wireguard


WireGuard är ett intressant nytt VPN-protokoll som har potential att göra stora förändringar i VPN-branschen. I jämförelse med befintliga VPN-protokoll, som OpenVPN och IPSec, kan WireGuard erbjuda snabbare hastigheter och bättre tillförlitlighet med nya och förbättrade krypteringsstandarder.

Även om det erbjuder några lovande funktioner när det gäller enkelhet, hastighet och kryptografi, har WireGuard också några anmärkningsvärda nackdelar, som vi kommer att diskutera i längden nedan.

I den här femdelade WireGuard VPN-guiden kommer vi att täcka:

  1. Vad är WireGuard
  2. WireGuard Pros
  3. WireGuard Cons (varför det inte rekommenderas ännu)
  4. Vilka VPN-leverantörer som för närvarande stöder WireGuard
  5. WireGuards framtid

Så låt oss dyka in!

Vad är WireGuard?

WireGuard är ett nytt, experimentellt VPN-protokoll som syftar till att erbjuda en enklare, snabbare och säkrare lösning för VPN-tunnling än de befintliga VPN-protokollen. WireGuard har några stora skillnader jämfört med OpenVPN och IPSec, som kodstorlek (under 4 000 rader!), Hastighet och krypteringsstandarder.

Utvecklaren bakom WireGuard är Jason Donenfeld, grundaren av Edge Security. (Termen "WireGuard" är också ett registrerat varumärke för Donenfeld.) I en intervju som jag såg, sa Donenfeld att idén till WireGuard kom när han bodde utomlands och behövde en VPN för Netflix.

Varför finns det så mycket surr runt WireGuard?

Tja, det erbjuder vissa potentiella fördelar jämfört med befintliga VPN-protokoll, som vi kommer att diskutera vidare nedan. Det har till och med fångat uppmärksamheten från Linus Torvalds, utvecklaren bakom Linux, som hade detta att säga i Linux Kernel Mailing List:

Kan jag än en gång säga min kärlek till [WireGuard] och hoppas att den snart kommer att slås samman? Kanske är koden inte perfekt, men jag har skummat den, och jämfört med skräcken som är OpenVPN och IPSec, är det ett konstverk.

Låt oss först undersöka fördelarna med WireGuard.

WireGuard Pros

Här är några av de "proffsen" som WireGuard erbjuder:

1. Uppdaterad kryptering

Som förklarats i olika intervjuer ville Jason Donenfeld uppgradera vad han ansåg vara "föråldrade" protokoll med OpenVPN och IPSec. WireGuard använder följande protokoll och primitiv, som beskrivs på sin webbplats:

  • ChaCha20 för symmetrisk kryptering, autentiserad med Poly1305, med RFC7539s AEAD-konstruktion
  • Curve25519 för ECDH
  • BLAKE2 för hashing och nyckel hasning, beskrivet i RFC7693
  • SipHash24 för hashtabla nycklar
  • HKDF för nyckelderering, såsom beskrivs i RFC5869

Du kan lära dig mer om WireGuards moderna kryptografi på den officiella webbplatsen eller i den tekniska vitboken.

2. Enkel och minimal kodbas

WireGuard sticker verkligen ut vad gäller sin kodbas, som för närvarande är cirka 3 800 linjer. Detta står i skarp kontrast till OpenVPN och OpenSSL, som tillsammans har cirka 600 000 linjer. IPSec är också skrymmande på cirka 400 000 totala linjer med XFRM och StrongSwan tillsammans.

Vilka är fördelarna med en mindre kodbas?

  1. Det är mycket lättare att granska. OpenVPN skulle ta ett stort team många dagar att granska. En person kan läsa igenom WireGuards kodbas på några timmar.
  2. Lättare att granska = lättare att hitta sårbarheter, vilket hjälper till att hålla WireGuard säkert
  3. Mycket mindre attackyta jämfört med OpenVPN och IPSec
  4. Bättre prestanda

Medan den mindre kodbasen verkligen är en fördel, återspeglar den också vissa begränsningar, som vi kommer att diskutera nedan.

3. Prestandaförbättringar

Hastigheter kan vara en begränsande faktor för VPN: er - av många olika skäl. WireGuard är utformad för att erbjuda betydande förbättringar när det gäller prestanda:

En kombination av extremt höghastighets kryptografiska primitiv och det faktum att WireGuard bor i Linux-kärnan gör att säkert nätverk kan vara mycket snabbt. Den är lämplig för både små inbäddade enheter som smartphones och fulladdade ryggradsrutrar.

Teoretiskt sett bör WireGuard erbjuda förbättrade prestanda på sättet att:

  • Snabbare hastigheter
  • Bättre batteritid med telefoner / surfplattor
  • Bättre roamingstöd (mobila enheter)
  • Mer tillförlitlighet
  • Snabbare vid upprättande av anslutningar / återanslutningar (snabbare handskakning)

WireGuard bör vara fördelaktigt för mobila VPN-användare. Med WireGuard, om din mobila enhet ändrar nätverksgränssnitt, som att byta från WiFi till mobil- / celldata, kommer anslutningen att förbli så länge VPN-klienten fortsätter att skicka autentiserad data till VPN-servern.

4. Användarvänlighet över plattformar

Även om WireGuard ännu inte är redo för prime time, bör fungera mycket bra på olika plattformar. WireGuard stöder Mac OS, Android, iOS och Linux, med Windows-support som fortfarande är under utveckling.

En annan intressant funktion med WireGuard är att den använder offentliga nycklar för identifiering och kryptering, medan OpenVPN använder certifikat. Detta skapar dock vissa problem för att använda WireGuard i en VPN-klient, till exempel nyckelgenerering och hantering.

WireGuard Cons

wireguard vpn-tjänstÄven om WireGuard erbjuder många spännande fördelar, har det för närvarande några anmärkningsvärda nackdelar.

1. Fortfarande under "tung" utveckling, inte redo, inte granskad

Trots att WireGuard förblir under "tung utveckling" och ännu inte är redo för allmän användning, finns det många som vill använda det direkt som sitt primära VPN-protokoll. Du kan hitta massor av WireGuard-marknadsföring på reddit och olika forum - dvs jagar den senaste VPN-trenden.

Det måste påpekas att WireGuard inte är komplett, den har inte godkänt en säkerhetsrevision och utvecklarna varnar uttryckligen för att lita på den aktuella koden:

WireGuard är ännu inte komplett. Du bör inte lita på den här koden. Det har inte genomgått korrekt grader av säkerhetsrevision och protokollet kan fortfarande ändras. Vi arbetar för en stabil 1.0-version, men den tiden har ännu inte kommit.

Ändå finns det en handfull VPN som gör sig redo eller erbjuder WireGuard-support just nu. Vid denna tidpunkt bör du dock bara använda WireGuard endast för teständamål.

2. WireGuard sekretessproblem och loggar

Även om WireGuard kan erbjuda fördelar när det gäller prestanda och säkerhet, är det genom design inte bra för integriteten.

Ett antal VPN-leverantörer har uttryckt oro över WireGuards förmåga att användas utan loggar och hur detta kan påverka användarnas integritet.

AzireVPN, en av de första VPN: erna som implementerade WireGuard, hade detta att säga förra året:

På AzireVPN bryr vi oss om vår policy för att inte logga in, det är därför alla våra servrar körs på diskless hårdvara och alla loggfiler rörs till / dev / null.

Men när det gäller WireGuard är standardbeteendet att ha slutpunkt och tillåtet-ip synligt i servergränssnittet, vilket egentligen inte fungerar med vår integritetspolicy. Vi borde inte veta om din käll-IP och kan inte acceptera att den är synlig på våra servrar.

 försökte ta reda på dessa problem genom att anställa Jason Donenfeld för att "skriva en rootkit-liknande modul som tar bort en vanlig systemadministratörs förmåga att fråga slutpunkt eller tillåten-ip-information om WireGuard-kamrater och inaktivera förmågan att köra tcpdump" (se här).

Perfekt integritet hävdade att WireGuard är det “Inte användbar utan loggar” i en intressant:

WireGuard har ingen dynamisk adresshantering, klientadresserna är fixade. Det betyder att vi måste registrera alla aktiva enheter hos våra kunder och tilldela de statiska IP-adresserna på var och en av våra VPN-servrar. Dessutom måste vi lagra den senaste inloggningsstämpeln för varje enhet för att återkrava oanvända IP-adresser. Våra användare skulle då inte kunna ansluta dina enheter efter några veckor eftersom adresserna skulle ha tilldelats om.

Det är särskilt viktigt för oss att vi inte skapar eller lagrar några anslutningsloggar alls. Därför kan vi inte lagra ovanstående registrerings- och inloggningsdata som för närvarande skulle krävas för att WireGuard ska fungera.

VPN.ac väckte liknande oro över WireGuards brister när det gäller användarnas integritet:

Integritetshänsyn: enligt design är WireGuard inte lämplig för ingen / begränsad loggningspolicy. Specifikt skulle den senaste offentliga IP-adressen för användaren sparas på den del som används för att ansluta till och den kan inte tas bort inom en dag enligt vår nuvarande sekretesspolicy. Vid ett senare tillfälle kommer vi troligen att göra några justeringar till källkoden för att sanera eller ta bort den senast använda offentliga IP.

ExpressVPN är en annan VPN-tjänst som uttryckte oro över WireGuards utformning av dess konsekvenser för integritet:

En av de utmaningar som WireGuard står inför är att säkerställa anonymitet för VPN: er. Ingen enskild användare ska statiskt tilldelas en enda IP-adress, varken på ett offentligt eller ett virtuellt nätverk. En användares interna IP-adress kan upptäckas av en motståndare (till exempel via WebRTC), som sedan kan matcha den med poster som förvärvats från en VPN-leverantör (genom stöld, försäljning eller lagligt beslag). Ett bra VPN måste inte kunna matcha en sådan identifierare till en enda användare. För närvarande uppnås inte denna installation med WireGuard.

ExpressVPN kommer att stödja insatserna för att granska och granska WireGuard-koden, som vi tidigare gjort med OpenVPN. Vi kommer att bidra med kod och rapportera buggar när vi kan och höja säkerhets- och integritetsfrågor direkt med utvecklingsgruppen.

AirVPN har också chimat in över WireGuards implikationer för anonymitet, vilket förklaras i deras forum:

Wireguard, i sitt nuvarande tillstånd, är inte bara farligt eftersom det saknar grundläggande funktioner och är en experimentell mjukvara, utan också försvagar farligt anonymitetslagret. Vår tjänst syftar till att tillhandahålla något anonymitetslager, därför kan vi inte ta hänsyn till något som försvagar det så djupt.

Vi kommer gärna att ta hänsyn till Wireguard när den når en stabil release OCH erbjuder åtminstone de mest grundläggande alternativen som OpenVPN har kunnat erbjuda sedan 15 år sedan. Infrastrukturen kan anpassas, vårt uppdrag kan inte.

I deras forum förklarades ytterligare varför WireGuard helt enkelt inte uppfyller deras krav:

  • Wireguard saknar dynamisk IP-adresshantering. Klienten måste tilldelas i förväg en fördefinierad VPN IP-adress som är unikt kopplad till dess nyckel på varje VPN-server. Påverkan på anonymitetslagret är katastrofalt;
  • Wireguard-klienten verifierar inte serveridentiteten (en funktion som är så viktig att den säkert kommer att implementeras när Wireguard inte längre kommer att vara ett experimentellt program); påverkan på säkerheten orsakad av denna brist är mycket stor;
  • TCP-stöd saknas (tredje part eller i alla fall ytterligare kod krävs för att använda TCP som tunnelprotokoll, som du föreslår, och det är en hemsk regression jämfört med OpenVPN);
  • det finns inget stöd för att ansluta Wireguard till en VPN-server via någon proxy med olika autentiseringsmetoder.

Trots dessa oro har många VPN-tjänster redan lanserat fullt stöd för WireGuard. Andra VPN: er tittar på projektet och är intresserade av att implementera WireGuard efter att det har granskats och förbättrats noggrant.

Under tiden, men som AirVPN uttalade i sitt forum:

"Vi kommer inte att använda våra kunder som testare."

3. Nytt och otestat

Visst har OpenVPN sina problem, men har också en lång meritlista och är ett beprövat VPN-protokoll med omfattande revision. Medan Donenfeld kan hänvisa till OpenVPN som "föråldrad" i olika intervjuer, kan andra se det som beprövade och pålitliga - egenskaper som WireGuard för närvarande saknar.

Ursprungligen släpptes 2001, OpenVPN har en mycket lång historia. OpenVPN drar också nytta av en stor användarbas och aktiv utveckling med regelbundna uppdateringar. I maj 2017 genomgick den en större revision av OSTIF, Open Source Technology Improvement Fund.

Vid denna punkt verkar WireGuard vara mer ett nischprojekt - men ett med potential för branschen. Den är väldigt ny och har ännu inte gått ut ur den "tunga utvecklingsfasen", även om den har genomgått en formell kontroll. Även efter att WireGuard officiellt har släppts skulle användare dock vara kloka att fortsätta med försiktighet.

4. Begränsad adoption (för tillfället)

Som vi behandlade ovan finns det några stora hinder i vägen för WireGuard-branschens antagande:

  • Problemet med nyckelhantering och distribution (snarare än att använda certifikat).
  • WireGuard behöver sin egen infrastruktur, separat från befintliga OpenVPN-servrar.
  • Kompatibilitet med befintlig verksamhet. För leverantörer som har byggt sin tjänst och funktioner runt OpenVPN, kanske WireGuard inte är i korten snart.

Perfekt sekretess att WireGuard inte är kompatibel med deras befintliga funktioner på serversidan, till exempel multi-hop VPN-kaskader, TrackStop och NeuroRouting. Icke desto mindre räckte jag till Perfect Privacy och de bekräftade att de kan stödja WireGuard som ett fristående alternativ vid ett senare tillfälle.

På samma sätt uttalade AirVPN också att WireGuard är "helt oanvändbar" med sin infrastruktur:

Just nu är det det helt oanvändbar i vår infrastruktur eftersom det saknar TCP-stöd, saknar dynamisk VPN IP-tilldelning och (åtminstone den byggnad vi har sett) saknar en strikt nödvändig säkerhetsfunktion (verifiering av CA-certifikatet från servern, därför kan klienten inte vara säker på att på andra sidan någon fientlig enhet inte efterliknar sig en VPN-server).

Slutsats: rekommenderas inte

Med tanke på det nuvarande läget i WireGuard, konsekvenserna av integriteten och det faktum att det inte har granskats rekommenderas inte WireGuard för regelbundet bruk.

Dessutom är integritetsproblemen som ingår i WireGuard (efter design!) En stor nackdel.

Detta kommer sannolikt inte att förbättras och det tvingar VPN-tjänster att skapa någon form av unik out-of-the-box-lösning för att få den att fungera med deras policyer utan loggar, som vi såg ovan med AzireVPN. Denna nackdel påverkar inte OpenVPN.

Trots detta kan WireGuard vara idealisk för vissa användare, beroende på deras hotmodell och specifika behov. För närvarande skulle det emellertid vara klokt att stanna med OpenVPN eller kanske IPSec för regelbundet bruk.

Vilka VPN-tjänster stöder WireGuard?

Här är VPN: er som för närvarande stöder WireGuard eller har bekräftat att de testar WireGuard med avsikt att stödja protokollet när det är klart:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. mullvad
  5. IVPN
  6. NordVPN (fortfarande i test)
  7. Privat internetåtkomst (fortfarande i test)

Nu tittar vi närmare på var och en av dessa WireGuard VPN-tjänster nedan.

1. AzireVPN - WireGuard-servrar lever

AzireVPN är en Sverige-baserad VPN-tjänst som är fokuserad på integritet och säkerhet. Det var en av de tidigaste antagarna av WireGuard och har ett WireGuard-avsnitt:

Vi har utvecklat ett API för nyckeldistribution och ser på att lägga till WireGuard till vår klient. För närvarande kan detta protokoll användas på Windows, Linux, macOS, Android och routrar som kör OpenWRT, men stöd för Windows kommer snart. Registrera dig bara för att ansluta till alla våra WireGuard-servrar, tillgängliga på vart och ett av våra platser.

Notera: AzireVPN stöder för närvarande Windows-användare via tredje part TunSafe VPN-klient. Det finns emellertid inget officiellt WireGuard-stöd för Windows för närvarande och utvecklaren rekommenderar att du inte använder tredje parts klienter:

En Windows-klient kommer snart. Under tiden rekommenderas du starkt att hålla sig borta från Windows-klienter som inte släpps från den här webbplatsen, eftersom de kan vara farliga att använda, trots marknadsföringsinsatser.

2. VPN.ac - WireGuard-servrar lever

är en rumänsk VPN-tjänst som jag har använt och testat i flera år (se VPN.ac-granskningen).

VPN.ac meddelade på sin blogg att de efter att ha testat WireGuard internt har beslutat att stödja protokollet. Som de förklarade på sin (blogg):

Ursprungligen kommer den att finnas tillgänglig i beta. Implementeringen är lite utmanande på grund av WireGuards design som inte gör att den passar in i vår infrastruktur.

Vi vill att implementeringen ska vara så bra och enkel som möjligt från början och helt automatiserad. Detta kräver en hel del arbete på baksidan: API: er, servrar som synkroniserar nycklar och så vidare. Inte lika lätt som att skjuta upp ännu en server, men definitivt genomförbart.

VPN.ac har lagt fram tre steg för att fullt integrera WireGuard i deras tjänst:

  • Steg 1: designa och distribuera back-end API: er
  • Steg 2: front-end tillgänglighet av konfigurationsgenerator för manuell installation / tredje parts klientprogramvara
  • Steg 3: implementering i våra VPN-klientappar

Om du vill testa WireGuard med VPN.ac, erbjuder de (se FAQ-sida), vilket ger dig en full vecka prenumerationsavgift för $ 2.

3. TorGuard - WireGuard-servrar lever

TorGuard är en amerikansk VPN-tjänst som jag hittat har bra prestanda och många funktioner, inklusive e-posttjänster, dedikerade IP-adresser och strömningspaket.

TorGuard-webbplatsen har olika guider för installation av TorGuard på olika enheter.

4. Mullvad - WireGuard-servrar lever

bästa vpn för wireguard

Liksom AzireVPN är Mullvad också baserad i Sverige och var en av de första VPN-enheterna som implementerade WireGuard.

Mullvad stöder för närvarande WireGuard på Linux, Mac OS, Android och vissa routrar. De har också ett stort nätverk av aktiva WireGuard-servrar (49 totalt) förutom 281 OpenVPN-servrar.

https://mullvad.net/

5. IVPN - WireGuard-servrar lever

ivpn wireguard

IVPN är en Gibraltar-baserad VPN-tjänst som också stöder WireGuard. Det ser ut som IVPN är den första leverantören som bygger WireGuard till sina egna VPN-klienter, vilket de förklarar på sin webbplats, vilket är intressant eftersom koden fortfarande är under utveckling. Som IVPN: s förklarar på sin webbplats:

WireGuard är tillgänglig på vår macOS, iOS & Android-klienter. Du kan också ansluta med de flesta Linux-distros. WireGuard stöds inte på Windows just nu.

IVPN har för närvarande 10 WireGuard-serverplatser.

https://www.ivpn.net/

Andra WireGuard VPN-leverantörer

Det finns också några olika VPN-tjänster som offentligt har angett sina avsikter att lägga till WireGuard, men ännu inte är redo för implementering.

NordVPN

NordVPN stöder för närvarande inte WireGuard, men de testar det aktivt och förbereder sig för en release när den är klar.

Privat internetuppkoppling

Privat Internet-åtkomst är en stor anhängare av WireGuard och har också donerat till orsaken. Ändå är det inte redo att dra avtryckaren och erbjuda WireGuard till sina användare på grund av den aktuella statusen och bristen på en granskning, som de förklarade på reddit:

WireGuard är bra, men det är under aktiv utveckling. Detta innebär att det finns säkerhetsbugg som väntar på att bli hittade, och det kan få allvarliga konsekvenser för VPN-leverantörer som är tidiga adoptörer. Ett säkerhets- eller sekretessbrott är en risk som vi inte kan ta som organisation.

Framtiden för WireGuard VPN

Så vad har framtiden för WireGuard VPN?

När WireGuard har släppts fullt ut, granskats och rensats för regelbundet bruk kommer den sannolikt att fortsätta att vinna popularitet - förutsatt att det är väl mottaget av VPN-användarbasen. Med ökande popularitet och efterfrågan kan du vara säker på att fler VPN-tjänster kommer att integrera WireGuard i sin infrastruktur - även om det kommer med vissa växande smärtor. Även om många av de bästa VPN-tjänsterna för närvarande inte stöder WireGuard, kan det ändras över tid.

På grund av användarintresse ser vi redan tidiga adoptörer och olika VPN-leverantörer som använder deras WireGuard-implementering som ett marknadsföringsverktyg, med tillhörande pressmeddelanden (** hosta **) bara för att testa **hosta**). Denna trend kommer sannolikt att fortsätta.

WireGuard kan bli ett populärt protokoll för mobilanvändare, där det verkligen erbjuder vissa fördelar.

Om du vill prova det här nya VPN-protokollet kan du testa det med en av WireGuard VPN-tjänsterna ovan. Se till att överväga konsekvenser för integritet och säkerhet med tanke på projektets nuvarande tillstånd. Tills WireGuard är helt släppt och granskad, är det dock bäst att hålla sig med OpenVPN eller IPSec för regelbundet bruk.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me