Кажется, что в рамках проекта WireGuard дела идут неплохо, как сказал Джейсон А. Доненфельд, автор VPN WireGuard, представил проект WireGuardNT который высокопроизводительный порт WireGuard VPN для ядра Windows который совместим с Windows 7, 8, 8.1 и 10 и поддерживает архитектуры AMD64, x86, ARM64 и ARM.
Важно помнить, что в последнем семестре 2019 года были внесены патчи с реализацией интерфейса VPN проекта в ветке net-next, потому что разработчики WireGuard взяли на себя обязательство и согласились передать часть кода в основной ядро не как отдельный API, а как часть подсистемы Crypto API.
После этого несколькими месяцами позже в проекте OpenBSD появились изменения для утилит ifconfig и tcpdump с поддержкой функциональности WireGuard, документации и незначительных изменений для интеграции WireGuard с остальной частью системы, после чего проект был перемещен для обеспечения совместимости с Android. .
WireGuard VPN реализован на основе современных методов шифрования., обеспечивает очень высокую производительность, прост в использовании, без проблем и зарекомендовал себя в ряде крупных развертываний, обрабатывающих большие объемы трафика.
Проект развивается с 2015 года., прошел формальный аудит и проверку используемых методов шифрования. WireGuard использует концепцию маршрутизации ключей шифрования, которая включает привязку закрытого ключа к каждому сетевому интерфейсу и использование открытых ключей для привязки.
Обмен открытыми ключами для установления соединения осуществляется по аналогии с SSH. Для согласования ключей и подключения без запуска отдельного демона в пользовательском пространстве используется механизм Noise_IK платформы Noise Protocol Framework, аналогичный поддержке authorized_keys в SSH. Передача данных осуществляется путем инкапсуляции в пакеты UDP. Поддерживает изменение IP-адреса VPN-сервера (роуминг) без разрыва соединения с автоматической перенастройкой клиента.
Шифрование использует шифрование потока ChaCha20 и алгоритм аутентификации сообщений Poly1305 (MAC). ChaCha20 и Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без использования специальной аппаратной поддержки.
И сейчас проект поступает как порт для Windows что основан на проверенной кодовой базе основной реализации WireGuard для ядро linux, который был переведен для использования сущностей ядра Windows и сетевого стека NDIS.
После многих месяцев работы мы с Саймоном рады анонсировать проект WireGuardNT, собственный порт WireGuard для ядра Windows.
WireGuardNT начинался как порт кодовой базы Linux ... После того, как первоначальные усилия по переносимости были успешными, кодовая база NT быстро разошлась, чтобы хорошо вписаться в собственные NTISS и NDIS (сетевой стек Windows) API. Конечным результатом является глубоко интегрированная высокопроизводительная реализация WireGuard, которая использует весь спектр возможностей ядра NT и NDIS.
По сравнению с реализацией wireguard-go, которая работает в пространстве пользователя и использует сетевой интерфейс Wintun, WireGuardNT имеет значительное улучшение производительности за счет исключения операций переключения контекста и скопируйте содержимое пакета из ядра в пространство пользователя.
По аналогии с реализациями WireGuardNT для Linux, OpenBSD и FreeBSD, вся логика обработки протокола работает непосредственно на уровне сетевого стека.
Хотя никаких конкретных оптимизаций еще не было сделано, WireGuardNT уже достиг максимальной пропускной способности передачи данных 7,5 Гбит / с в нашей тестовой среде с Ethernet.
В реальных пользовательских системах с Wi-Fi производительность заметно ниже, но не сильно отличается от прямой передачи данных. Например, в системе с беспроводной картой Intel AC9560 производительность без WireGuard составляла 600 Мбит / с, а с WireGuardNT - также 600 Мбит / с, а при использовании WireGuard-go / Wintun - 95 Мбит / с.
источник: https://lists.zx2c4.com/