Nachodzi nowa jakość w VPN-ach: WireGuard w jądrze Linux może zmienić wszystko

Maciej Olanicki , 05.02.2020 r.
switch

Praca zdalna, czy w pełnym, czy w czasowym wymiarze zdobywa coraz większą popularność. Także w Polsce i nie tylko wśród pracowników branży IT. W zdecydowanej większości przypadków trudno ją sobie jednak wyobrazić bez wykorzystania wirtualnych sieci prywatnych, czyli popularnych VPN-ów, które zresztą coraz częściej są używane także w zastosowaniach domowych, w celu ochrony prywatności lub omijania geoblokad, coraz częściej także na urządzeniach mobilnych.

Gdybyśmy za każdy przeczytany w Internecie artykuł wieszczący „rewolucję” w jakiejś dziedzinie dostawalibyśmy złotówkę, to… mielibyśmy dużo złotówek. Nie będzie jednak wielkiej przesady w twierdzeniu, że właśnie w kwestii obsługi VPN-ów czeka nas lada moment jeśli nie rewolucja, to przynajmniej proces dużych przemian o poważnych konsekwencjach. Rozpocznie go implementacja w jądrze Linux obsługi WireGuarda, otwartej implementacji VPN, która ma wszystko, czego trzeba, by zastąpić wykorzystywane dziś standardy: IPSec i OpenVPN.

Obsługa WireGuarda zostanie zaimplementowana już w kolejnym dużym wydaniu Linuksa, a zatem wersji 5.6. Jej premiery spodziewamy się w kwietniu. Co takiego ma w sobie WireGuard, że może zmienić to, jak dziś korzystamy z VPN-ów? Przede wszystkim prostotę, która przekłada się na bezpieczeństwo. Udostępniany na licencji GNU GPL v2 kod źródłowy składa się z zaledwie kilku tysięcy linijek, co nijak ma się do w porównaniu choćby do kodu OpenVPN-a, który ma dziś długość ponad 100 tys. linijek. A to przekłada się na łatwość i skuteczność audytów.

WireGuard oferuje także bardzo wiele pod względem dostępnych mechanizmów kryptograficznych: mowa tu między innymi o obsłudze protokołu HKDF, funkcji Curve25519, szyfrów strumieniowych z rodziny ChaCha, Noise Protocol Framework czy kod Pol1305-AES. Wielkim fanem tej implementacji od lat jest Linus Torvalds, który zatwierdził już niezbędne łatki w gałęzi net-next. Implementacja zdobywa także uznanie władz i instytucji standaryzacyjnych: w 2018 r. amerykańskie NIST otrzymało rekomendację wskazującą WireGuarda jako zamiennika dla IPsec i OpenVPN.

Choć oczywiście już wcześniej mieliśmy do czynienia z pojedynczymi implementacjami WireGuarda, to jego obsługa w jądrze, które jest sercem lwiej części systemów operacyjnych na całym świecie, stanowić będzie niemały przełom. I nie chodzi tu tylko o to, że każdy z nas otrzyma nieskomplikowaną, bezpieczną i oferującą sporo pod względem ochrony prywatności metodę korzystania z VPN-ów, która w końcu będzie działać, jak należy. Nie sposób pominąć, że WireGuard będzie również wykorzystywany powszechnie przez dostawców usług.

A te w ciągu ostatnich lat zaskarbiły sobie wielu miłośników. Jak już wspomniano, także wśród użytkowników domowych. Ci co prawda nie będą zdawali sobie sprawy, jaka implementacja VPN-a będzie działała za interfejsem klienta w postaci aplikacji mobilnej czy przełącznikiem na tacce systemowej, ale odczują tego rezultaty. Wiadomo, że nad migracją na WireGuarda już wcześniej pracowali tacy dostawcy, jak StrongVPN i Mullvad VPN. Nie ma wątpliwości, że po dodaniu obsługi do jądra systemów działających na ich serwerach proces ten przyśpieszy.

Z całą pewnością w ich ślad pójdą inni zarówno dostawcy komercyjnych usług VPN, jak i administratorzy w sieciach firmowych. Wygląda więc na to, że po latach, nie bójmy się tego słowa, zmagań z Virtual Private Network w końcu czeka nas radykalna poprawa komfortu pracy, która jednocześnie zaoferuje nam potężną kryptografię, będąc przy tym oprogramowaniem nieskomplikowanym w zakresie audytowania.

Zobacz też: Linux 5.5 dostępny z lepszą obsługą Raspberry Pi 4 i zmianami w planiście

Najnowsze oferty pracy:

Polecane wpisy na blogu IT: