什么是WireGuard VPN协议?

WireGuard是Jason Donenfeld开发的下一代开源安全隧道VPN协议。它是用于IPv4和IPv6的第3层安全网络隧道,它使用 "保守的现代密码协议". 它基于UDP并具有内置的隐身性,这使它可以穿透防火墙。 WireGuard的身份验证模型基于SSH的authenticated_keys.

与已建立的VPN隧道协议(例如IPSec和OpenVPN)相比,WireGuard很小。 WireGuard的重量仅为3782行代码(相比之下,OpenVPN为329,853行),其经济规模使其审核更加容易。这意味着检查平台安全性的成本要便宜得多,并且只需一个人就能在一个下午完成.

WireGuard被设计为可在嵌入式接口上运行的通用VPN。尽管WireGuard最初是为Linux内核设计的,但现在已为Android,MacOS和Windows实施。实际上,WireGuard被誉为移动VPN应用程序-因为它的隐身功能意味着除非有实际数据要发送,否则它永远不会传输数据包。结果是,与其他耗电的VPN协议不同,WireGuard不会持续消耗电池电量.

线卫2

WireGuard有什么不同?

WireGuard的开发商Jason Donenfeld是Edge Security的创始人。他在安全行业从事攻势,从事进攻性和防御性应用程序的工作。他开发了路由工具包渗透方法,使他可以留在网络中而不会被发现.

“当您在网络中进行红色团队评估和渗透测试时,您希望能够在分配期间保持网络的持久性。您希望能够以隐秘的方式泄露数据-从而避免检测-并以安全且未被检测的方式获取数据。”

Donenfeld说,在安全工作过程中,他意识到自己的方法也可以用于安全通信:

“我意识到,安全渗透所需的许多相同技术实际上对于防御性VPN来说是完美的。因此,WireGuard具有许多内置的出色隐身功能,这些功能内置于您无法在Internet上进行扫描的地方,除非您知道它的位置,否则无法检测到。它不会响应未经身份验证的数据包。”

根据Donenfeld的说法,其结果是VPN隧道比其前辈更值得信赖,并且它基于新代码,而不是他所说的“ 1990年代的过时技术”。.

很小的线卫

为什么Wireguard这么小?

Donenfeld开发WireGuard的主要目标之一就是保持代码简单。根据Donenfeld的说法,这是由于他对现有VPN协议的庞大规模普遍缺乏信心所启发。在谈到OpenVPN和IPsec时,Doenfeld解释说:

“即使经过如此多的评估和审核这些代码库的团队,人们仍然发现错误,因为它们太大而又太复杂。”

Donenfeld说,他希望保持WireGuard最小化和简单化的愿望导致了协议加密技术的发展,该协议加密技术具有“微小的实现”,并且几乎没有漏洞利用和漏洞:

“例如,协议中的所有字段都是固定长度的,因此我们不必具有任何解析器。如果没有解析器,那么就没有解析器错误。”

谈到加密本身,WireGuard(以及WireGuard客户端,例如TunSafe)实现了经过验证的现代原语,例如Curve25519(用于椭圆曲线Diffie Hellman),ChaCha20(用于哈希),Poly1305和BLAKE2(用于经过验证的加密)以及SipHash2-4 (用于哈希表)。 Donenfeld说 "重要的是,没有密码敏捷性". 这是协议的关键部分,使其比以前的协议更加安全.

"如果密码已损坏,则进行升级,并且您的网络上不允许损坏的密码。目前,这些[原语]是最好的,但是如果它们在任何时候都过时了,我们将对其进行更改."

Wireguard的另一个令人兴奋的事情是,与OpenVPN相比,它最多可将吞吐量提高六倍。从理论上讲,这意味着它对于诸如游戏或高清流媒体等数据密集型任务要好得多.

大计划

Linux上的WireGuard的宏伟计划

目前,WireGuard是Linux内核的树外模块-因此,当您购买Linux发行版时,它不会像XFS或其他驱动程序那样预先加载。这意味着,如果要使用WireGuard,则必须跟踪源并自己进行编译-或找到已经为您的Linux内核版本编译过的可信赖源。.

Donenfeld希望改变这种状况。 WireGuard的开发人员希望Linux默认将代码添加到内核,以便所有Linux发行版都附带该代码。如果Donenfeld上周二提交的提案成功,则将向Linux内核添加一组补丁,以将安全VPN隧道代码集成为正式网络驱动程序.

问号

您能期待很快在商业VPN客户端中实现WireGuard吗??

目前,WireGuard尚未得到证实。尽管已对其加密实现方式进行了一些正式的验证,但尚未认为它是安全的。这意味着在挑战OpenVPN之前还有一段路要走.

甚至WireGuard的开发人员也承认:

“ WireGuard尚未完成。您不应依赖此代码。它尚未经过适当程度的安全审核,并且协议仍可能更改。我们正在努力开发一个稳定的1.0版本,但是那个时候尚未到来。”

此外,WireGuard对密钥交换的不处理是商业VPN的一个问题,商业VPN需要其API能够以安全有效的方式处理全球多个服务器之间的共享密钥。.

尽管如此,将WireGuard添加到Linux内核项目的讨论还是令人兴奋的,并且表明对这种新颖的VPN协议寄予厚望。目前,它可能仍会停留在边缘-仅由希望在建立自己的VPN节点时涉及额外安全性的人们使用.

NordVPN的首席信息官Emanuel Morgan表示,他发现WireGuard非常有趣,但他告诉ProPrivacy.com,商业VPN提供商需要“等到足够成熟”再考虑实施:

“目前缺少太多的部件来按比例部署它,并且没有标准的密钥分发方法。没有密钥分发,WireGuard不太适合作为商业VPN应用.

"用户需要确保他们正在连接到合法的VPN服务器,并且OpenVPN的服务器证书以简单,安全和有效的方式解决了这一问题。”

图片来源:New Design Illustrations / Shutterstock.com,tanewpix / Shutterstock.com,file404 / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me