WireGuard - Schnelles und sicheres VPN im Linux-Kernel

Feige. 1. OpenVPN vs WireGuard, testen Sie Ars Technica

WireGuard - freie und offene Protokolle virtueller privater Netzwerke, die IPSec ersetzen sollen, und OpenVPN. Im Januar 2020, nach anderthalb Jahren Code-Verfeinerung, fand das lang erwartete Ereignis dennoch statt - Linus Torvalds akzeptierte VPN WireGuard im Hauptzweig von Linux 5.6 .

Sehr bald wird dieses VPN Teil des Linux-Kernels - das Herz eines Open-Source-Betriebssystems, das die ganze Welt betreibt, von Webservern bis zu Android-Handys und Autos. Dies ist ein wirklich wichtiges Ereignis, da WireGuard viel einfacher und logischer ist als frühere VPNs. Im Juni 2019 gingen automatisierte kryptografische Beweise ein Mathematikprotokoll.

VPN ist ein wichtiges Werkzeug für Sicherheit und Datenschutz. Tatsächlich handelt es sich um einen verschlüsselten Kommunikationskanal zwischen zwei oder mehr Geräten, mit dem Daten durch einen sicheren „Tunnel“ geleitet werden können. Unternehmen verwenden VPNs, um remote auf Mitarbeiter des Unternehmensnetzwerks zuzugreifen, und kommerzielle VPN-Dienste bieten Benutzern Schutz vor dem Abfangen von Datenverkehr, indem sie ihn über Remote-Server leiten. Dies bedeutet, dass Ihr Provider, staatliche Geheimdienste oder nicht autorisierte Personen nicht sehen können, was Sie im Internet tun. Das Weiterleiten des Datenverkehrs über einen Remote-Server kann auch den Eindruck erwecken, dass Sie von einem anderen Ort aus auf das Internet zugreifen. Auf diese Weise können Personen in einigen Ländern auf Websites zugreifen, die aus irgendeinem Grund blockiert sind.

VPN-Verbindungen sind jedoch nur so sicher wie die Software selbst. Sicherheitsexperten stehen VPN-Software traditionell kritisch gegenüber. Ein Grund dafür ist, dass die meisten VPN-Programme unglaublich komplex sind. Je komplexer die Software ist, desto schwieriger ist es, auf Sicherheitsprobleme zu prüfen.

Alte VPN-Programme sind "zu umfangreich und kompliziert, und im Prinzip ist es unmöglich zu überprüfen, ob sie sicher sind oder nicht", sagt Jan Jonsson, CEO des Mullvad VPN-Anbieters, auf dessen Grundlage der im Browser integrierte VPN-Dienst funktioniert Feuerfuchs

Der Autor von WireGuard ist der Hacker und Pentester Jason A. Donenfeld. Es gelang ihm, viel einfacheren und prägnanteren Code zu schreiben als in den meisten anderen VPN-Programmen. Die erste Version von WireGuard enthielt weniger als 4000 Codezeilen - im Vergleich zu Zehntausenden von Zeilen in anderen VPN-Programmen. Dies macht WireGuard nicht sicherer, erleichtert jedoch die Fehlerbehebung erheblich. Die Schlüsselmechanismen des Verschlüsselungsprotokolls sind in Abb. 1 dargestellt. 2. Abb. 2: (a) WireGuard-Protokoll; (b) kryptografisches Rechnen; (c) WireGuard-Cookie-Mechanismus zum Schutz des Hosts vor DoS-Angriffen




WireGuard-Clients sind bereits für Android, iOS, MacOS, Linux und Windows freigegeben. Cloudflare hat den Warp-VPN-Dienst basierend auf dem WireGuard-Protokoll gestartet, und mehrere kommerzielle VPN-Anbieter ermöglichen Benutzern auch die Verwendung des WireGuard-Protokolls, einschließlich TorGuard, IVPN und Mullvad.

Die Implementierung von WireGuard direkt im Kernel, der direkt mit der Hardware interagiert, sollte die Arbeit des Programms weiter beschleunigen. WireGuard kann Daten direkt von einer Netzwerkkarte verschlüsseln und entschlüsseln, ohne dass Datenverkehr über den Kernel und die Software auf einer höheren Ebene übertragen werden muss.

Die offizielle Veröffentlichung von Linux 5.6 wird in wenigen Wochen erfolgen. Danach können Sie davon ausgehen, dass das WireGuard-Protokoll in verschiedenen VPN-Diensten häufiger verwendet wird, einschließlich zum Schutz von Verbindungen zwischen IoT-Geräten, von denen viele unter Linux funktionieren.

Der Autor des Programms, Jason Donenfield, verdiente seinen Lebensunterhalt mit dem Einbruch in Computersysteme (Penetrationstests im Rahmen eines offiziellen Vertrags für Beratungsleistungen). Ursprünglich entwickelte er WireGuard als Datenexfiltrationswerkzeug, um Daten vom Computer eines Opfers verdeckt zu erfassen.

2012 zog Jason nach Frankreich und wollte, wie viele VPN-Benutzer, von einer amerikanischen Website aus online gehen. Aber er vertraute der vorhandenen VPN-Software nicht. Am Ende erkannte er, dass er sein Exfiltrationstool verwenden konnte, um den Verkehr durch den Computer seiner Eltern in den USA zu leiten: „Ich erkannte, dass viele Methoden zum Hacken von Systemen (offensive Sicherheit) tatsächlich zum Schutz nützlich sind “ , sagte er in einem Interview mit dem Magazin Verdrahtet.

Dönfeld änderte den traditionellen Ansatz, den VPN und kryptografische Software seit Jahrzehnten verwenden. Bei anderen VPN-Systemen können Benutzer beispielsweise einen von mehreren Verschlüsselungsalgorithmen auswählen. Die Unterstützung mehrerer Verschlüsselungsschemata macht die Software jedoch komplexer und bietet mehr Möglichkeiten für Fehler. WireGuard nimmt sich die Freiheit, einige Entscheidungen für den Benutzer zu treffen. Dies macht das Programm nicht so flexibel wie IPsec und OpenVPN, aber WireGuard ist um eine Größenordnung einfacher, was laut Befürwortern die Wahrscheinlichkeit von Fehlern sowohl von WireGuard-Entwicklern als auch von Benutzern verringert.

Ein einfaches Code-Audit ist nicht der einzige Grund, warum WireGuard so viel Aufmerksamkeit auf sich gezogen hat. Der größte Vorteil von WireGuard ist, dass "es schön ist, es zu verwenden, -sagt Thomas Ptacek, ein Sicherheitsforscher. "Die Konfiguration ist nicht schwieriger als bei allen Netzwerk-Tools, die Entwickler bereits verwenden."

WireGuard ist dem sicheren Signal Messenger ebenbürtig - sie sind Teil einer umfassenden Bewegung zur Entwicklung einer besseren und bequemeren Software auf der Grundlage moderner kryptografischer Methoden.

Im Jahr 2019 bewerteten Experten des französischen Instituts für Computerforschung und -automatisierung die WireGuard-Kryptographie. Sie erhielten den automatisierten kryptografischen Nachweis der mathematischen Methoden, die WireGuard zugrunde liegen, obwohl der Code selbst möglicherweise noch Sicherheitsprobleme aufweist. Jetzt wird es von Linux-Entwicklern getestet, und Donenfeld hat im Vorgriff auf die Veröffentlichung des neuen Linux-Kernels 5.6 und WireGuard 1.0 einige Probleme behoben.

---

PKI-Lösungen für kleine und mittlere Unternehmen von der GlobalSign Certification Authority. Weitere Informationen erhalten Sie von den Managern unter +7 (499) 678 2210, sales-ru@globalsign.com.