AI tools
Loading AI tools

WireGuard是由Jason A. Donenfeld開發的自由及開源加密VPN程式及協定,[3]旨在獲得比IPsecOpenVPN更好的效能[4],後兩者都是常見的隧道協定[5] WireGuard協定的流量經由UDP傳輸。[6]

Quick Facts 原作者, 開發者 ...
WireGuard
原作者Jason A. Donenfeld
開發者Edge Security LLC.
目前版本
  • 1.0.20220627(2022年6月27日;穩定版本)[1]
編輯維基數據連結
原始碼庫
編輯維基數據連結
程式語言C語言Linux內核模組)
Go(用戶空間實現)
作業系統
類型虛擬私人網路
許可協定GPLv2
網站www.wireguard.com
Close

2020 年 3 月,該軟件的Linux版本達到了穩定的生產版本,並被納入Linux 5.6內核,並在一些Linux 發行版向後移植到早期的 Linux 內核。[7]Linux內核組件在GNU 通用公共許可證 (GPL) 版本 2 下獲得許可;其他實現則在 GPLv2 或其他自由/開源許可證下獲得許可。[3]

名稱「WireGuard」是Jason A. Donenfeld的註冊商標[3]

協定

WireGuard 使用以下協定:[8]

2019 年 5 月,INRIA 的研究人員使用CryptoVerif英語CryptoVerif證明輔助工具英語Proof assistant發佈了WireGuard協定的機器驗證證明。[9]

可選的預共用對稱金鑰模式

WireGuard支援預共用英語Pre-shared key對稱金鑰模式,該模式提供了一層額外的 對稱加密,以減輕未來量子計算的進步帶來的風險。這解決了流量可能被儲存到量子電腦能夠破解 Curve25519 的風險,屆時流量可能會被解密。預共用金鑰「從金鑰管理的角度來看通常很麻煩,而且可能更容易被盜」,但在短期內,如果對稱金鑰被泄露,Curve25519 金鑰仍然提供足夠的保護。[10]

網絡

WireGuard 僅使用[11]UDP[3]這是因為 TCP-over-TCP 存在潛在的缺點。[11][12] [13]在基於 TCP 的連接上隧道化TCP被稱為「TCP-over-TCP」,這樣做會導致傳輸效能急劇下降(該問題被稱為「TCP熔斷」[a],英語:TCP Meltdown)。當一個TCP連接被承載於另一個TCP連接之上時,就可能發生TCP熔斷:基礎層遇到問題的時候會嘗試進行補償,而其上層則會因此過度補償(英語:overcompensates),這種過度補償會導致延遲並使傳輸效能下降。

其預設伺服器埠為UDP 51820。

WireGuard完全支援IPv6,無論是在隧道內部還是外部。它僅支援第3層IPv4IPv6,並且可以封裝v4-in-v6,反之亦然。[14]

MTU 開銷

WireGuard 的開銷細分如下:[15]

  • 20 位元組的 IPv4 報頭或 40 位元組的 IPv6 報頭
  • 8 位元組的 UDP 報頭
  • 4 位元組的類型
  • 4 位元組的金鑰索引
  • 8 位元組的亂數
  • N 位元組的加密數據
  • 16 位元組的身份驗證標籤

MTU 操作注意事項

假設傳輸 WireGuard 封包的底層網絡保持 1500 位元組的 MTU,則將所有相關對等方的 WireGuard 介面組態為 1420 位元組的 MTU 是傳輸 IPv6 + IPv4 流量的理想選擇。但是,當僅承載傳統的 IPv4 流量時,WireGuard 介面的 MTU 可以設置為更高的 1440 位元組。[15]

從操作角度和網絡組態一致性來看,選擇為 WireGuard 介面組態 1420 MTU 是有利的。這種方法確保了一致性,並促進了將來為 WireGuard 對等方和介面啟用 IPv6 的更平穩過渡。

注意事項

在某些情況下,例如,一個對等方位於 MTU 為 1500 位元組的網絡之後,而另一個對等方位於LTE等無線網絡之後,運營商通常會選擇遠低於 1420 位元組的 MTU。在這種情況下,主機的底層 IP 網絡堆疊將對 UDP 封裝的封包進行分片並行送,但隧道內的包將保持一致,並且不需要分片,因為PMTUD英語Path MTU Discovery將檢測對等方之間的 MTU(在本例中為 1420 位元組)並在對等方之間傳送固定大小的封包。

可延伸性

WireGuard 旨在由第三方程式和指令碼進行擴充。這已被用於增強 WireGuard 的各種功能,包括更友好的管理介面(包括更輕鬆的金鑰設置)、紀錄檔記錄、動態防火牆更新、動態 IP 分配,[16] 以及LDAP整合。[來源請求]

從最小的核心代碼庫中排除此類複雜功能可以提高其穩定性和安全性。為了確保安全性,WireGuard 限制了實現加密控制項的選項,限制了金鑰交換過程的選擇,並將演算法[8] 對映到現代密碼基元英語Cryptographic primitive的一小部分。如果在任何原語中發現缺陷,可以發佈解決該問題的新版本。

反響

Ars Technica的一篇評論發現,WireGuard易於設置和使用,使用了強大的加密演算法,並且代碼庫最小,攻擊面小。[17]

WireGuard 已獲得開放技術基金會的資助,[18]並接受了MullvadPrivate Internet AccessIVPNNLnet 基金會[19]和OVPN的捐贈。[20]

俄勒岡州參議員Ron Wyden已建議美國國家標準與技術研究院 (NIST) 評估WireGuard作為現有技術的替代方案。[21]

可用性

實現

WireGuard 協定的實現包括:

  • Donenfeld 使用 C 語言和 Go 語言編寫的初始實現。[22]
  • Cloudflare的BoringTun,一個使用Rust語言編寫的用戶空間實現。[23][24]
  • Matt Dunwoodie 為 OpenBSD 編寫的使用 C 語言的實現。[25]
  • Ryota Ozaki 為 NetBSD 編寫的使用 C 語言的 wg(4) 實現。[26]
  • FreeBSD的實現是用 C 語言編寫的,並且與 OpenBSD 的實現共用大部分數據路徑。[27]
  • 自 2021 年 8 月起,名為「wireguard-nt」的原生Windows內核實現。[28]
  • 支援 Fritz!OS 7.39 及更高版本的 AVM Fritz!Box 調製解調-路由器。從7.50版本開始允許站點到站點的WireGuard連接。[29]

歷史

代碼庫的早期快照存在於 2016 年 6 月 30 日。[30] WireGuard 的四個早期採用者是 VPN 服務提供商 Mullvad[31] AzireVPN,[32] IVPN[33] 和 cryptostorm。[34]

2019 年 12 月 9 日,Linux 網絡堆疊的主要維護者 David Miller 接受了 WireGuard 修補程式到「net-next」維護者樹中,以便包含在即將發佈的內核中。[35][36][37]

2020 年 1 月 28 日,Linus Torvalds 合併了 David Miller 的 net-next 樹,WireGuard 進入了 mainline Linux 內核樹。[38]

2020 年 3 月 20 日,Debian 開發人員在其 Debian 11 版本(測試版)的內核組態中啟用了 WireGuard 的模組構建選項。[39]

2020 年 3 月 29 日,WireGuard 被納入 Linux 5.6 版本樹。Windows 版本的軟件仍處於測試階段。[7]

2020 年 3 月 30 日,Android 開發人員在其通用內核映像中添加了對 WireGuard 的原生內核支援。[40]

2020 年 4 月 22 日,NetworkManager 開發人員 Beniamino Galvani 在 GNOME 中合併了對 WireGuard 的 GUI 支援。[41]

2020 年 5 月 12 日,Matt Dunwoodie 提出了在 OpenBSD 中對 WireGuard 的原生內核支援的修補程式。[42]

2020 年 6 月 22 日,在 Matt Dunwoodie 和 Jason A. Donenfeld 的努力下,WireGuard 支援被匯入 OpenBSD。[43]

2020 年 11 月 23 日,Jason A. Donenfeld 發佈了 Windows 軟件套件的更新,改進了安裝、穩定性、ARM支援和企業功能。[44]

2020 年 11 月 29 日,WireGuard 支援被匯入 FreeBSD 13 內核。[27]

2021 年 1 月 19 日,在 pfSense 社區版 (CE) 2.5.0 開發快照中添加了對 WireGuard 的預覽支援。[45]

2021 年 3 月,在 FreeBSD WireGuard 中緊急代碼清理無法快速完成之後,內核模式 WireGuard 支援從仍在測試中的 FreeBSD 13.0 中刪除。[46] 基於 FreeBSD 的 pfSense 社區版 (CE) 2.5.0 和 pfSense Plus 21.02 也刪除了基於內核的 WireGuard。[47]

2021 年 5 月,WireGuard 支援作為 pfSense 社區成員 Christian McDonald 編寫的實驗包重新引入 pfSense CE 和 pfSense Plus 開發快照中。pfSense 的 WireGuard 軟件套件包含了最初由 Netgate 贊助的 Jason A. Donenfeld 正在進行的內核模式 WireGuard 開發工作。[48][49][50]

2021 年 6 月,pfSense CE 2.5.2 和 pfSense Plus 21.05 的官方軟件套件儲存庫都包含了 WireGuard 軟件套件。[51]

2023 年,WireGuard 從德國的主權科技基金英語Sovereign Tech Fund獲得了超過 200,000 歐元的支援。[52]

參見

註釋

參考來源

外部連結

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.

Chrome
Wikiwand for Chrome
Edge
Wikiwand for Edge
Firefox
Wikiwand for Firefox