WireGuard-Linux内核中的快速安全的VPN

图。1. OpenVPN与WireGuard，测试 Ars Technica

WireGuard-免费和开放协议的虚拟专用网络，旨在取代IPsec和OpenVPN。在经过一年半的代码改进之后，2020年1月，期待已久的事件发生了 -Linus Torvalds在Linux 5.6主分支中接受了VPN WireGuard。

很快，这种VPN将成为Linux内核的一部分-Linux内核的核心，它运行着从Web服务器到Android手机和汽车的整个世界。这是一个非常重要的事件，因为WireGuard比以前的VPN更简单，更合乎逻辑。2019年6月，收到了自动加密证据 数学协议。

VPN是实现安全性和隐私性的重要工具。实际上，它是两个或多个设备之间的加密通信通道，允许通过安全的“隧道”路由数据。公司使用VPN来远程访问员工访问公司网络，而商业VPN服务通过将其引导通过远程服务器来为用户提供防止流量拦截的保护。这意味着您的提供者，政府情报机构或任何未经授权的人都无法在Internet上看到您在做什么。通过远程服务器路由流量也会给您留下从另一个地方访问Internet的印象。这样一来，某些国家/地区的人就可以访问由于某种原因而被阻止的网站。

但是，VPN连接仅与软件本身一样安全。传统上，安全专业人员一直对VPN软件持批评态度。原因之一是大多数VPN软件非常复杂。软件越复杂，就安全性问题进行审核就越困难。在浏览器中运行内置VPN服务的Mullvad VPN Provider首席执行官Jan Jonsson 说：

“旧的VPN太大而复杂，从原则上讲，不可能浏览和检查它们是否安全”。火狐浏览器

WireGuard的作者是黑客和庞然大物的Jason A. Donenfeld。与大多数其他VPN程序相比，他设法编写了更简单，更简洁的代码。 WireGuard的第一个版本包含少于4000行代码-与其他VPN程序中的数万行相比。这并不能使WireGuard更加安全，但是可以使故障排除更加容易。加密协议的密钥机制如图2所示。 2. 图2：（a）WireGuard协议； （b）密码计算； （c）WireGuard cookie机制可保护主机免受DoS攻击




WireGuard客户端已经针对Android，iOS，MacOS，Linux和Windows发布。 Cloudflare推出了基于WireGuard协议的Warp VPN服务，一些商业VPN提供商还允许用户使用WireGuard协议，包括TorGuard，IVPN和Mullvad。

直接在内核中直接与硬件交互的WireGuard实现可进一步加快程序的工作。 WireGuard将能够直接从网卡加密和解密数据，而无需通过更高级别的内核和软件传输流量。

Linux 5.6的正式发布将在几周内完成。之后，您可以期望WireGuard协议将在各种VPN服务中得到更广泛的使用，包括保护IoT设备之间的连接，其中许多设备都在Linux上运行。

该程序的作者Jason Donenfield通过闯入计算机系统（根据正式的咨询服务合同进行渗透测试）谋生。他最初将WireGuard开发为一种数据泄露工具，用于秘密捕获受害者计算机中的数据。

2012年，Jason移居法国，和许多VPN用户一样，希望从美国站点上线。但是他不信任现有的VPN软件。最后，他意识到他可以使用渗透工具通过美国父母的计算机路由流量：“我意识到，许多黑客系统（攻击性安全性）方法实际上对保护有用，”他在接受该杂志采访时说。有线。

Donenfeld改变了VPN和加密软件数十年来一直使用的传统方法。例如，其他VPN系统允许用户选择几种加密算法之一。但是，对多种加密方案的支持使软件更加复杂，并为错误提供了更多机会。 WireGuard可以为用户做出一些决定。这使该程序不像IPsec和OpenVPN那样灵活，但是WireGuard简化了一个数量级，根据支持者，这降低了WireGuard开发人员和用户出错的可能性。

简单的代码审核并不是WireGuard引起如此多关注的唯一原因。 WireGuard的最大优点是“很好用，-安全研究员Thomas Ptacek 说。 “配置起来并不比开发人员已经在使用的任何网络工具都要困难。”

WireGuard与安全的Signal Messenger可以相提并论-它们是基于现代加密方法来创建更好，更方便的软件的广泛运动的一部分。

2019年，法国计算机研究与自动化研究所的专家对WireGuard加密技术进行了评估。尽管代码本身可能仍然存在安全性问题，但是他们获得了WireGuard的数学方法的自动密码证明。现在，它正在由Linux开发人员进行测试，并且Donenfeld已解决了新Linux内核5.6和WireGuard 1.0的发布中的几个问题。

---

来自GlobalSign证书颁发机构的针对中小型企业的PKI解决方案，有关详细信息，请联系经理+7（499）678 2210，sales-ru@globalsign.com。