The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В рамках проекта WireGuard развивается новая реализация VPN ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от opennews (?), 29-Июн-16, 11:52 
В списке рассылки разработчиков ядра Linux представлена (https://lkml.org/lkml/2016/6/28/629) новая реализация виртуального интерфейса для создания шифрованных и аутентифицированных туннелей. Новый VPN-интерфейс развивается в рамках проекта WireGuard (https://www.wireguard.io/), сочетающего применение проверенных современных методов шифрования с предоставлением минималистичной реализации (около 4000 строк кода), лишённой усложнений, наблюдаемых в таких системах, как xfrm и OpenVPN. Отмечается, что продукт развивается уже несколько лет и прошёл стадию рецензирования применяемых криптографических методов, что позволяет начать его публичное продвижение. Автором проекта является Джейсон Доненфилд (Jason A. Donenfeld (https://www.zx2c4.com/)), исследователь безопасности, возглавляющий компанию Edge Security. Код распространяется под лицензией GPLv2.

Для шифрования применяются (https://www.wireguard.io/protocol/)
потоковый шифр ChaCha20 (http://cr.yp.to/chacha.html) и алгоритм аутентификации сообщений (MAC) Poly1305 (http://cr.yp.to/mac.html), разработанные Дэниелом Бернштейном (Daniel J. Bernstein (http://cr.yp.to/djb.html)), Таней Ланге
(Tanja Lange) и Питером Швабе (Peter Schwabe). Для генерации совместного секретного ключа применяется протокол Диффи-Хеллмана на эллиптических кривых в реализации Curve25519 (http://cr.yp.to/ecdh.html), предложенной Дэниелом Бернштейном. Для хэширования используются BLAKE2s (RFC7693) (https://www.opennet.ru/opennews/art.shtml?num=35676) и SipHash24 (https://131002.net/siphash/). Для согласования соединения ключей и соединения вместо собственного демона в пространстве пользователя применяется механизм Noise_IK из Noise Protocol Framework (http://noiseprotocol.org/), похожий на поддержание authorized_keys в  SSH, без усложнений в виде поддержки x509 и  ASN.1. Передача данных осуществляется через инкапсуляцию в пакеты UDP.


ChaCha20 и Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC,  программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальной аппаратной поддержки. Повышение производительности обусловлено не только применением олее быстрых алгоритмов, но и решением не использовать предоставляемый ядром достаточно медленный crypto API, вместо которого в  WireGuard задействованы собственные реализации примитивов ChaCha20, Poly1305, Blake2s и Curve25519.


Например, при тестировании (https://www.wireguard.io/performance/) производительности WireGuard продемонстрировал в 4 раза более высокую пропускную способность и в 3.8 раз более высокую отзывчивость, по сравнению с OpenVPN (256-bit AES c HMAC-SHA2-256). WireGuard также опережает по производительности IPsec (256-bit ChaCha20+Poly1305 и AES-256-GCM-128), но существенный выигрыш заметен в основном в области снижения задержек.


В WireGuard применяется концепция маршрутизации по ключам шифрования, которая подразумевает привязку к каждому сетевому интерфейсу закрытого ключа и применение для связывания открытых ключей. Обмен открытыми ключами для установки соединения напоминает подход, применяемый в SSH. Поддерживается смена IP-адреса VPN-сервера (руминг) без разрыва соединения и автоматической перенастройкой клиента.


WireGuard достаточно прост в настройке (https://www.wireguard.io/quickstart/). Для создания туннелирующего интерфейса предлагается использовать штатную команду "ip link" (например, "ip link add dev wg0 type wireguard", присвоение IP-адреса "ip address add dev wg0 192.168.2.1 peer 192.168.2.2"), а для генерации ключей и настройки параметров VPN предлагается специальная утилита "wd" (например, "wg genkey > privatekey"  и "wg set wg0 listen-port 2345 private-key /path/to/private-key peer ABCDEF... allowed-ips 192.168.88.0/24 endpoint 209.202.254.14:8172" или через файл конфигурации "wg setconf wg0 myconfig.conf").


URL: https://lkml.org/lkml/2016/6/28/629
Новость: http://www.opennet.ru/opennews/art.shtml?num=44695

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +45 +/
Сообщение от anonimous (?), 29-Июн-16, 11:52 
> C

Я даже как-то удивлён, что ни на Го, или Расте, или на чём там сейчас принято такое писать. Неужели действительно полезный проект да с серьёзными разработчиками?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +16 +/
Сообщение от h31 (ok), 29-Июн-16, 11:56 
Это же модуль ядра, тут сишечка без вариантов.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от АнонимХ (ok), 29-Июн-16, 12:26 
Если я вам покажу https://git.zx2c4.com/WireGuard/tree/contrib у вас не бомбанет?

Все там есть, правда на своих местах. И Хаскель с Го и Растом, и systemd-шный юнит, и портянки на баше.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +7 +/
Сообщение от Аноним (-), 29-Июн-16, 13:06 
Ваще нисколько не бомбануло. Это тесты, а не исходники.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +2 +/
Сообщение от АнонимХ (ok), 29-Июн-16, 13:18 
> Ваще нисколько

Значит, все впорядке :)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

32. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +6 +/
Сообщение от Аноним (-), 29-Июн-16, 16:13 
Пока модники меряются у кого ЯП длиннее, нормальные люди просто берут проверенные инструменты и работают.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

45. "В рамках проекта WireGuard развивается новая реализация VPN ..."  –4 +/
Сообщение от Наркоман (?), 29-Июн-16, 20:43 
Чем го и раст не полезны и не серьёзны?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

60. "В рамках проекта WireGuard развивается новая реализация VPN ..."  –2 +/
Сообщение от Аноним (-), 04-Июл-16, 12:23 
Глупой хипстотой и таким же кодом в результате, когда единственным аргументом является изучение очередным пыонэром очередной клевой шняги. Какие получаются в результате проги - догадайся. В криптографии и информационной безопасности это чревато, знаете ли.

Сишники могут вытереть ключ когда это надлежит сделать. А хипстеры будут блеять что-то про многомегабайтный рантайм и удобство сборки мусора для даунов проносящих ложку мимо рта.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

4. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +7 +/
Сообщение от Ivan_83email (ok), 29-Июн-16, 12:05 
Куча передёргиваний.

1. AES при использовании AES-NI тоже констант тайм.

2. При использовании AES-NI нагрузка на проц сильно ниже, чем с чачей. Те на
слабом атоме/амд оно порвёт чачу как тузик грелку.

3. AES-256 - это 256 бит секурности, а чача гарантирует только уровень безопасности 128 бит. Как и 25519.

4. "достаточно медленный криптоапи" скорее всего просто не содержит чачу, блейка и прочее и именно поэтому они всё это встроили.

5. опенвпн юзеспейсный потому и отклик у него больше.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +1 +/
Сообщение от Аноним (-), 29-Июн-16, 12:15 
> AES-256 - это 256 бит секурности, а чача гарантирует только уровень безопасности 128 бит. Как и 25519.

Откуда данные о 128 битах. Официально заявлено 256 бит
Из http://cr.yp.to/chacha/chacha-20080128.pdf
"The Salsa20/20 stream cipher expands a 256-bit key into 2
64 randomly accessible streams, each containing 2
64 randomly accessible 64-byte blocks."

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

35. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от Ivan_83email (ok), 29-Июн-16, 16:50 
Речь не про длину ключа а про эквивалентную безопасность.
Она для 25519 и чачи заявлена в 128 бит.
Формально для чачи можно использовать все 512 бит стейта как ключ.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

67. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от Аноним (-), 04-Июл-16, 13:07 
> Формально для чачи можно использовать все 512 бит стейта как ключ.

Осталось только придумать где взять честных 512 битов, чтобы сложность взлома была реально 2^512. Потому что если сложность взлома алгоритма формирующего эти биты лишь 2^128, единственным "достижением" становится таскание в 4 раза больше данных без каких либо улучшений.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

8. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +5 +/
Сообщение от анонимпилигрим (?), 29-Июн-16, 12:16 
Кто бы говорил
1. И?
2. Бенчмарки на последних атомах с тобой не согласны.
3. Эти "биты" разные. 128 бит элиптики сильнее чем 256 бил AES
4. Содержит.
5. Отклик userspace<->kernelspace измеряется в ~80 наносекунд. так что не в этом дело.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

37. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от Ivan_83email (ok), 29-Июн-16, 16:55 
1. Слишком они передёргивают факты.
2. Быть того не может, чтобы чача работала быстрее AES-NI. Быстрее софтовой реализации - да.
3. В школу! Для элиптики длина эквивалентного симетрике ключа всегда больше. Я же вообще про уровень секурности, это оценочный параметр.
4. да и хрен с ним :)
5. думаю зависит от железа/нагрузки. В любом случае опенвпн тот ещё проэктик.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

44. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от www2 (??), 29-Июн-16, 18:25 
А про vtun что скажете?
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

46. "В рамках проекта WireGuard развивается новая реализация VPN ..."  –1 +/
Сообщение от Ivan_83email (ok), 29-Июн-16, 21:06 
Ничего: не видел, не пользуюсь.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

58. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от Stax (ok), 30-Июн-16, 15:29 
> А про vtun что скажете?

Насквозь дырявый: http://www.off.net/~jme/vtun_secu.ps

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

68. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +1 +/
Сообщение от Аноним (-), 04-Июл-16, 13:08 
> А про vtun что скажете?

Ты этого эксперта поменьше слушай. Человек AES NI нахваливает, а management engine который может всю систему разломать его не парит. Безопасник из него как из г-на пуля.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

10. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +3 +/
Сообщение от Nicknnn (ok), 29-Июн-16, 12:30 
Это в каких медленных атомах/amd есть AES-NI?
Это Sandy Bridge медленные?
К тому же они есть в  all except Pentium, Celeron, Core i3.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

38. "В рамках проекта WireGuard развивается новая реализация VPN ..."  –1 +/
Сообщение от Ivan_83email (ok), 29-Июн-16, 16:57 
За атомы не скажу, давно не смотрел.
В амд на АМ1 сокете есть AES-NI и работает он шустрее чачи на си. Процы конкуренты атомам, хотя по бенчам они к Е8400 приближаются.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

69. "В рамках проекта WireGuard развивается новая реализация VPN ..."  –1 +/
Сообщение от Аноним (-), 04-Июл-16, 13:10 
Это те где AMD наконец запилил свой ответ чемберле... management engine? Ну спасибо, отличные платформы для шифрования сетевого траффика.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

52. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от Stax (ok), 30-Июн-16, 03:40 
> Это в каких медленных атомах/amd есть AES-NI?

Во всех современных 22 нм/14 нм (где-то с 2013 года), на базе Silvermont. Т.е. все планшетные Bay Trail / Cherry Trail (http://ark.intel.com/products/80274), серверные Avoton (http://ark.intel.com/products/77977) и прочее. И да, они очень медленные, с TDP, зарезаным под несколько ватт особо не разгонишься.
Про AMD ответили выше.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

25. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +1 +/
Сообщение от Анонимко (?), 29-Июн-16, 15:09 
>При использовании AES-NI нагрузка на проц сильно ниже, чем с чачей. Те на

слабом атоме/амд оно порвёт чачу как тузик грелку.

Потрудитесь, пожалуйста, посмотреть процессоры, поддерживающие AES-NI аппаратно. Как потрУдитесь, потрудитесь среди них найти слабый AMD. Да, сколько Атомов умеют AES-NI?

> AES-256 - это 256 бит секурности, а чача гарантирует только уровень безопасности 128 бит. Как и 25519.

Вы безопасность длиной ключа мерить вздумали? Тогда давайте юзать RSA! это ж минимум 4096 бит секьюрности!

> опенвпн юзеспейсный потому и отклик у него больше.

ОМГ, а это-то как влияет?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

28. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +2 +/
Сообщение от sage (??), 29-Июн-16, 15:35 
>ОМГ, а это-то как влияет?

Да, но виноват не сам OpenVPN, а tun. Я не думал, что он такой медленный, до того, как в него (в tun) полез. Хотя последние версии ядра сделали offloading, нужно бы попробовать его использовать.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

40. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от Ivan_83email (ok), 29-Июн-16, 17:00 
АМД на АМ1 сокете, самые бюджетные из бюджетных, при этом в 5350 AES-NI точно есть.

Нет, есть оценочный критерий безопасности, обычно буквой m в литературе обозначают, я про него.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

70. "В рамках проекта WireGuard развивается новая реализация VPN ..."  –1 +/
Сообщение от Аноним (-), 04-Июл-16, 13:11 
> АМД на АМ1 сокете, самые бюджетные из бюджетных, при этом в 5350
> AES-NI точно есть.

Еще в новых амд management engine есть. Конкистадоры обладателям копий и стрел приветы передвали.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

26. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +2 +/
Сообщение от Аноним84701 (?), 29-Июн-16, 15:21 
> 2. При использовании AES-NI нагрузка на проц сильно ниже, чем с чачей.
> Те на слабом атоме/амд оно порвёт чачу как тузик грелку.

Сильно зависит от того, где "смотреть" (как говортится: не верь бенчмаркам, если не (под)делал сам).
http://bench.cr.yp.to/results-stream.html


amd64; Skylake (506e3); 2015 Intel Core i5-6600; 4 x 3310MHz; skylake, supercop-20141124

    
Cycles/byte for long messages
quartile    median    quartile    stream
0.56    0.56    0.57    chacha8
0.65    0.67    0.69    aes128ctr
0.77    0.78    0.79    chacha12

amd64; HW+AES (306c3); 2013 Intel Xeon E3-1275 V3; 4 x 3500MHz; titan0, supercop-20141124

    
Cycles/byte for long messages
quartile    median    quartile    stream
0.58    0.59    0.59    chacha8
0.78    0.79    0.80    chacha12
0.84    0.85    0.86    aes128ctr

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

47. "В рамках проекта WireGuard развивается новая реализация VPN ..."  –1 +/
Сообщение от Ivan_83email (ok), 29-Июн-16, 21:16 
0.56    0.56    0.57    chacha8
0.65    0.67    0.69    aes128ctr
0.77    0.78    0.79    chacha12
0.77    0.79    0.81    aes192ctr
0.87    0.88    0.89    aes256ctr
1.17    1.18    1.20    chacha20
1.33    1.34    1.35    xsalsa20
1.32    1.34    1.35    salsa20

вот и сравнивай чача20 с aes128ctr, разница почти в два раза.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

48. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от funny_falcon (ok), 29-Июн-16, 23:15 
согласен, это странно, что хотя chacha8 до сих пор не взломана и chacha12 находится на недосигаемой дистанции от ближайшей "теоретической атаки" (chacha7 со сложностью 2^248; 2^248, Карл!!!), все упорно используют chacha20.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

63. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от Аноним (-), 04-Июл-16, 12:46 
> со сложностью 2^248; 2^248, Карл!!!), все упорно используют chacha20.

Потому что есть такое понятие как security margin. С 20 раундами margin больше. Желающие прострелить себе пятку могут убавить число раундов на свой страх и риск. Но стоит понимать что взлом шифра станет проще.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

49. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от Аноним84701 (?), 30-Июн-16, 00:03 
> 0.56 0.56 0.57 chacha8
> 0.65 0.67 0.69 aes128ctr
> 0.77 0.78 0.79 chacha12
> 0.77 0.79 0.81 aes192ctr
> 0.87 0.88 0.89 aes256ctr
> 1.17 1.18 1.20 chacha20
> 1.33 1.34 1.35 xsalsa20
> 1.32 1.34 1.35 salsa20
> вот и сравнивай чача20 с aes128ctr, разница почти в два раза.

А почему тогда не теплую чачу20 с мягким aes256ctr?


Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

50. "В рамках проекта WireGuard развивается новая реализация VPN ..."  –2 +/
Сообщение от Ivan_83email (ok), 30-Июн-16, 02:25 
AES-NI всё равно быстрее.
Кроме того AES блочный а чача поточная, иногда это очень важно.

Учитывая что авторы заюзали 25519 а не х448 то эквивалентный уровень безопасности у них 128 бит.
Поэтому мне весь этот их пеар как то навивает мысли либо о малограмотности (взяли всё модное и склеили не понимая сути) либо сильном желании любыми средствами высосать хоть какие то плюсы в сравнении с конкурентами.

Ещё в опенвпн HMAC-SHA256 сильно дольше считается чем poly1305.

http://www.cryptopp.com/wiki/Security_level
http://crypto.stackexchange.com/questions/20122/extending-ke...
Для чачи20 всё таки пишут что 256 бит уровень безопасности, но я помню где то 128 бит видел, возможно спутал/объединил с 25519.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

62. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от Аноним (-), 04-Июл-16, 12:44 
> AES-NI всё равно быстрее.

Только залочен на интел и их пробэкдореное железо. Если тебе нужен лохотрон, проследуй в ближайший спальный район вечером, тебе его обеспечат.

> Кроме того AES блочный а чача поточная, иногда это очень важно.

В данном случае это не важно, там формирование nonce правильное.

> Учитывая что авторы заюзали 25519 а не х448 то эквивалентный уровень безопасности
> у них 128 бит.

Ты можешь юзать пробэкдоренную эллиптику от NSA, зато с типа-безопасностью в типа-256 битов. Или какой-нибудь RSA4096. Только у первого подозревают бэкдоры. У второго скорость никакая.

> Поэтому мне весь этот их пеар как то навивает мысли либо о малограмотности

При том твоей. Почему-то разработчикам openssh такой набор параметров нормально.

> Ещё в опенвпн HMAC-SHA256 сильно дольше считается чем poly1305.

А еще...
- OpenVPN детектируется с полкинка. С учетом пшеничных культур это проблема.
- На SSL есть дюжина атак разной степени неприятности.
- Если ты думаешь что ты сможешь настроить OpenVPN и используемый ими SSL безопсно, ты себя сильно переоцениваешь.

Достаточно сказать что если ты явно не пропишешь нужные директивы, openvpn без проблем примет любого клиента и его серт за сервер. Очень безопасно - любой vpn клиент может по умолчанию сделать фееричный MITM :)

> Для чачи20 всё таки пишут что 256 бит уровень безопасности, но я
> помню где то 128 бит видел, возможно спутал/объединил с 25519.

Сложность взлома 25519 оценивают в примерно 128 битов симметричных шифров или RSA-2048. Только эллиптика по скорости RSA делает очень сильно. Это позволяет например чаще менять эфемерные ключи не нагружая при этом чрезмерно ни клиент ни сервер, ни заклинивая траффик.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

72. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от Аноним15 (?), 07-Июл-16, 10:37 
> Достаточно сказать что если ты явно не пропишешь нужные директивы, openvpn без проблем
> примет любого клиента и его серт за сервер. Очень безопасно - любой vpn клиент может
> по умолчанию сделать фееричный MITM :)

Можно про это подробнее?

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

73. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +1 +/
Сообщение от Осторожный_аноним (?), 18-Янв-18, 18:03 
>OpenVPN детектируется с полкинка

поэтому OpenVPN обычно оборачивают ещё одним слоем шифрования, чтобы с виду было обычное SSL шифрование

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

61. "В рамках проекта WireGuard развивается новая реализация VPN ..."  –1 +/
Сообщение от Аноним (-), 04-Июл-16, 12:34 
> 1. AES при использовании AES-NI тоже констант тайм.

Только системы с таковым гарантированно содержат Intel Management Engine. Криптографы в отличие от всякого жулья не считают нужным вендорлочить нас на заведомо троянизированное железо.

> 2. При использовании AES-NI нагрузка на проц сильно ниже, чем с чачей.

Только смысла в этом довольно мало. Ты там даже ME не можешь отключить. О какой безопасности речь на таком оборудовании?

> Те на слабом атоме/амд оно порвёт чачу как тузик грелку.

А на ARM или MIPS типа роутера не получим ни постоянного времени операций, ни производительности. А они между прочим не снабжены intel ME.

> 3. AES-256 - это 256 бит секурности, а чача гарантирует только уровень
> безопасности 128 бит. Как и 25519.

Если ты формируешь эфемерные ключи с 128 битами - нет никакого смысла раздувать их до 256 битов, поскольку задача все-равно сводится к брутфорсу 128 битов как максимум. Если что, RSA2048 тоже сравним с 128 битами по силе. Можно конечно 4096, но ты его скорость видел? С такой скоростью не погенеришь эфемерные ключи на каждый пшик и вообще легко сервер завалить. Видел что происходит с ssh при нашествии стайки ботов? Да там проц в полку, RSA усиленно обсчитывает. А админ чтобы вообще зайти на сервер вынужден ждать полчаса.

> 5. опенвпн юзеспейсный потому и отклик у него больше.

А также пользуется гадостью типа OpenSSL, в котором дыр больше чем у дупака фантиков, приватность никакая, протокол легко обнаруживается, настроить OpenVPN безопасно - целая ракетная наука (в умолчальных конфигах любой клиент может прикинуться сервером и нагло подсунуть себя вместо сервера, прикинь?!).

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  –7 +/
Сообщение от Меломан1 (?), 29-Июн-16, 12:08 
Очень интересно, но когда в NetworkManager будет поддержка, тогда и поюзаем. Тем более для  Windows еще нет клиента.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +4 +/
Сообщение от АнонимХ (ok), 29-Июн-16, 12:11 
На удивление приятные конфиги.

Easy-rsa в openvpn обостряет обсессивное расстройство.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +1 +/
Сообщение от sage (??), 29-Июн-16, 15:36 
> Easy-rsa в openvpn обостряет обсессивное расстройство.

Третья версия гораздо удобнее
https://github.com/ValdikSS/easy-rsa-ipsec

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

31. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от АнонимХ (ok), 29-Июн-16, 16:10 
Кстати, спасибо за напоминание. Видел эту 3-ю ветку. Ключи, сгенерированные ей, будут работать с любым openvpn (2.2 интересует)?
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

36. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +1 +/
Сообщение от Пользователь Debian (?), 29-Июн-16, 16:52 
Они только интерфейс CLI изменили на вменяемый, а сертификаты как генерились OpenSSL'ем, так и продолжают: так что будет у Вас RSA-ключ в виде сертификата X.509, как и раньше.

Единственное замеченное мною отличие это отключение по умолчанию поддержки нестандартного расширения `nsCertType` (которое нетскейповское, и позволяет назначить сертификат как для использования только сервером или клиентом).  Если Вы это используете, то потребуется включить в настройках перед созданием новых сертификатов.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

64. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от Аноним (-), 04-Июл-16, 12:55 
> Третья версия гораздо удобнее
> https://github.com/ValdikSS/easy-rsa-ipsec

Спасибо, но ipsec все-таки должен умереть. Вместе с SSL. Монстры с множеством заведомо небезопасных и провальных опций не могут быть безопасными.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

11. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +28 +/
Сообщение от Аноним (-), 29-Июн-16, 12:31 
Мне дали 4 килобайта данных, и отправили в Америку. В локальной сети провайдета всё было тихо и мирно. Но как только я зашёл в интернет... По левому ряду нёсся поток спам-сообщений со встроенными вирусняками. Армия личеров атаковала роутер клиента, который вышел в оффлайн. Паразитный трафик блокировал полезный, из-за чего в редких случаях запрашивался повтор - что опять же нагружало сеть.

Ещё там были стримы летсплееров и порнотрафик. А ещё - какие-то странные, безликие существа. Мне вспомнилось что клетки крови - единственные в организме челвоека, которые не имеют ядра. "Это трафик VPN", - сказал мне сенсей. Он запихнул меня в портал чуть ли не насильно!

Неожиданно я оказался в пустом туннеле, в котором никого не было, и через каждые 20-25 метров работал кондиционер. Я нёсся на полных скоростях, не боясь столкнуться с широковещательной рассылкой IPTV или с сетевым сражением в Доту! Но это в Матрице. В реальном мире я был расщиплён на белых безликих существ - VPN-трафик.

Я снова собрался воедино, когда вышел из портала. Вокруг была тихая американская ночь. Лишь гулкие удары по фаерволлу нарушали тишину ночи.

Что скажу по поводу новости? Одобряю! Мне каждый раз неприятно превращаться в безликую массу мелких существ, но и по реальному миру лететь не хочется - он мерзок... Надеюсь что когда я снова пойду в рейс, мне дадут портал в новый VPN - и там будет компромисс.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +18 +/
Сообщение от YetAnotherOnanym (ok), 29-Июн-16, 12:38 
Отсыпь.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +3 +/
Сообщение от Аноним (-), 29-Июн-16, 13:47 
Можно подумать, нагрузка в канале не повлияет на твою персональную трубу до америки.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

23. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +3 +/
Сообщение от Аноним (-), 29-Июн-16, 14:44 
Это не моя проблема - пусть это будет головной болью Матрицы. Я как USB-устройство, которому не важно, что IRQ на всех - один, а как заставить работать эту ораву девайсов - головная боль контроллера.

Когда я распадаюсь на шифрованный трафик, частички меня неизбежно теряются. Это исправляется многократным дублированием и контрольными суммами... Я хожу в рейсы 300 раз в секунду, и поэтому я не знаю, сколько во мне процентов меня, а сколько - резервных копий меня!

И всё равно это лучше, чем было раньше. Когда мой маршрут пролегал через реальный мир, где меня не раз грабили и сниффили. Единственное, о чём я мечтаю - это чтобы интернет стал чистым. Или хотя бы не распадаться на атомарные транзакции 300 раз в секунду - Google-очки мне дайте с фильтром мирового дерьма, и крепких телохранителей от спецслужб!

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +2 +/
Сообщение от Аноним (-), 29-Июн-16, 15:26 
Нет уж! Либо делайте инет реально чистым - забастовка tcp-пакетов против засилья винды, например. Или уходите от проблемы дальше! И никаких компромиссов! Всего вам хорошего, и удачи!
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

59. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от Нечестивый (ok), 02-Июл-16, 19:28 
> Google-очки мне дайте с фильтром мирового дерьма, и крепких телохранителей от спецслужб!

Будет у тебя AR, успокойся. С абсолютно чистым дерьмом и крепкой защитой от любых попыток что то там фильтровать. А если попробуешь снять и крепкие представители спецслужб найдутся...

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

65. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от Аноним (-), 04-Июл-16, 12:58 
А что, агент Смит по сценарию разве не появляется?
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

20. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +2 +/
Сообщение от Аноним (-), 29-Июн-16, 14:05 
Писательский талант!))
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

55. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +2 +/
Сообщение от Romik (??), 30-Июн-16, 11:14 
Круто. Пиши ещё!
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

77. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от Аноним (77), 02-Авг-18, 16:08 
Напомнило "Письма лейтенанта Глана из интернета".
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от pavel_simple (ok), 29-Июн-16, 12:46 
какая-то лютая херня
во первых вместо написания модулей, можно было написать дополнительные модули для xfrm
сравнивать openvpn (юзерспейсный) и кернелспейс это вобще нужно быть мудаком
>задействованы собственные реализации примитивов ChaCha20, Poly1305, Blake2s и Curve25519.

вместо того, чтобы разогнать имеющиеся в crypto api реализации написали свои только NIH синдром толи активистки не дают

кг/ам

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +2 +/
Сообщение от АнонимХ (ok), 29-Июн-16, 13:01 
> сравнивать openvpn (юзерспейсный) и кернелспейс это вобще нужно быть мудаком

Почему? Ведь это технические особенности. А предназначение то одно. Вам шашечки?

> вместо того, чтобы

Полагаю, скоро эти реализации приедут в crypto api на замену, просто. Вместе с вливанием WireGuard в мейнлайн. Что кипятишься то.

> какая-то лютая херня

Херня - это ненужные тонны X.509-крапа в OpenVPN

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

66. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от Аноним (-), 04-Июл-16, 13:01 
> вместо того, чтобы разогнать имеющиеся в crypto api реализации написали свои только
> NIH синдром толи активистки не дают
> кг/ам

И автомобили кг/ам! Вместо того чтобы вывести более быструю породу лошадей к нашми каретам, чертовы инженеры напихали месиво из проводов и трубок весом в полторы тонны!!!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  –1 +/
Сообщение от hardworm (?), 29-Июн-16, 13:30 
будет в android и роутерах - взлетит. Иначе > /dev/null
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от _KUL (ok), 29-Июн-16, 14:15 
Особо девственным девам с новыми смартфонами и работягам с домашними роутерами нужна более высокая пропускная способность шифрованных каналов связи!
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

41. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +1 +/
Сообщение от Аноним (-), 29-Июн-16, 17:29 
За дев решит гугл, они и не заметят. А остальным пропускная способность нужна.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

21. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  –1 +/
Сообщение от Нанобот (ok), 29-Июн-16, 14:07 
>предлагается специальная утилита "wg"

неужели в линуксе ещё остались незадействованые двухбуквенные названия для команд?

>в 3.8 раз более высокую отзывчивость, по сравнению с OpenVPN

нашли с чем сравнивать. там вся разница в скорость из-за работы в ядре vs юзерспейсе

>минималистичной реализации (около 4000 строк кода), лишённой усложнений

а вот это хорошо

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  –5 +/
Сообщение от Michael Shigorinemail (ok), 29-Июн-16, 16:21 
>>предлагается специальная утилита "wg"
> неужели в линуксе ещё остались незадействованые двухбуквенные названия для команд?

Не знаю как в линуксе, а в сизифе конкретно это свободно:

$ egrep '/wg( |\t)' contents_index.* 
$ _

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  –1 +/
Сообщение от nagualemail (ok), 29-Июн-16, 15:00 
И где колиент под вин ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  –2 +/
Сообщение от Пользователь Debian (?), 29-Июн-16, 16:58 
Поддерживаю данного оратора: без клиента под винду с аналогом OpenVPN GUI область применения любого VPN-решения становится органичена связью датацентров и прочими подобными вещами, а куда roadwarrior-ов-то девать?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

42. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +3 +/
Сообщение от Amishemail (?), 29-Июн-16, 17:30 
У вас road warrior'ы с вендой? С ума сойти. А мастер джедаев Йода, небось, вообще кроме OS/2 ничего не юзал?
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

54. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от Аноним as anon (?), 30-Июн-16, 10:09 
под win не проблемой будет, как и гуй в андроид. однако, как скоро это сможет появиться в огрызке? это ведь не клон тетриса. если такой туннель внедряется как элемент инфраструктуры, то все девайсы должны подключаться...
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от Ilya Indigo (ok), 29-Июн-16, 15:52 
Однозначно полезно и нужно!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +2 +/
Сообщение от Del (?), 29-Июн-16, 16:32 
Подождем пару дней и это все станет не надо...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от Аноним (-), 29-Июн-16, 17:50 
Штука, похожая на эту, уже была.
http://sites.inka.de/~W1011/devel/cipe.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +1 +/
Сообщение от lor_anon (ok), 30-Июн-16, 03:16 
Хех, картинку "Ping Time" маркетолог делал. У них VPN-тоннель в соседнюю комнату? В реальной жизни он чаще в другой район/город/страну, задержка уже единицы или десятки миллисекунд, и сокращение времени в 1 мс - это улучшение на единицы процентов. И график уже не такой впечатляющий был бы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +3 +/
Сообщение от Нанобот (ok), 30-Июн-16, 09:45 
наоборот, всё правильно. исключили то, что не имеет отношения к технологии. правда для полноты картины нужно было бы ещё показать пинг без vpn...
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

79. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от Анонимemail (79), 22-Авг-18, 04:47 
Попробовал я этот проект на своей нормально работающей VPSке с OpenVPN.
И что-то вообще никакого прироста не заметил.
Думал щас как все залетает в 4 раза быстрее, как декларируют разработчики, а на самом деле, изменения даже если и были, то на уровне погрешности измерения.

В общем вернулся к своему отполированному OpenVPN, показывающему такие же скоростные характеристики.

Может в каких-то юзкейсах и есть прирост, но я, если честно, у себя не заметил...

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

56. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +1 +/
Сообщение от Romik (??), 30-Июн-16, 11:16 
Почему всек так любят OpenVPN, а не используют IPSec?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +1 +/
Сообщение от nagualemail (ok), 30-Июн-16, 15:04 
> Почему всек так любят OpenVPN, а не используют IPSec?

Потому что клиенты под вин, потому что работает через прокси, потому что удобно ...

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

78. "В рамках проекта WireGuard развивается новая реализация VPN ..."  +/
Сообщение от Злой Админ (?), 10-Авг-18, 12:43 
У винды давным-давно есть встроенный VPN-клиент. Имхо, единственный плюс OpenVPN - возможность дать пользователю сразу готовый конфиг, а то и настроенный клиент.
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

71. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от Аноним (-), 04-Июл-16, 14:06 
Все ништяк, но оно хочет Ядро 4.1 и выше.
И как быть тем, у кого это условие недостижимо?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от Anonimous (?), 24-Янв-18, 02:47 
страдать
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

74. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +/
Сообщение от Аноним (-), 18-Янв-18, 23:14 
Он уже сделал так, чтобы systemd при загрузке собирал новое ядро со всеми dbus-ами и wireguard-ами?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

76. "В рамках проекта WireGuard подготовлена новая реализация VPN..."  +1 +/
Сообщение от Деанон (?), 29-Янв-18, 17:12 
Да
https://www.opennet.ru/opennews/art.shtml?num=47982
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру