Mi is az a WireGuard? A WireGuard felülvizsgálata
A WireGuard felülvizsgálata,  VPN

Mi is az a WireGuard? A WireGuard felülvizsgálata

A WireGuard egy kommunikációs protokoll és egy ingyenes és nyílt forráskódú szoftver, amely titkosított virtuális magánhálózatokat, vagyis VPN-t valósít meg. Ezek tervezésekor a könnyű használat, a nagy sebességű teljesítmény és az alacsony támadási felület volt a cél. Célja a jobb teljesítmény és az energiatakarékosság, mint az IPsec és az OpenVPN alagútépítő protokolloké. A WireGuard protokoll UDP-n keresztül továbbítja a forgalmat.

2020 márciusában a szoftver Linux-verziója elérte a stabil gyártási kiadást és beépült a Linux 5.6 kernelbe, valamint néhány Linux-disztribúcióban a korábbi Linux-kernelekbe visszaportolták. A Linux kernel komponensei a GNU General Public License (GPL) 2. verziója alatt állnak. Más implementációk a GPLv2 vagy más szabad/nyílt forráskódú licencek alatt állnak.

 

WireGuard – Választható, előre-megosztott szimmetrikus kulcs mód

A WireGuard támogatja az előre megosztott szimmetrikus kulcs módot, amely egy további szimmetrikus titkosítási réteget biztosít a kvantumszámítástechnika jövőbeni fejlődésének mérséklése érdekében. A kockázat az, hogy a forgalom addig tárolódik, amíg a kvantumszámítógépek nem képesek feltörni a Curve25519-et. Ekkor a forgalom visszafejthető.

Az előre megosztott kulcsok “általában problémásak a kulcskezelés szempontjából és nagyobb valószínűséggel lopják el őket”, de rövidebb távon, ha a szimmetrikus kulcs kompromittálódik, a Curve25519 kulcsok még mindig több mint elegendő védelmet nyújtanak.

 

Hálózatépítés

A WireGuard csak  UDP-t használ. Ez ellentétben az olyan alternatívákkal, mint az OpenVPN, mivel a TCP számos hátránya van a TCP-rel szemben. Az UDP mint egyetlen szállítási mód nem megfelelő a szállodák, konferenciaközpontok vagy más nyilvános hálózatok számára, amelyek a kommunikációt a közös HTTP és HTTPS protokollokra korlátozzák.

A WireGuard teljes mértékben támogatja az IPv6-ot, mind az alagúton belül, mind azon kívül. Csak a 3. réteget támogatja mind az IPv4, mind az IPv6 esetében és képes a v4-et a v6-ba kapszulázni és fordítva. A WireGuard több topológiát is támogat:

  • Point-to-point
  • Star (kiszolgáló/ügyfél)
    • Az ügyfél végpontját nem kell meghatározni, mielőtt az ügyfél elkezdené az adatátvitelt.
    • Az ügyfél végpontok statikusan előre meghatározhatók.
  • Mesh

Mivel a pont-pont kapcsolat támogatott, más topológiák is létrehozhatók, de nem ugyanazon az alagúton.

 

A WireGuard a következőket használja:

  • Curve25519 a kulcscseréhez
  • ChaCha20 szimmetrikus titkosításhoz
  • Poly1305 az üzenethitelesítési kódokhoz
  • SipHash a hashtable kulcsokhoz
  • BLAKE2s a kriptográfiai hash függvényhez
  • Csak UDP-alapú

2019 májusában az INRIA kutatói közzétették a WireGuard gépi ellenőrzésű bizonyítékát, amelyet a CryptoVerif bizonyítási asszisztens segítségével állítottak elő.

 

Bővíthetőség

A WireGuardot úgy tervezték, hogy harmadik féltől származó programokkal és szkriptekkel bővíthető legyen. Ennek segítségével a WireGuard különböző funkciókkal bővült, beleértve a felhasználóbarátabb kezelőfelületeket, beleértve a kulcsok könnyebb beállítását, a naplózást, a dinamikus tűzfalfrissítéseket és az LDAP integrációt. Az ilyen összetett funkciók kizárása a minimális mag kódbázisból javítja a stabilitást és a biztonságot.

A biztonság garantálása érdekében a WireGurard korlátozza a kriptográfiai vezérlések megvalósításának lehetőségeit, korlátozza a kulcscsere-folyamatok választási lehetőségeit és a modern kriptográfia egy kis részhalmazára korlátozza az algoritmusokat. Ha valamelyik primitívben hibát találnak, akkor egy új verzió adható ki, amely megoldja a problémát.

Emellett a teljes alkalmazás biztonságát befolyásoló konfigurációt a felhasználók nem módosíthatják.

 

A WireGuard célja…

… hogy egyszerű és hatékony virtuális magánhálózati megvalósítást biztosítson. Az Ars Technica 2018-as áttekintésében megjegyezte, hogy a népszerű VPN-technológiák, például az OpenVPN és az IPsec gyakran bonyolultan állíthatók be. Könnyen megszakad a kapcsolat további konfiguráció hiányában, jelentős időt vesz igénybe az újrakapcsolódások megtárgyalása, elavult kódokat használhatnak és viszonylag hatalmas, több mint 400 000, illetve 600 000 kódsorral rendelkező kódbázisuk van, ami akadályozza a hibakeresést.

A WireGuard tervezése ezeket a problémákat igyekszik csökkenteni és arra törekszik, hogy az alagutat alapértelmezés szerint biztonságosabbá és könnyebben kezelhetővé tegye. A kriptográfiai csomagok verziószámozásának alkalmazásával a jelenlegi legbiztonságosabbnak tartott titkosítási módszerek közé tartozó kódokra összpontosít.

Illetve az Ars Technica felülvizsgálatának idején körülbelül 4000 sornyi kernelkóddal rendelkezett, ami az OpenVPN vagy az IPsec kód 1%-ának felel meg, ami megkönnyíti a biztonsági auditokat. A WireGuardot a Linux kernel megalkotója, Linus Torvalds dicsérte, aki az OpenVPN-hez és az IPsec-hez képest “műalkotásként” emlegette.

Az Ars Technica arról számolt be, hogy a tesztelés során a WireGuarddal az alternatívákhoz képest könnyen sikerült stabil alagutakat létrehozni és megjegyezte, hogy “nehéz lenne visszatérni” a hosszú újrakapcsolási késleltetésekhez, szemben a WireGuard “nonszensz” azonnali újrakapcsolásaival. Ron Wyden oregoni szenátor azt javasolta a Nemzeti Szabványügyi és Technológiai Intézetnek (NIST), hogy értékelje a WireGuardot a meglévő technológiák, például az IPsec és az OpenVPN helyettesítésére.

 

EZ IS ÉRDEKELHET MÉG:

 

NordPromo fekvő ExpressVPN affiliate