FreeBSD on vakiintunut järjestelmä Internet- ja intranet-palvelimien rakentamiseen. Se tarjoaa melko luotettavat verkkopalvelut ja tehokkaan muistinhallinnan.
äskettäin julkaistiin tiedot, että FreeBSD-puuta on muokattun uusi toteutus deVPN WireGuard perustuu ytimen moduulikoodiin, jonka FreeBSD- ja WireGuard-ydinkehitysryhmät ovat yhdessä laatineet VPN WireGuardin kirjoittajan ja tunnetun GDB- ja FreeBSD-kehittäjän panokseen.
Ennen koodin hyväksymistä muutoksista tehtiin täydellinen tarkistus FreeBSD Foundationin tuella, jonka aikana analysoitiin myös ajurin vuorovaikutusta muiden ytimen alijärjestelmien kanssa sekä mahdollisuutta käyttää toimitettuja kryptografisia primitiivejä.
Jos haluat käyttää ohjaimen vaatimia salausalgoritmeja, laajensi FreeBSD-ytimen salausalijärjestelmän API:ta, Lisätty linkki, joka mahdollistaa sellaisten algoritmien käytön, joita FreeBSD ei tue, standardin Cryptographic API:n kautta käyttämällä tarvittavien algoritmien libsodium-kirjaston toteutusta.
Ohjaukseen integroiduista algoritmeistar, jäljelle jää vain koodi Blake2-tiivisteiden laskemiseksi, koska tämän algoritmin FreeBSD:n tarjoama toteutus on sidottu kiinteään hash-kokoon.
Lisäksi tarkistusprosessin aikana koodin optimointi tehtiin, joka mahdollisti kuormanjaon tehokkuuden lisäämisen moniytimisissä prosessoreissa (varmisti tasaisen pakettien salauksen ja prosessorin ytimiin sitoutumisen salauksen purkutehtävän).
Tämän seurauksena paketin käsittelyn yläpuolella likimääräinen ohjaintoteutus Linuxille. Koodi tarjoaa myös mahdollisuuden käyttää ossl-ohjainta salaustoimintojen nopeuttamiseen.
Toisin kuin edellinen yritys integroida WireGuard FreeBSD:hen, uusi toteutus käyttää stock wg -apuohjelmaa ifconfigin muokatun version sijaan, joka mahdollisti yhtenäisen asennuksen Linuxin ja FreeBSD:n välillä. Wg-apuohjelma sekä ajuri sisältyvät FreeBSD-lähteisiin, mikä on mahdollista wg-koodin lisenssimuutoksen ansiosta (koodi on nyt saatavilla MIT- ja GPL-lisenssien alla).
Edellinen yritys sisällyttää WireGuard FreeBSD:hen tehtiin vuonna 2020, mutta se päättyi skandaaliin, jonka seurauksena jo lisätty koodi poistettiin huonon laadun, huolimattoman puskurin käsittelyn, tynkien käytön tarkastusten sijaan, protokollan epätäydellisen toteutuksen ja GPL-lisenssin rikkomisen vuoksi.
Niille, jotka eivät vieläkään tiedä VPN WireGuard, heidän pitäisi tietää se tämä on toteutettu nykyaikaisten salausmenetelmien pohjalta, tarjoaa erittäin korkean suorituskyvyn, se on helppokäyttöinen, mutkaton, ja se on osoittanut arvonsa useissa suurissa käyttöönotoissa, jotka käsittelevät suuria määriä liikennettä. Hanketta on kehitetty vuodesta 2015, läpäissyt muodollisen tarkastuksen ja käytettyjen salausmenetelmien tarkastuksen. WireGuard käyttää salausavaimen reitityskonseptia, joka sisältää yksityisen avaimen sitomisen jokaiseen verkkoliitäntään ja julkisten avainten käytön sitoutumiseen.
Julkisten avainten vaihto yhteyden muodostamiseksi on samanlaista kuin SSH. Avaimien neuvottelemiseen ja yhteyden muodostamiseen ilman erillistä käyttäjätilademonia käytetään Noise Protocol Frameworkin Noise_IK-mekanismia, joka on samanlainen kuin SSH:n authorised_keys. Tiedonsiirto tapahtuu kapseloimalla UDP-paketteihin. Tukee VPN-palvelimen IP-osoitteen vaihtamista (roaming) katkaisematta yhteyttä automaattisen asiakkaan uudelleenmäärityksen avulla.
Salaus käyttää ChaCha20-virtasalausta ja Poly1305-viestien todennusalgoritmia (MAC), jonka ovat kehittäneet Daniel J. Bernstein, Tanja Lange ja Peter Schwabe. ChaCha20 ja Poly1305 ovat AES-256-CTR:n ja HMAC:n nopeampia ja turvallisempia analogeja, joiden ohjelmistototeutus mahdollistaa kiinteän suoritusajan saavuttamisen ilman erityistä laitteistotukea. Elliptisen käyrän Diffie-Hellman-protokollaa Curve25519-toteutuksessa, jota myös Daniel Bernstein ehdotti, käytetään jaetun salaisen avaimen luomiseen. Hajautustyössä käytetään BLAKE2s-algoritmia (RFC7693).
Lopuksi on syytä mainita muutoksesta, että kun ajuri on hyväksytty FreeBSD:hen (sys/dev/wg), sitä kehitetään ja ylläpidetään tästä lähtien FreeBSD-varastossa.
Jos olet kiinnostunut tietämään siitä lisää, voit tutustua yksityiskohtiin Seuraavassa linkissä.