WireGuard VPNプロトコルとは何ですか?

WireGuardは、Jason Donenfeldが開発した次世代のオープンソースセキュアトンネリングVPNプロトコルです。これは、IPv4およびIPv6用のレイヤー3セキュアネットワークトンネルであり、 "保守的な最新の暗号化プロトコル". UDPベースで、ステルスが組み込まれているため、ファイアウォールを通過できます。 WireGuardの認証モデルは、SSHのauthentic_keysに基づいています.

IPSecやOpenVPNなどの確立されたVPNトンネリングプロトコルと比較すると、WireGuardは小規模です。わずか3782行のコード(OpenVPNの329,853と比較)で、WireGuardの経済的なサイズにより、監査がはるかに簡単になります。これは、プラットフォームのセキュリティのチェックがはるかに安価であり、午後にたった1人で行えることを意味します.

WireGuardは、組み込みインターフェイスで実行するための汎用VPNとして設計されています。 WireGuardはもともとLinuxカーネル用に設計されていましたが、現在はAndroid、MacOS、およびWindows用に実装されています。実際、WireGuardはモバイルVPNアプリケーションとして賞賛されています-そのステルス機能は、送信する実際のデータがない限りパケットを送信しないことを意味するためです。その結果、電力を消費する他のVPNプロトコルとは異なり、WireGuardは常にバッテリーを消耗しません。.

ワイヤーガード2

WireGuardの違い?

WireGuardの開発者Jason DonenfeldはEdge Securityの創設者です。彼はセキュリティ業界で歯を切って、攻撃的および防御的なアプリケーションで働いていました。彼はルートキットの抽出方法を開発し、検出されることなくネットワーク内に留まることができました。.

「ネットワークで赤いチームの評価と侵入テストを行っている場合、割り当ての期間中、ネットワーク内で持続性を維持できるようにしたいと考えています。検出を回避できるように、データをステルスな方法で盗み出し、安全で検出されない方法でデータを取得できるようにしたいのです。」

ドネンフェルドは、彼のセキュリティ作業の過程で、安全な通信のために自分の方法も実装できることに気付いたと言います。

「安全な流出に必要な同じテクニックの多くが、実際には防御的なVPNに最適であることを認識しました。したがって、WireGuardには、インターネット上でスキャンできない場所にこれらの優れたステルス機能が多数組み込まれています。どこにあるかわからない限り、それは検出できません。認証されていないパケットには応答しません。」

ドネンフェルドによると、その結果は、前任者よりも信頼性が高く、「1990年代の最新技術」と呼ばれるものとは対照的に、新しいコードに基づいたVPNトンネルです。.

非常に小さなワイヤーガード

Wireguardがこんなに小さいのはなぜですか?

WireGuardの開発におけるDonenfeldの重要な目標の1つは、コードをシンプルにすることでした。ドネンフェルドによると、これは、既存のVPNプロトコルの巨大なサイズに対する一般的な自信不足に触発されたものです。ドネンフェルドは、OpenVPNとIPsecについて話しました。

「これらのコードベースを非常に多くの評価とチームで監査した後でも、人々はバグを見つけ続けています。なぜなら、それらは大きすぎて複雑だからです。」

ドネンフェルドは、WireGuardを最小限かつシンプルに保ちたいという願望が、悪用や脆弱性の可能性が低い「小さな実装」を備えたプロトコル暗号化の開発につながったと言います。

「たとえば、プロトコルのすべてのフィールドは固定長であるため、パーサーは必要ありません。パーサーがなければ、パーサーのバグはありません。」

暗号化自体について言えば、WireGuard(およびTunSafeなどのWireGuardクライアント)は、Curve25519(楕円曲線Diffie Hellman用)、ChaCha20(ハッシュ用)、Poly1305およびBLAKE2(認証済み暗号化用)、SipHash2-4などの実証済みのモダンプリミティブを実装します(ハッシュテーブル用)。ドネンフェルドは言う "重要なのは、暗号の敏g性がないことです。". これはプロトコルの重要な部分であり、以前のものよりも安全です.

"暗号が破損している場合は、アップグレードし、ネットワーク上で破損した暗号を許可しません。現時点では、これらの[プリミティブ]は最も良いものですが、いずれかの時点でそれらが古くなった場合、それらを変更します."

Wireguardのもう1つの興味深い点は、OpenVPNと比較してスループットが最大6倍向上することです。理論的には、ゲームやHDでのストリーミングなど、データ集約型のタスクにははるかに優れていることを意味します.

大きな計画

LinuxでのWireGuardの大きな計画

現在、WireGuardはLinuxカーネルのツリー外モジュールです。したがって、Linuxディストリビューションを購入したときに、XFSや他のドライバーのようにプリロードされていません。つまり、WireGuardを使用する場合は、ソースを追跡して自分でコンパイルするか、Linuxカーネルバージョン用にコンパイル済みの信頼できるソースを見つける必要があります。.

ドネンフェルドはそれを変えたいと思っています。 WireGuardの開発者は、すべてのLinuxディストリビューションに同梱されるように、デフォルトでLinuxがカーネルにコードを追加することを望んでいます。先週火曜日にDonenfeldが提出した提案が成功した場合、Linuxカーネルに一連のパッチが追加され、公式のネットワークドライバーとして安全なVPNトンネリングコードが統合されます。.

疑問符

WireGuardがすぐに商用VPNクライアントに実装されるのを期待できますか?

当面の間、WireGuardはまだ実証されていません。暗号化の実装については正式な検証が行われていますが、まだ安全とは見なされていません。これは、OpenVPNに挑戦する前に何らかの方法があることを意味します.

WireGuardの開発者でさえ、次のことを認めています。

「WireGuardはまだ完全ではありません。このコードに依存しないでください。適切な程度のセキュリティ監査を受けていないため、プロトコルは変更される可能性があります。安定した1.0リリースに向けて取り組んでいますが、その時はまだ来ていません。」

さらに、WireGuardのキー交換の非処理は、世界中の複数のサーバー間で共有キーを安全かつ効率的な方法で処理できるようにするAPIが必要な商用VPNの問題です.

それにもかかわらず、WireGuardをLinuxカーネルプロジェクトに追加するという話は刺激的であり、この新しいVPNプロトコルに大きな期待があることを示しています。今のところ、それは周辺に残る可能性があります-自分のVPNノードのセットアップに関連する追加のセキュリティを望む人によってのみ使用されます.

NordVPNのCIOであるEmanuel Morgan氏は、WireGuardが非常に興味深いと感じているが、ProPrivacy.comに、商用VPNプロバイダーはそれを実装する前に「十分に成熟するまで待つ必要がある」と語った。

「現時点では、多くのパーツが不足しているため、大規模に展開することはできず、キーを配布する標準的な方法はありません。キー配布がなければ、WireGuardは商用VPNアプリケーションとしては望ましくありません。.

"ユーザーは、正当なVPNサーバーに接続していることを確認する必要があります。OpenVPNのサーバー証明書は、この問題をシンプルで安全かつ効率的な方法で解決します。

画像クレジット:New Design Illustrations / Shutterstock.com、tanewpix / Shutterstock.com、file404 / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me