WireGuard - VPN Cepat dan Aman di Kernel Linux

Ara. 1. OpenVPN vs WireGuard, uji Ars Technica

WireGuard - protokol terbuka dan virtual private network, dimaksudkan untuk menggantikan IPsec, dan OpenVPN. Pada Januari 2020, setelah satu setengah tahun penyempurnaan kode, acara yang telah lama ditunggu-tunggu itu berlangsung - Linus Torvalds menerima VPN WireGuard di cabang utama Linux 5.6 .

Segera, VPN ini akan menjadi bagian dari kernel Linux - jantung dari sistem operasi open source yang menjalankan seluruh dunia, dari server web hingga ponsel dan mobil Android. Ini adalah peristiwa yang sangat penting, karena WireGuard jauh lebih sederhana dan lebih logis daripada VPN sebelumnya. Pada Juni 2019, bukti kriptografi otomatis diterima protokol matematika.

VPN adalah alat penting untuk keamanan dan privasi. Bahkan, itu adalah saluran komunikasi terenkripsi antara dua atau lebih perangkat yang memungkinkan data untuk dialihkan melalui "terowongan" yang aman. Perusahaan menggunakan VPN untuk mengakses karyawan dari jarak jauh ke jaringan perusahaan, dan layanan VPN komersial menawarkan perlindungan pengguna terhadap intersepsi lalu lintas dengan mengarahkannya melalui server jarak jauh. Ini berarti bahwa penyedia Anda, agen intelijen pemerintah atau orang yang tidak berwenang tidak dapat melihat apa yang Anda lakukan di Internet. Mengarahkan lalu lintas melalui server jarak jauh juga dapat membuat kesan bahwa Anda mengakses Internet dari tempat lain. Ini memungkinkan orang di beberapa negara mengakses situs yang diblokir karena alasan tertentu.

Tetapi koneksi VPN hanya seaman perangkat lunak itu sendiri. Para profesional keamanan secara tradisional kritis terhadap perangkat lunak VPN. Salah satu alasannya adalah sebagian besar perangkat lunak VPN sangat kompleks. Semakin kompleks perangkat lunaknya, semakin sulit untuk mengaudit masalah keamanan.

Program-program VPN lama “terlalu besar dan rumit, dan pada prinsipnya tidak mungkin untuk menelusuri dan memeriksa apakah mereka aman atau tidak,” kata Jan Jonsson, CEO penyedia VPN Mullvad, berdasarkan pada mana layanan built-in VPN di browser berfungsi Firefox

Penulis WireGuard adalah hacker dan pentester Jason A. Donenfeld. Dia berhasil menulis kode yang jauh lebih sederhana dan lebih ringkas daripada di sebagian besar program VPN lainnya. Versi pertama WireGuard berisi kurang dari 4000 baris kode - dibandingkan dengan puluhan ribu baris dalam program VPN lainnya. Ini tidak membuat WireGuard lebih aman, tetapi membuat pemecahan masalah jauh lebih mudah. Mekanisme kunci dari protokol enkripsi ditunjukkan pada Gambar. 2. Gambar. 2: (a) protokol WireGuard; (B) komputasi kriptografi; (c) Mekanisme cookie WireGuard untuk melindungi host dari serangan DoS




Klien WireGuard sudah dirilis untuk Android, iOS, MacOS, Linux, dan Windows. Cloudflare meluncurkan layanan Warp VPN berdasarkan protokol WireGuard, dan beberapa penyedia VPN komersial juga memungkinkan pengguna untuk menggunakan protokol WireGuard, termasuk TorGuard, IVPN, dan Mullvad.

Implementasi WireGuard langsung di kernel, yang secara langsung berinteraksi dengan perangkat keras, harus lebih mempercepat kerja program. WireGuard akan dapat mengenkripsi dan mendekripsi data langsung dari kartu jaringan, tanpa perlu mentransfer lalu lintas melalui kernel dan perangkat lunak pada tingkat yang lebih tinggi.

Rilis resmi Linux 5.6 akan berlangsung dalam beberapa minggu. Setelah itu, dapat diharapkan bahwa protokol WireGuard akan lebih banyak digunakan di berbagai layanan VPN, termasuk untuk melindungi koneksi antara perangkat IoT, yang banyak di antaranya bekerja di Linux.

Penulis program, Jason Donenfield, mencari nafkah dengan membobol sistem komputer (tes penetrasi di bawah kontrak resmi untuk layanan konsultasi). Dia awalnya mengembangkan WireGuard sebagai alat exfiltrasi data untuk secara diam-diam menangkap data dari komputer korban.

Pada 2012, Jason pindah ke Prancis dan, seperti banyak pengguna VPN, ingin online dari situs Amerika. Namun dia tidak mempercayai perangkat lunak VPN yang ada. Pada akhirnya, ia menyadari bahwa ia dapat menggunakan alat pengusirannya untuk merutekan lalu lintas melalui komputer orangtuanya di AS: "Saya menyadari bahwa banyak metode sistem peretasan (keamanan ofensif) sebenarnya berguna untuk perlindungan, " katanya dalam sebuah wawancara dengan majalah tersebut. Wired.

Donenfeld mengubah pendekatan tradisional yang VPN dan perangkat lunak kriptografi telah gunakan selama beberapa dekade. Misalnya, sistem VPN lain memungkinkan pengguna untuk memilih salah satu dari beberapa algoritma enkripsi. Tetapi dukungan untuk beberapa skema enkripsi membuat perangkat lunak lebih kompleks dan memberikan lebih banyak peluang untuk kesalahan. WireGuard mengambil kebebasan membuat beberapa keputusan untuk pengguna. Ini membuat program tidak sefleksibel IPsec dan OpenVPN, tetapi WireGuard adalah urutan besarnya yang lebih sederhana, yang, menurut para pendukung, mengurangi kemungkinan kesalahan dari pengembang dan pengguna WireGuard.

Audit kode sederhana bukan satu-satunya alasan WireGuard menarik begitu banyak perhatian. Keuntungan terbesar dari WireGuard adalah bahwa "senang menggunakannya, -kata Thomas Ptacek, seorang peneliti keamanan. "Tidak lebih sulit untuk dikonfigurasikan daripada alat jaringan apa pun yang sudah digunakan pengembang."

WireGuard setara dengan Signal messenger yang aman - mereka adalah bagian dari gerakan luas untuk menciptakan perangkat lunak yang lebih baik dan lebih nyaman berdasarkan metode kriptografi modern.

Pada tahun 2019, para ahli dari Institut Perancis untuk Penelitian dan Otomasi Komputer mengevaluasi kriptografi WireGuard. Mereka mendapat bukti kriptografi otomatis dari metode matematika yang mendasari WireGuard, meskipun mungkin masih ada masalah keamanan dalam kode itu sendiri. Sekarang sedang diuji oleh pengembang Linux, dan Donenfeld telah memperbaiki beberapa masalah sebelum rilis kernel Linux 5.6 baru dan WireGuard 1.0.

---

Solusi PKI untuk bisnis kecil dan menengah dari Otoritas Sertifikasi GlobalSign.Untuk detailnya, hubungi manajer +7 (499) 678 2210, sales-ru@globalsign.com.