Hva er WireGuard VPN-protokoll?

WireGuard er en neste generasjons open source sikker tunneling VPN-protokoll utviklet av Jason Donenfeld. Det er en Layer 3 sikker nettverkstunnel for IPv4 og IPv6 som bruker "konservative moderne kryptografiske protokoller". Det er UDP-basert og har innebygd stealth, som lar den slå gjennom brannmurer. Godkjenningsmodellen for WireGuard er basert på SSHs autentiserte_taster.

Sammenlignet med etablerte VPN-tunneleringsprotokoller som IPSec og OpenVPN, er WireGuard liten. Med en vekt på bare 3782 kodelinjer (sammenlignet med 329 853 for OpenVPN), gjør WireGuards økonomiske størrelse det mye enklere å revidere. Dette betyr at det er mye rimeligere å sjekke plattformen og kan utføres på en ettermiddag av bare en person.

WireGuard er designet for å være en generell VPN for å kjøre på innebygde grensesnitt. Selv om WireGuard opprinnelig ble designet for Linux Kernel, er den nå implementert for Android, MacOS og Windows. Faktisk blir WireGuard rost som en mobil VPN-applikasjon - fordi stealth-funksjonene betyr at den aldri overfører pakker med mindre det er faktiske data som skal sendes. Resultatet er at WireGuard ikke, i motsetning til andre VPN-protokoller, som er strømmen sulten, ikke tapper konstant batteriet.

Wireguard 2

Hva er annerledes med WireGuard?

WireGuards utvikler Jason Donenfeld er grunnleggeren av Edge Security. Han klippet tennene i sikkerhetsbransjen og jobbet i offensive og defensive applikasjoner. Han utviklet rutekiteksfiltreringsmetoder som gjorde at han kunne forbli i et nettverk uten å bli oppdaget.

"Når du er i et nettverk som gjør en vurdering av rødt team og penetrasjonstest, vil du kunne opprettholde en utholdenhet i nettverket i løpet av oppdragets varighet. Du ønsker å kunne filtrere data på en stealthy måte - slik at du kan unngå oppdagelse - og få dataene ut på en sikker og uoppdaget måte. "

Donenfeld sier at han i løpet av sitt sikkerhetsarbeid ble oppmerksom på at metodene hans også kunne implementeres for sikker kommunikasjon:

”Jeg innså at mange av de samme teknikkene jeg trengte for sikker eksfiltrering faktisk er perfekte for en defensiv VPN. Så, WireGuard har mange av disse fine stealthfunksjonene som er innebygd der du ikke kan søke etter det på internett, det kan ikke påvises med mindre du vet hvor det er. Den vil ikke svare på ikke-autentiserte pakker. ”

Resultatet er ifølge Donenfeld en VPN-tunnel som er mer pålitelig enn forgjengerne, og som er basert på ny kode i motsetning til det han omtaler som "daterte teknologier fra 1990-tallet".

Veldig liten Wireguard

Hvorfor er Wireguard så liten?

Et av Donenfelds viktigste mål for å utvikle WireGuard var å holde koden enkel. I følge Donenfeld var dette inspirert av hans generelle mangel på tillit til den enorme størrelsen på eksisterende VPN-protokoller. Når han snakket om OpenVPN og IPsec, forklarte Donenfeld:

"Selv etter så mange vurderinger og team som har revidert disse kodebasene, finner folk fremdeles feil, fordi de bare er for store og sammensatte."

Donenfeld sier at hans ønske om å holde WireGuard minimal og enkel førte til utviklingen av protokollkryptografi som har en "liten implementering", med mindre mulige utnyttelser og sårbarheter:

"For eksempel er alle feltene i protokollen fast lengde, så vi trenger ikke å ha noen analysører. Og hvis det ikke er noen analysører, er det ingen analyserfeil. "

For å snakke om selve kryptografien, implementerer WireGuard (og WireGuard-klienter som TunSafe) påviste moderne primitiver som Curve25519 (for elliptisk kurve Diffie Hellman), ChaCha20 (for hasing), Poly1305 og BLAKE2 (for autentisert kryptering) og SipHash2-4 (for hasjbordene). Donenfeld sier det "Det er viktig at det ikke er noen chiffer-smidighet". Dette er en sentral del av protokollen som gjør den sikrere enn forgjengerne.

"Hvis chifferen er ødelagt, oppgraderer du og du tillater ikke ødelagte chiffer på nettverket. For øyeblikket er disse [primitivene] de fineste, men hvis de blir umoderne når som helst vil vi endre dem."

En annen spennende ting med Wireguard er at den øker gjennomstrømningen med opptil seks ganger sammenlignet med OpenVPN. I teorien betyr det at det er mye bedre for datakrevende oppgaver som spill eller streaming i HD.

Store planer

Store planer for WireGuard på Linux

For øyeblikket er WireGuard en ut-tre-modul for Linux-kjernen - så når du kjøper en Linux-distribusjon kommer den ikke forhåndsinnlastet som XFS eller andre drivere. Dette betyr at hvis du vil bruke WireGuard, må du spore opp kilden og samle den selv - eller finne en pålitelig kilde som allerede har satt den sammen for din Linux-kjerneversjon.

Donenfeld vil at det skal endre seg. WireGuards utvikler ønsker at Linux skal legge til koden til Kernelen som standard, slik at alle Linux-distrikter leveres med den. Hvis forslaget som Donenfeld sendte inn forrige tirsdag, er vellykket, vil et sett med oppdateringer bli lagt til Linux-kjernen for å integrere den sikre VPN-tunnelingskoden som en offisiell nettverksdriver.

Spørsmålstegn

Kan du forvente å se WireGuard implementert i en kommersiell VPN-klient når som helst snart??

Foreløpig er WireGuard fremdeles ikke bevist. Selv om det har vært gjenstand for en viss formell bekreftelse for kryptografisk implementering, anses den ennå ikke som sikker. Dette betyr at det har en vei å gå før det blir utfordrende OpenVPN.

Selv WireGuards utviklere innrømmer at:

“WireGuard er ikke fullført ennå. Du bør ikke stole på denne koden. Den har ikke gjennomgått ordentlige grader av sikkerhetsrevisjon, og protokollen kan fortsatt endres. Vi jobber mot en stabil 1.0-utgivelse, men den tiden har ennå ikke kommet. ”

I tillegg er WireGuards ikke-behandling av nøkkelutveksling et problem for kommersielle VPN-er, som trenger deres API for å kunne håndtere delingsnøkler mellom flere servere som er plassert rundt om i verden på en sikker og effektiv måte.

Til tross for dette er samtalen om å legge WireGuard til Linux-kjerneprosjektet spennende og viser at det er store forhåpninger for denne nye VPN-protokollen. Foreløpig vil det sannsynligvis forbli på kanten - bare brukt av folk som ønsker den ekstra sikkerheten som er involvert i å sette opp sin egen VPN-nod.

Emanuel Morgan, CIO ved NordVPN, sier han synes WireGuard er veldig interessant, men fortalte ProPrivacy.com at kommersielle VPN-leverandører vil trenge å "vente til det har modnet nok" før de vurderer å implementere det:

“For øyeblikket mangler for mange deler til å distribuere den i skala, og det er ingen standard måte å distribuere nøkler på. Uten nøkkeldistribusjon er WireGuard mindre ønskelig som en kommersiell VPN-applikasjon.

"Brukere må være sikre på at de kobler seg til en legitim VPN-server, og OpenVPNs serversertifikater løser dette problemet på en enkel, sikker og effektiv måte. ”

Bildekreditter: New Design Illustrations / Shutterstock.com, tanewpix / Shutterstock.com, file404 / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me