Wireguard-Patchset für den Mainline-Kernel

Jason Donenfeld, Hauptentwickler der im Kernel angesiedelten Netzwerktunnel-Software Wireguard, möchte seinen Code nun in den offiziellen Mainline-Kernel bringen.

Donenfeld hat vor Wireguard vor gut zwei Jahren erstmals als RFC auf der Kernel-Mailingliste vorgestellt, nun hat er ein erstes Patchset geschickt, um die Software in den Kernel zu bringen. Sie wird als schnelle Alternative zu Open VPN gehandelt und hat von vielen Nutzern positives Feedback erhalten.

Der bisherige Code ist allerdings ein Out-of-Tree-Modul, das heißt, er steckt nicht direkt im Kernel sondern muss in diesen gepatcht werden. Seit Kernel-Version 3.10 testen die Entwickler Wireguard allerdings gegen jeden neuen Kernel. Zudem gibt es laut Donenfeld eine extensive Testsuite für das Protokoll. Mit der Aufnahme in den Kernel würde die Software den Ritterschlag erhalten. Vermutlich erhofft sich Donenfeld, dass die Software dann auf einer wesentlich breiteren Basis zum Einsatz kommt und weitere Entwickler findet.

Neben einem älteren Patch für den Zufallsgenerator hat Donenfeld Zinc und Wireguard selbst für die Aufnahme vorgeschlagen. Während Zinc (“Zinc Is Not crypto/”) keine wirkliche Kryptobibliothek sei, sondern vielmehr eine Ansammlung kryptografischer Basisfunktionen, stecke im dritten Patch (“net”) das eigentliche Wireguard-Protokoll.

Sichere Netzwerk-Tunnel

Dessen Ziel von Wireguard sei es, ein im Vergleich zu IP-Sec simpleres und einfacher analysierbares Protokoll für sichere Netzwerk-Tunnel in den Kernel zu bringen. Wireguard sei ein einfacher Netzwerktreiber, das von verschiedenen Subsystem-APIs im Netzwerkstack Gebrauch mache. Teilweise neu sei das Multicore-Queuing-System, das für die Verschlüsselungsoperationen einen maximalen Datendurchsatz bei minimalen Latenzen erreichen wolle. Es sei mit Hilfe von Workqueues und Napi implementiert, zur Konfiguration komme Netlink zum Einsatz.

Donenfeld weist auf die verschiedenen Tests, Gutachten und Whitepaper hin, die für Wireguard existieren und darauf, dass die Software bereits bei verschiedenen Anbietern im Einsatz sei. Aus seiner Sicht sei das Protokoll komplett, nun müssten die Kernel-Entwickler die Implementierung begutachten. das kann noch etwas dauern. Vermutlich müssen Donenfeld und seine Helfer einige Änderungen anbringen, bevor der Code tatsächlich über das Netzwerk-Subsystem in einem der nächsten Kernel landen darf.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben