WireGuard, et revolutionerende in-kernel VPN-projekt, som sigter mod at være hurtigt, moderne og sikkert, kan nu integreres direkte i Android ROM'er.
Det er svært at forestille sig det moderne internet uden en VPN. I mange år har VPN'er udvidet private netværk på tværs af offentlige netværk, hvilket gør det muligt for brugere at sende og modtage data på tværs af delte eller offentlige netværk, som om deres computerenheder var direkte forbundet med det private netværk. Dette har følgelig haft den effekt, at brugerne har mulighed for at omgå særlige geografiske begrænsninger samt at holde data sikre. VPN-softwarelandskabet har dog haft et utal af problemer, som WireGuard, en ny sikker tunneling-protokol, sigter mod at løse.
OpenVPN, IPsec og deres problemer
Dagens velkendte VPN-løsninger på Android er OpenVPN og IPsec, men de er ikke uden problemer. Populariteten af OpenVPN giver på en måde mening, da det er lettere at konfigurere end IPsec og har eksisteret i lang tid. Selvom projektet er en noget acceptabel løsning for de fleste brugere, er dets kompleksitet overvældende. OpenVPN består af omkring 120.000 linjer kode. En sådan mængde kode gør projektet næsten umuligt at revidere og sikre, som vidnet af det massive spor af sikkerhedsfejl i løbet af de sidste par år. OpenVPN lever også i brugerområdet, hvilket gør det ret langsomt, da hver pakke skal kopieres flere gange og medføre flere kontekstskift. IPsec, IKEv2, L2TP, PPTP og relaterede 90'er-teknologier er også ret populære, men på samme måde problematiske, idet de er store omfangsrige kodebaser -- StrongSwan er omkring 430.000 linjer kode, derudover hele kernel XFRM-laget -- og baseret på forældet 90'er kryptografisk visdom. Den almindelige brug af disse protokoller er også meget "chatty", og sender trafik unødigt, hvilket resulterer i reduceret batterilevetid på bærbare computere og mobiltelefoner.
Et spændende nyt VPN-projekt: WireGuard
For nylig havde vi fornøjelsen at tale med en af vores anerkendte udviklere, zx2c4. I det virkelige liv er han Jason Donenfeld og er forfatter til WireGuard, en næste-generations VPN-tunnel, der snart kan detronisere OpenVPN og IPsec. Lanceret i 2015, WireGuard tilbyder banebrydende kryptografi, er lettere at revidere, da det er mindre end 4.000 linjer kode, og er ret nem at bruge.
WireGuard er en ny VPN, der kører inde i Linux-kernen og bruger avanceret kryptografi. Det sigter mod at være hurtigere, enklere, slankere og mere nyttigt end IPSec, samtidig med at man undgår den massive hovedpine. Det har til hensigt at være betydeligt mere effektivt end OpenVPN. WireGuard er designet som en generel VPN til at køre på både indlejrede grænseflader og supercomputere, der passer til mange forskellige omstændigheder. Den kører over UDP.
Modtagelsen af WireGuard har været meget positiv, både i sikkerhedsfællesskabet og inde i kernefællesskabet, med Greg KH, den stabile vedligeholder af Linux-kernen, godkender det efter en grundig kodegennemgang. Det har været forelagde rundt om i verden, med FOSDEM præsentation er måske særligt relevant for XDA-læsere. WireGuard hvidt papir er også blevet peer-reviewet af det akademiske samfund.
Protokollen er meget god til mobiltelefoner, fordi den blev udviklet som en "stealth VPN", som som standard ikke sender nogen pakker, medmindre der er faktiske data, der skal sendes. Dette har effekten af ikke dræner batteriet ligesom andre VPN-klienter almindeligvis gør. Derudover tillader WireGuard roaming frit mellem forskellige IP-adresser, hvilket betyder, at du kan skifte mellem WiFi og mobilforbindelser eller mellem andre former for forbindelser uden at skulle etablere nogen forbindelser; det er helt problemfrit.
Det hastigheden er bedst i klassen, der tilbyder SSSE3, AVX, AVX2, AVX512 og NEON-accelererede implementeringer af dets chiffer. Dens brug af ChaCha20 betyder, at den er ekstrem hurtig på næsten al hardware. I test slår WireGuard nemt andre protokoller.
WireGuard er ikke kun den hurtigste VPN på blokken, men kryptografien har også været det formelt verificeret, hvilket betyder, at der er matematiske beviser for, at dens kryptografiske konstruktioner er sikre i den symbolske model. Selvom kryptografien er moderne, er den også konservativ og tager fejl på siden af paranoia i stedet for letsindighedens side. Det kombineret med dens lille og let reviderbare kodebase gør WireGuard meget pålidelig ud fra et sikkerhedsperspektiv.
WireGuard og Android Support
Mens WireGuard primært er udviklet som et optimeret kernemodul til Linux, er der et brugerområde bærbar version på vej, så den kan distribueres i apps i Play Butik uden brug af root adgang. Selvom implementeringen af brugerområdet stadig er hurtigere end konkurrenterne, skinner meget af WireGuard-magien, når det oprindelige kernemodul bruges. Af denne grund ligger WireGuards primære interesse for XDA-udviklingsfællesskabet i at integrere kernemodulet direkte i ROM'er.
WireGuard har faktisk allerede fundet vej til nogle ROM'er. Mest bemærkelsesværdigt er det integreret i Sultanxdas populære ROM'er for OnePlus 3/3T og andre udviklere vil helt sikkert følge efter. Patching-proceduren er ret enkel og kan udføres med et par enkle trin. Det bedste sted at finde referencen er android_kernel_wireguard git repository side såvel som zx2c4s XDA-tråd om at tilføje det til ROM'er.
Den i øjeblikket under udvikling Android app bruger kernemodulet opportunistisk, hvis det er tilgængeligt, og falder ellers tilbage til at bruge userspace-implementeringen. Appen har en GUI til at definere VPN-tunneler, kontrollere status og tilføjer meget pænt en skiftekontakt til meddelelsesområdet for at tænde og slukke for tunneler. Nedenfor kan du få et glimt af den enkle skiftegrænseflade i de tidlige versioner af appen.
WireGuard-udviklingsteamet rekrutterer i øjeblikket Android GUI-udviklere til at arbejde sammen med dem, mens de gør fremskridt inden for kerneteknologien. Hvis nogen XDA-udviklere er interesserede, bør de ikke tøve med at kontakte dem zx2c4. WireGuard-projektet er fuldstændig open source og gennemsigtigt.
Samlet set ser WireGuard ud til at være fremtiden for VPN'er og sikre netværkstunneler, der omfatter klippefast moderne kryptografi, en sikker auditerbar kodebase og en innovativ protokol velegnet til smartphones. Dets brug på Linux-serveren og skrivebordet er allerede højt respekteret, og marcherer solidt videre ind i mainline Linux. Vi hos XDA ser frem til at se WireGuard komme til Android og vores ROM'er.
Hvis du er ivrig efter at teste WireGuard på din enhed, skal du kontakte din ROM-udvikler eller genkompilere ROM'en på egen hånd. Du kan også få fat i alfaversionen af applikationen fra officiel tråd eller Google Play butik.
Besøg WireGuard-tråden på XDA