Il paraît que les choses se passent plutôt bien au sein du projet WireGuard, comme Jason A. Donenfeld, auteur de VPN WireGuard, a présenté le projet WireGuardNT qui est un port VPN WireGuard hautes performances pour le noyau Windows qui est compatible avec Windows 7, 8, 8.1 et 10, et prend en charge les architectures AMD64, x86, ARM64 et ARM.
Il est important de rappeler qu'au dernier semestre 2019 les correctifs ont été apportés avec la mise en place de l'interface VPN du projet dans la branche net-next, ceci car les développeurs de WireGuard se sont engagés et ont accepté de transférer une partie du code vers le serveur principal. kernel , non pas en tant qu'API distincte, mais en tant que partie du sous-système de l'API Crypto.
Après cela, quelques mois plus tard, le projet a apporté des modifications à OpenBSD pour les utilitaires ifconfig et tcpdump avec prise en charge de la fonctionnalité WireGuard, de la documentation et des modifications mineures pour intégrer WireGuard avec le reste du système et après cela, le projet a été déplacé pour être compatible avec Android .
WireGuard VPN est implémenté sur la base de méthodes de cryptage modernes, offre des performances très élevées, est facile à utiliser, sans tracas et a fait ses preuves dans un certain nombre de grands déploiements gérant des volumes de trafic élevés.
Le projet se développe depuis 2015, a passé avec succès un audit formel et une vérification des méthodes de cryptage utilisées. WireGuard utilise le concept de routage de clé de chiffrement, qui consiste à lier une clé privée à chaque interface réseau et à utiliser les clés publiques pour lier.
L'échange de clés publiques pour établir une connexion se fait par analogie avec SSH. Pour négocier les clés et se connecter sans exécuter un démon séparé dans l'espace utilisateur, le mécanisme Noise_IK du Noise Protocol Framework est utilisé, de la même manière que le maintien de authorised_keys dans SSH. La transmission des données se fait par encapsulation dans des paquets UDP. Prend en charge la modification de l'adresse IP du serveur VPN (itinérance) sans interrompre la connexion avec la reconfiguration automatique du client.
Chiffrement utilise le cryptage de flux ChaCha20 et l'algorithme d'authentification de message Poly1305 (MAC). ChaCha20 et Poly1305 se positionnent comme des homologues plus rapides et plus sécurisés de AES-256-CTR et HMAC, dont la mise en œuvre logicielle vous permet d'obtenir un temps d'exécution fixe sans utiliser de support matériel spécial.
Et maintenant le projet arrive en tant que port pour Windows Quoi s'appuie sur la base de code testée de la mise en œuvre de base de WireGuard pour le noyau Linux, qui a été traduit pour utiliser les entités du noyau Windows et la pile réseau NDIS.
Après plusieurs mois de travail, Simon et moi avons le plaisir de vous annoncer le projet WireGuardNT, un port natif WireGuard pour le noyau Windows.
WireGuardNT a commencé comme un portage de la base de code Linux… Après que les premiers efforts de portabilité aient été couronnés de succès, la base de code NT a rapidement divergé pour bien s'adapter aux NTisms natifs et aux API NDIS (pile de mise en réseau Windows). Le résultat final est une implémentation hautement intégrée et hautement performante de WireGuard, qui utilise la gamme complète des capacités du noyau NT et du NDIS.
Par rapport à l'implémentation wireguard-go qui s'exécute dans l'espace utilisateur et utilise l'interface réseau Wintun, WireGuardNT a une amélioration significative des performances en éliminant les opérations de changement de contexte et copiez le contenu du package du noyau vers l'espace utilisateur.
Par analogie avec les implémentations WireGuardNT pour Linux, OpenBSD et FreeBSD, toute la logique de traitement de protocole fonctionne directement au niveau de la pile réseau.
Bien qu'aucune optimisation spécifique n'ait encore été effectuée, WireGuardNT a déjà atteint un débit de transfert de données maximal de 7,5 Gbit/s dans notre environnement de test avec Ethernet.
Dans les systèmes d'utilisateurs réels avec Wi-Fi, les performances sont sensiblement inférieures, mais pas très différent du transfert de données direct. Par exemple, sur un système avec une carte sans fil Intel AC9560, les performances sans WireGuard étaient de 600 Mbps et avec WireGuardNT elles étaient également de 600 Mbps, tandis qu'en utilisant wireguard-go / Wintun, elles étaient de 95 Mbps.
source: https://lists.zx2c4.com/