ワイヤーガード


WireGuardは、VPN業界に大きな変化をもたらす可能性がある興味深い新しいVPNプロトコルです。 OpenVPNやIPSecなどの既存のVPNプロトコルと比較して、WireGuardは、新しく改善された暗号化標準により、高速化と信頼性向上を実現します。.

WireGuardには、単純さ、速度、暗号化の点でいくつかの有望な機能がありますが、WireGuardにはいくつかの注目すべき欠点もあります。.

この5部構成のWireGuard VPNガイドでは、以下について説明します。

  1. WireGuardとは
  2. WireGuardの長所
  3. WireGuardの短所(まだ推奨されていない理由)
  4. 現在WireGuardをサポートしているVPNプロバイダー
  5. WireGuardの未来

では、飛び込みましょう!

WireGuardとは?

WireGuardは、既存のVPNプロトコルよりもシンプルで高速で安全なVPNトンネリングソリューションを提供することを目的とした、新しい実験的なVPNプロトコルです。 WireGuardは、コードサイズ(4,000行未満!)、速度、暗号化標準など、OpenVPNとIPSecと比較して大きな違いがあります。.

WireGuardの開発者は、Edge Securityの創設者であるジェイソン・ドネンフェルドです。 (「WireGuard」という用語はドネンフェルドの登録商標でもあります)。.

WireGuardを取り巻く話題が多いのはなぜですか?

以下でさらに説明するように、既存のVPNプロトコルよりもいくつかの潜在的な利点があります。 Linuxの開発者であるLinus TorvaldsがLinuxカーネルメーリングリストで次のように述べていることにも注目しました。

もう一度[WireGuard]への愛情を述べて、すぐにそれが合併されることを願っていますか?コードは完璧ではないかもしれませんが、私はそれをざっと読みました。そしてOpenVPNとIPSecである恐怖と比較して、それは芸術作品です.

まず、WireGuardの利点を調べましょう.

WireGuardの長所

WireGuardが提供する「長所」の一部を以下に示します。

1.更新された暗号化

さまざまなインタビューで説明されているように、ジェイソン・ドネンフェルドは、OpenVPNとIPSecで「時代遅れの」プロトコルと考えていたものをアップグレードしたかったのです。 WireGuardは、Webサイトで説明されているように、次のプロトコルとプリミティブを使用します。

  • RFC7539のAEAD構造を使用して、Poly1305で認証された対称暗号化用のChaCha20
  • ECDHのCurve25519
  • RFC7693で説明されているハッシュおよびキー付きハッシュのBLAKE2
  • ハッシュテーブルキーのSipHash24
  • RFC5869に記載されている、キー派生用のHKDF

WireGuardの最新の暗号化の詳細については、公式Webサイトまたはテクニカルホワイトペーパーをご覧ください。.

2.シンプルで最小限のコードベース

WireGuardは、コードベースの点で非常に優れており、現在約3,800行です。これは、合計で約600,000行あるOpenVPNとOpenSSLとはまったく対照的です。 IPSecは、XFRMとStrongSwanを一緒に使用して、合計約40万行でかさばる.

より小さなコードベースの利点は何ですか?

  1. 監査がはるかに簡単です。 OpenVPNの監査には、大規模なチームが何日もかかります。 1人で数時間でWireGuardのコードベースを読むことができます.
  2. 監査が容易=脆弱性を見つけやすく、WireGuardの安全性を維持
  3. OpenVPNおよびIPSecと比較して、攻撃対象領域がはるかに小さい
  4. よりよい性能

小さいコードベースは確かに利点ですが、以下で説明するように、いくつかの制限も反映します.

3.パフォーマンスの改善

VPNの速度は、さまざまな理由から制限要因になる可能性があります。 WireGuardは、パフォーマンスの分野で大幅な改善を提供するように設計されています。

非常に高速な暗号プリミティブの組み合わせと、WireGuardがLinuxカーネル内に存在するという事実は、安全なネットワークが非常に高速であることを意味します。スマートフォンなどの小型の組み込みデバイスと完全にロードされたバックボーンルーターの両方に適しています.

理論的には、WireGuardは次の方法でパフォーマンスを改善するはずです。

  • より速い速度
  • 電話/タブレットでのバッテリー寿命の向上
  • より良いローミングサポート(モバイルデバイス)
  • より高い信頼性
  • 接続/再接続の確立の高速化(高速ハンドシェイク)

WireGuardは、モバイルVPNユーザーにとって有益なはずです。 WireGuardを使用すると、モバイルデバイスがWiFiからモバイル/セルデータへの切り替えなどのネットワークインターフェイスを変更しても、VPNクライアントが認証済みデータをVPNサーバーに送信し続ける限り、接続は維持されます.

4.クロスプラットフォームの使いやすさ

まだプライムタイムの準備はできていませんが、WireGuardはさまざまなプラットフォームで非常にうまく機能するはずです。 WireGuardはMac OS、Android、iOS、およびLinuxをサポートしますが、Windowsサポートはまだ開発中です.

WireGuardのもう1つの興味深い機能は、OpenVPNが証明書を使用するのに対して、識別と暗号化に公開キーを使用することです。ただし、これにより、VPNクライアントでWireGuardを使用する際に、キーの生成や管理などの問題が発生します.

WireGuardの短所

ワイヤーガードVPNサービスWireGuardには多くのエキサイティングな利点がありますが、現在いくつかの注目すべき欠点があります.

1.まだ「重い」開発中、準備ができていない、監査されていない

WireGuardは「重い開発」の下にあり、まだ一般的な使用の準備が整っていないという事実にもかかわらず、多くの人々がそれをすぐにプライマリVPNプロトコルとして使用したいと考えています。多くのWireGuardプロモーションはredditやさまざまなフォーラムで見つけることができます。つまり、最新のVPNトレンドを追いかけます。.

WireGuardは完全ではなく、セキュリティ監査に合格しておらず、開発者は現在のコードを信頼することを明示的に警告していることに注意する必要があります。

WireGuardはまだ完全ではありません. このコードに頼るべきではありません. 適切な程度のセキュリティ監査を受けていないため、プロトコルは変更される可能性があります。安定した1.0リリースに向けて取り組んでいますが、その時はまだ来ていません.

それにもかかわらず、現在準備中またはWireGuardサポートを提供している少数のVPNがあります。ただし、この時点では、WireGuardのみを使用する必要があります テスト目的のみ.

2. WireGuardのプライバシーに関する懸念とログ

WireGuardはパフォーマンスとセキュリティの点で利点を提供する可能性がありますが、設計上、プライバシーには適していません.

多くのVPNプロバイダーが、ログなしでWireGuardを使用できるかどうか、およびこれがユーザーのプライバシーにどのように影響するかについて懸念を表明しています。.

AzireVPN, WireGuardを実装した最初のVPNの1つで、昨年これを発言しました。

AzireVPNでは、ログなしポリシーを重視しているため、すべてのサーバーがディスクレスハードウェアで実行され、すべてのログファイルが/ dev / nullにパイプされます。.

ただし、WireGuardの場合、デフォルトの動作では、エンドポイントとallowed-ipがサーバーインターフェイスに表示されます。これは、プライバシーポリシーでは実際には機能しません。送信元IPを知らないため、サーバーで表示されることを許可できません.

 Jason Donenfeldを雇って「通常のシステム管理者がWireGuardピアに関するエンドポイントまたは許可されたIP情報を照会し、tcpdumpを実行する機能を無効にする機能を削除するルートキットのようなモジュールを作成する」.

完璧なプライバシー WireGuardは 「ログなしでは使用できません」 興味深い:

WireGuardには動的アドレス管理がなく、クライアントアドレスは固定されています。つまり、顧客のすべてのアクティブなデバイスを登録し、各VPNサーバーに静的IPアドレスを割り当てる必要があります。さらに、未使用のIPアドレスを再利用するために、各デバイスの最後のログインタイムスタンプを保存する必要があります。アドレスが再割り当てされるため、ユーザーは数週間後にデバイスを接続できなくなります。.

接続ログをまったく作成または保存しないことが特に重要です。したがって、現在WireGuardが動作するために必要な上記の登録およびログインデータを保存することはできません。.

VPN.ac ユーザーのプライバシーに関するWireGuardの欠陥に関する同様の懸念を提起しました。

プライバシーの考慮事項:設計上、WireGuardは、なし/制限付きのログポリシーには適していません。具体的には、ユーザーの最後のパブリックIPは接続に使用したサーバーに保存され、現在のプライバシーポリシーに従って1日以内に削除することはできません。後日、ソースコードを調整して、最後に使用したパブリックIPをサニタイズまたは削除する可能性があります.

ExpressVPN WireGuardの設計に対する懸念を表明したもう1つのVPNサービスは、プライバシーへの影響です。

WireGuardが直面する課題の1つは、VPNの匿名性を保証することです。パブリックネットワークでも仮想ネットワークでも、単一のユーザーに単一のIPアドレスを静的に割り当てることはできません。ユーザーの内部IPアドレスは、(WebRTCなどを介して)敵によって発見される可能性があり、その後、VPNプロバイダーから(盗難、販売、または法的押収を通じて)取得したレコードと一致する可能性があります。優れたVPNは、そのような識別子を1人のユーザーに一致させることができてはなりません。現在、この設定はWireGuardでは簡単に達成できません.

ExpressVPNは、過去にOpenVPNで行ったように、WireGuardコードをレビューおよび監査する取り組みを支援します。可能な限りコードを提供し、バグを報告し、セキュリティとプライバシーの懸念を開発チームに直接報告します.

AirVPN また、フォーラムで説明されているように、WireGuardの匿名性への影響についても言及しています。

Wireguardは、現在の状態では、基本的な機能がなく実験的なソフトウェアであるため危険であるだけでなく、匿名レイヤーを危険なほど弱くしています。私たちのサービスは匿名層を提供することを目的としているため、それを非常に深く弱めるものを考慮することはできません.

Wireguardが安定したリリースに到達し、少なくとも15年前からOpenVPNが提供できた最も基本的なオプションを提供する場合、Wireguardを喜んで考慮します。インフラストラクチャは適応できますが、私たちの使命はできません.

彼らのフォーラムで、WireGuardが単に要件を満たしていない理由をさらに説明しました。

  • Wireguardには動的IPアドレス管理がありません。クライアントには、各VPNサーバーのキーに一意にリンクされた事前定義のVPN IPアドレスを事前に割り当てる必要があります。匿名レイヤーへの影響は壊滅的です。
  • Wireguardクライアントは、サーバーID(Wireguardが実験的なソフトウェアでなくなったときに確実に実装されるほど重要な機能)を検証しません。この欠陥によるセキュリティへの影響は非常に大きいです。
  • TCPサポートがありません(サードパーティまたはとにかく、トンネリングプロトコルとしてTCPを使用するには追加のコードが必要です。これはOpenVPNと比較した場合、恐ろしい退行です)。
  • Wireguardをさまざまな認証方法でプロキシを介してVPNサーバーに接続することはサポートされていません.

これらの懸念にもかかわらず、多くのVPNサービスは既にWireGuardの完全なサポートを展開しています。他のVPNはプロジェクトを監視しており、完全に監査および改善された後にWireGuardを実装することに関心があります。.

ただし、一方で、AirVPNがフォーラムで述べたように:

「お客様をテスターとして使用しません。」

3.新規および未テスト

確かに、OpenVPNには問題がありますが、長い実績があり、広範な監査を備えた実績のあるVPNプロトコルです。 DonenfeldはOpenVPNをさまざまなインタビューで「時代遅れ」と呼んでいますが、他の人はそれを実証済みで信頼できると見なしているかもしれません-WireGuardに現在欠けている品質.

2001年に最初にリリースされたOpenVPNには非常に長い歴史があります。 OpenVPNは、大規模なユーザーベースと定期的な更新による積極的な開発の恩恵も受けます。 2017年5月、オープンソース技術改善基金であるOSTIFによる主要な監査を受けました.

この時点で、WireGuardはよりニッチなプロジェクトのように見えますが、業界に可能性があるものです。これは非常に新しく、まだ「重い開発」段階から抜け出していませんが、正式な検証を受けています。ただし、WireGuardが正式にリリースされた後でも、ユーザーは慎重に作業することをお勧めします.

4.制限付きの採用(今のところ)

上記で説明したように、業界全体でのWireGuardの採用には、いくつかの大きなハードルがあります。

  • キーの管理と配布の問題(証明書を使用するのではなく).
  • WireGuardには、既存のOpenVPNサーバーとは別の独自のインフラストラクチャが必要です.
  • 既存の操作との互換性。 OpenVPNを中心にサービスと機能を構築したプロバイダーの場合、WireGuardはすぐにはカードに含まれない可能性があります.

WireGuardは、マルチホップVPNカスケード、TrackStop、NeuroRoutingなどの既存のサーバー側機能と互換性がないという完全なプライバシー。それにもかかわらず、私はパーフェクトプライバシーに連絡し、後日スタンドアロンのオプションとしてWireGuardをサポートできることを確認しました.

同様に、AirVPNは、WireGuardがインフラストラクチャで「まったく使用できない」とも述べています。

現時点では インフラストラクチャではまったく使用できません TCPサポートがなく、動的なVPN IP割り当てがなく、(少なくとも私たちが見たビルド)厳密に必要なセキュリティ機能(サーバーによって提供されたCA証明書の検証、したがってクライアントはそれを確認できないため)反対側の敵対的なエンティティはVPNサーバーになりすましていない).

結論:推奨されていません

WireGuardの現在の状態、プライバシーへの影響、および監査されていないという事実を考慮すると、WireGuardは通常の使用にはお勧めしません.

さらに、WireGuardに固有のプライバシーの懸念(設計による!)は大きな欠点です。.

これは改善されない可能性があり、AzireVPNで見たように、VPNサービスがログなしポリシーで動作するように、何らかの種類の独自のすぐに使えるソリューションを作成することを強制します。この欠点はOpenVPNには影響しません.

それでも、脅威モデルと特定のニーズに応じて、WireGuardは一部のユーザーにとって理想的な場合があります。ただし、現時点では、通常の使用のためにOpenVPNまたはおそらくIPSecを使用することをお勧めします。.

WireGuardをサポートするVPNサービス?

現在WireGuardをサポートしている、または準備ができたときにプロトコルをサポートする意図でWireGuardをテストしていることを確認したVPNは次のとおりです。

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. ムルバード
  5. IVPN
  6. NordVPN(まだテスト中)
  7. プライベートインターネットアクセス(まだテスト中)

次に、これらの各WireGuard VPNサービスを詳しく見ていきます。.

1. AzireVPN – WireGuardサーバーはライブ

AzireVPNは、プライバシーとセキュリティに重点を置いたスウェーデンに拠点を置くVPNサービスです。 WireGuardの初期の採用者の1つであり、WireGuardセクションがあります。

キー配布用のAPIを開発し、クライアントへのWireGuardの追加を検討しています。現時点では、このプロトコルはWindows、Linux、macOS、Android、およびOpenWRTを実行しているルーターで使用できますが、Windowsのサポートは間もなく提供されます。サインアップするだけで、各拠点で利用可能なすべてのWireGuardサーバーに接続できます。.

注意:AzireVPNは現在、サードパーティのTunSafe VPNクライアントを介してWindowsユーザーをサポートしています。ただし、現時点ではWindowsに対する公式のWireGuardサポートはないため、開発者はサードパーティクライアントを使用しないことを推奨しています。

Windowsクライアントがまもなく登場します。それまでは、このサイトからリリースされていないWindowsクライアントは使用しないでください。マーケティングの努力にも関わらず、使用するのは危険です。.

2. VPN.ac – WireGuardサーバーはライブ

は、私が長年使用しテストしているルーマニアのVPNサービスです(VPN.acレビューを参照).

VPN.acはブログで、内部でWireGuardをテストした後、プロトコルをサポートすることを決定したと発表しました。彼らが(ブログ)で説明したように:

最初はベータ版で利用可能になります。 WireGuardの設計はそのままではインフラストラクチャに適合しないため、実装は少し難しいです。.

私たちは、実装をゼロからできる限りシンプルかつ完全に自動化し、完全に自動化することを望んでいます。これには、バックエンド側でかなりの作業が必要です:API、サーバー同期キーなど。さらに別のサーバーを起動するほど簡単ではありませんが、間違いなく実行可能です.

VPN.acでは、WireGuardをサービスに完全に統合するための3つの段階を用意しています。

  • ステージ1:バックエンドAPIの設計と展開
  • ステージ2:手動セットアップ用の構成ジェネレーターのフロントエンドの可用性/サードパーティのクライアントソフトウェア
  • ステージ3:VPNクライアントアプリへの実装

VPN.acでWireGuardをテストしたい場合は、they(FAQページを参照)を提供します。これにより、1週間のフルトライアルサブスクリプションが2ドルで提供されます。.

3. TorGuard – WireGuardサーバーはライブ

TorGuardは米国のVPNサービスであり、メールサービス、専用IPアドレス、ストリーミングバンドルなど、優れたパフォーマンスと多くの機能を提供することがわかっています。.

TorGuard Webサイトには、さまざまなデバイスでTorGuardをセットアップするためのさまざまなガイドがあります。.

4. Mullvad – WireGuardサーバーはライブ

ワイヤーガードに最適なVPN

AzireVPNと同様に、Mullvadもスウェーデンに拠点を置き、WireGuardを実装した最初のVPNの1つでした。.

Mullvadは現在、Linux、Mac OS、Android、および一部のルーターでWireGuardをサポートしています。また、281のOpenVPNサーバーに加えて、アクティブなWireGuardサーバーの大規模ネットワーク(合計49)があります。.

https://mullvad.net/

5. IVPN – WireGuardサーバーはライブ

IVPNワイヤーガード

IVPNは、WireGuardをサポートするジブラルタルベースのVPNサービスです。 IVPNは、ウェブサイトで説明しているように、WireGuardを独自のVPNクライアントに組み込んだ最初のプロバイダーのようです。コードはまだ開発中であるため、興味深いものです。 IVPNのウェブサイトで説明されているように:

WireGuardは、macOS、iOSで利用可能です & Androidクライアント。ほとんどのLinuxディストリビューションを使用して接続することもできます。現在、WireGuardはWindowsではサポートされていません.

IVPNには現在、10個のWireGuardサーバーの場所があります.

https://www.ivpn.net/

その他のWireGuard VPNプロバイダー

また、WireGuardを追加する意向を公に表明しているが、まだ実装の準備が整っていないVPNサービスがいくつかあります.

NordVPN

NordVPNは現在WireGuardをサポートしていませんが、積極的にテストし、準備ができたらリリースの準備をしています.

プライベートインターネットアクセス

プライベートインターネットアクセスは、WireGuardの大きな支持者であり、その目的にも寄付しています。それにも関わらず、redditで説明されているように、現在のステータスと監査の欠如のため、トリガーを引いてWireGuardをユーザーに提供する準備ができていません。

WireGuardは優れていますが、現在開発中です。これは、発見されるのを待っているセキュリティバグがあることを意味します、そして、早期採用者であるVPNプロバイダーにとって深刻な結果があるかもしれません。セキュリティまたはプライバシー侵害は、組織としてとることができないリスクです.

WireGuard VPNの未来

それでは、WireGuard VPNの将来はどうなるのでしょうか?

WireGuardが完全にリリースされ、監査され、通常の使用のためにクリアされると、VPNユーザーベースに好評を博していることを前提に、引き続き人気が高まるでしょう。人気と需要の増加により、より多くのVPNサービスがWireGuardをインフラストラクチャに組み込むことを確信できます。現在、上位のVPNサービスの多くはWireGuardをサポートしていませんが、時間の経過とともに変化する可能性があります.

ユーザーの関心により、早期導入者とさまざまなVPNプロバイダーがWireGuardの実装をマーケティングツールとして使用し、プレスリリース(**咳** テストのためだけに **咳**)。この傾向は今後も続くでしょう.

WireGuardはモバイルユーザーに人気のあるプロトコルになる可能性がありますが、実際にはいくつかの利点があります.

この新しいVPNプロトコルを試してみたい場合は、上記のWireGuard VPNサービスのいずれかで試してみてください。必ず考慮してください プライバシーとセキュリティへの影響 プロジェクトの現在の状態が与えられます。ただし、WireGuardが完全にリリースされて監査されるまでは、OpenVPNまたはIPSecを定期的に使用することをお勧めします.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me