VPN tunel, který je důvěryhodnější než jeho předchůdci a který je založen na novém kódu, na rozdíl od toho, co označuje jako „datované technologie z 90. let“..

Velmi malý drátěný strážce

Proč je Wireguard tak malý?

Jedním z klíčových cílů Donenfeldu při vývoji WireGuard bylo udržení jednoduchého kódu. Podle Donenfelda to bylo inspirováno jeho obecnou nedůvěrou v obrovskou velikost existujících VPN protokolů. Když mluvíme o OpenVPN a IPsec, Donenfeld vysvětlil:

"I po tolika hodnoceních a týmech prověřujících tyto kódové základny lidé stále hledají chyby, protože jsou prostě příliš velké a složité."

Donenfeld říká, že jeho touha udržet WireGuard minimální a jednoduchou vedla k vývoji kryptografie protokolu, která má „malou implementaci“, s menšími možnými zneužitími a zranitelnostmi:

"Například všechna pole v protokolu mají pevnou délku, takže nemusíme mít žádné analyzátory." A pokud neexistují žádné analyzátory, pak neexistují žádné chyby analyzátoru. “

Pokud jde o samotnou kryptografii, WireGuard (a klienti WireGuard, jako je TunSafe) implementují osvědčené moderní primitivy, jako je Curve25519 (pro eliptickou křivku Diffie Hellman), ChaCha20 (pro hashování), Poly1305 a BLAKE2 (pro autentické šifrování) a SipHash2-4 (pro hash tabulky). Donenfeld to říká "Důležité je, že neexistuje šifra". Jedná se o klíčovou část protokolu, díky níž je bezpečnější než jeho předchůdci.

"Pokud je šifra rozbitá, upgradujete a v síti nepovolíte rozbité šifry. V tuto chvíli jsou tito primitivové nejhezčí, ale pokud se stanou zastaralými, změníme je."

Další zajímavou věcí na programu Wireguard je, že ve srovnání s OpenVPN zvyšuje propustnost až šestkrát. Teoreticky to znamená, že je mnohem lepší pro datově náročné úkoly, jako je hraní nebo streamování v HD.

Velké plány

Velké plány pro WireGuard na Linuxu

V současné době je WireGuard pro Linuxové jádro modulem out of tree - takže když si zakoupíte distribuci Linuxu, nepřijde se předem načten jako XFS nebo jiné ovladače. To znamená, že pokud chcete používat WireGuard, musíte zdroj vystopovat a zkompilovat jej sami - nebo najít důvěryhodný zdroj, který jej již kompiloval pro vaši verzi linuxového jádra.

Donenfeld to chce změnit. Vývojář WireGuard chce, aby Linux ve výchozím nastavení přidal kód do jádra, takže s ním budou dodávány všechny distribuce Linuxu. Pokud je návrh, který Donenfeld předložil minulé úterý, úspěšný, bude do jádra Linuxu přidána sada oprav, které integrují zabezpečený kód tunelování VPN jako oficiální síťový ovladač..

Otazníky

Můžete očekávat, že WireGuard bude implementován v komerčním klientovi VPN kdykoli?

WireGuard je zatím prozatím neprokázaný. Přestože byla pro svou kryptografickou implementaci podrobena určitému formálnímu ověření, není dosud považována za bezpečnou. To znamená, že má nějaký způsob, jak jít, než to bude náročné OpenVPN.

I vývojáři společnosti WireGuard připouštějí:

„WireGuard ještě není kompletní. Na tento kód byste se neměli spoléhat. Neprošla řádným stupněm bezpečnostního auditu a protokol se stále může měnit. Pracujeme na stabilním vydání 1.0, ale ten čas ještě nenastal. “

Kromě toho je neobchodní výměna klíčů WireGuard problémem pro komerční VPN, které vyžadují, aby jejich API dokázaly bezpečně a efektivně zvládat sdílení klíčů mezi více servery umístěnými po celém světě..

Navzdory tomu je diskuse o přidání WireGuard do projektu Linuxového jádra vzrušující a ukazuje, že pro tento nový protokol VPN jsou vysoké naděje. Prozatím je pravděpodobné, že zůstanou na okrajích - používají pouze lidé, kteří si přejí zvláštní zabezpečení spojené s nastavením vlastního uzlu VPN.

Emanuel Morgan, CIO ve společnosti NordVPN, říká, že považuje WireGuard za velmi zajímavého, ale řekl ProPrivacy.com, že komerční poskytovatelé VPN budou muset „počkat, dokud nezraje dostatečně“, než zváží implementaci:

„Momentálně chybí příliš mnoho součástí, které by mohly být rozmístěny v měřítku, a neexistuje žádný standardní způsob distribuce klíčů. Bez distribuce klíčů je WireGuard méně žádoucí jako komerční VPN aplikace.

"Uživatelé si musí být jisti, že se připojují k legitimnímu VPN serveru a serverové certifikáty OpenVPN tento problém řeší jednoduchým, bezpečným a efektivním způsobem. “

Obrazové kredity: New Design Illustrations / Shutterstock.com, tanewpix / Shutterstock.com, file404 / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me