Представлена реализация VPN WireGuard для ядра Windows
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Джейсон Доненфилд (Jason A. Donenfeld), автор VPN WireGuard, представил проект WireGuardNT, развивающий высокопроизводительный порт VPN WireGuard для ядра Windows, совместимый с Windows 7, 8, 8.1 и 10, и поддерживающий архитектуры AMD64, x86, ARM64 и ARM. Код реализации распространяется под лицензией GPLv2. Новый драйвер уже включён в состав клиента WireGuard для Windows, но пока помечен экспериментальным и не активирован по умолчанию.
Порт основан на проверенной кодовой базе основной реализации WireGuard для ядра Linux, которая была переведена на использование сущностей ядра Windows и сетевого стека NDIS. По сравнению с ранее доступной для Windows реализацией wireguard-go, работающей в пространстве пользователя и использующей сетевой интерфейс Wintun, WireGuardNT отличается существенным повышением производительности за счёт исключения операций переключения контекста и копирования содержимого пакетов из ядра в пространство пользователя. По аналогии с реализациями для Linux, OpenBSD и FreeBSD в WireGuardNT вся логика обработки протокола работает непосредственно на уровне сетевого стека.
Несмотря на то, что специфичные оптимизации ещё не проводились, WireGuardNT уже позволил добиться пиковой производительности передачи данных на уровне 7.5Gbps в имеющемся тестовом окружении с Ethernet. На реальных пользовательских системах с Wi-Fi производительность заметно ниже, но мало чем отличается от прямой передачи данных. Например, в системе с беспроводной картой Intel AC9560 пропускная способность без WireGuard составила 600Mbps и с WireGuardNT тоже осталась на уровне 600Mbps, в то время как при использовании wireguard-go/Wintun составляла 95Mbps.
Напомним, что VPN WireGuard реализован на основе современных методов шифрования, обеспечивает очень высокую производительность, прост в использовании, лишён усложнений и хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. Проект развивается с 2015 года, прошёл аудит и формальную верификацию применяемых методов шифрования. В WireGuard применяется концепция маршрутизации по ключам шифрования, которая подразумевает привязку к каждому сетевому интерфейсу закрытого ключа и применение для связывания открытых ключей.
Обмен открытыми ключами для установки соединения производится по аналогии с SSH. Для согласования ключей и соединения без запуска отдельного демона в пространстве пользователя применяется механизм Noise_IK из Noise Protocol Framework, похожий на поддержание authorized_keys в SSH. Передача данных осуществляется через инкапсуляцию в пакеты UDP. Поддерживается смена IP-адреса VPN-сервера (роуминг) без разрыва соединения с автоматической перенастройкой клиента.
Для шифрования используется потоковый шифр ChaCha20 и алгоритм аутентификации сообщений (MAC) Poly1305, разработанные Дэниелом Бернштейном (Daniel J. Bernstein), Таней Ланге
(Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальной аппаратной поддержки. Для генерации совместного секретного ключа применяется протокол Диффи-Хеллмана на эллиптических кривых в реализации Curve25519, также предложенной Дэниелом Бернштейном. Для хеширования используются алгоритм BLAKE2s (RFC7693).
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://lists.zx2c4.com/piperm...)
- OpenNews: Во FreeBSD 13 чуть не оказалась халтурная реализация WireGuard с нарушением лицензии и уязвимостями
- OpenNews: Доступен VPN WireGuard 1.0.0
- OpenNews: В ядро платформы Android перенесена поддержка VPN WireGuard
- OpenNews: В ядро NetBSD добавлена поддержка VPN WireGuard
- OpenNews: VPN WireGuard принят в основной состав OpenBSD
Похожие новости:
- [Разработка под Windows, История IT] Триумфальное возвращение Clippy и других памятных моментов Windows в виде фонов для Teams
- [Серверное администрирование] Windows Storage Spaces для начинающих (перевод)
- [Информационная безопасность, Системное администрирование, IT-инфраструктура, Разработка под Windows, Софт] Проблема использования RunAs на серверах
- [Системное администрирование, Софт, Периферия, IT-компании] Пользователи жалуются, что патч уязвимости PrintNightmare ломает работу принтеров Zebra в Windows 10
- [Тестирование IT-систем, Python, Разработка под Windows] Десктопизация по-питоновски. Инструменты для создания автотестов
- [IT-инфраструктура, Дизайн мобильных приложений, Дизайн] Дизайн-система IVI. Взгляд изнутри. Часть 2
- [Софт, Старое железо, IT-компании] Документ Lenovo: обновление с Windows 7 до 11 придётся выполнять в виде чистой переустановки или сначала накатить 10-ку
- [Информационная безопасность, Антивирусная защита, Реверс-инжиниринг, Разработка под Windows] Плагины для системы анализа DRAKVUF. Как с помощью exploitmon выявить попытки эксплуатации ядра ОС
- [Системное администрирование, Софт, IT-компании] Microsoft закрыла RCE вектор уязвимости PrintNightmare во многих версиях Windows
- [.NET, Разработка под Windows] WPF, UWP, WinUI, MAUI, Windows App SDK
Теги для поиска: #_wireguard, #_windows
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 03:10
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Джейсон Доненфилд (Jason A. Donenfeld), автор VPN WireGuard, представил проект WireGuardNT, развивающий высокопроизводительный порт VPN WireGuard для ядра Windows, совместимый с Windows 7, 8, 8.1 и 10, и поддерживающий архитектуры AMD64, x86, ARM64 и ARM. Код реализации распространяется под лицензией GPLv2. Новый драйвер уже включён в состав клиента WireGuard для Windows, но пока помечен экспериментальным и не активирован по умолчанию. Порт основан на проверенной кодовой базе основной реализации WireGuard для ядра Linux, которая была переведена на использование сущностей ядра Windows и сетевого стека NDIS. По сравнению с ранее доступной для Windows реализацией wireguard-go, работающей в пространстве пользователя и использующей сетевой интерфейс Wintun, WireGuardNT отличается существенным повышением производительности за счёт исключения операций переключения контекста и копирования содержимого пакетов из ядра в пространство пользователя. По аналогии с реализациями для Linux, OpenBSD и FreeBSD в WireGuardNT вся логика обработки протокола работает непосредственно на уровне сетевого стека. Несмотря на то, что специфичные оптимизации ещё не проводились, WireGuardNT уже позволил добиться пиковой производительности передачи данных на уровне 7.5Gbps в имеющемся тестовом окружении с Ethernet. На реальных пользовательских системах с Wi-Fi производительность заметно ниже, но мало чем отличается от прямой передачи данных. Например, в системе с беспроводной картой Intel AC9560 пропускная способность без WireGuard составила 600Mbps и с WireGuardNT тоже осталась на уровне 600Mbps, в то время как при использовании wireguard-go/Wintun составляла 95Mbps. Напомним, что VPN WireGuard реализован на основе современных методов шифрования, обеспечивает очень высокую производительность, прост в использовании, лишён усложнений и хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. Проект развивается с 2015 года, прошёл аудит и формальную верификацию применяемых методов шифрования. В WireGuard применяется концепция маршрутизации по ключам шифрования, которая подразумевает привязку к каждому сетевому интерфейсу закрытого ключа и применение для связывания открытых ключей. Обмен открытыми ключами для установки соединения производится по аналогии с SSH. Для согласования ключей и соединения без запуска отдельного демона в пространстве пользователя применяется механизм Noise_IK из Noise Protocol Framework, похожий на поддержание authorized_keys в SSH. Передача данных осуществляется через инкапсуляцию в пакеты UDP. Поддерживается смена IP-адреса VPN-сервера (роуминг) без разрыва соединения с автоматической перенастройкой клиента. Для шифрования используется потоковый шифр ChaCha20 и алгоритм аутентификации сообщений (MAC) Poly1305, разработанные Дэниелом Бернштейном (Daniel J. Bernstein), Таней Ланге (Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальной аппаратной поддержки. Для генерации совместного секретного ключа применяется протокол Диффи-Хеллмана на эллиптических кривых в реализации Curve25519, также предложенной Дэниелом Бернштейном. Для хеширования используются алгоритм BLAKE2s (RFC7693). =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 03:10
Часовой пояс: UTC + 5