线卫


WireGuard是一种有趣的新VPN协议,它有可能为VPN行业带来重大变化。与现有的VPN协议(例如OpenVPN和IPSec)相比,WireGuard可以通过新的和改进的加密标准提供更快的速度和更高的可靠性。.

WireGuard在简单性,速度和加密方面确实提供了一些有希望的功能,但WireGuard也有一些值得注意的缺点,我们将在下面详细讨论。.

在这份由五部分组成的WireGuard VPN指南中,我们将介绍:

  1. 什么是WireGuard
  2. WireGuard的优点
  3. WireGuard缺点(为什么不建议这样做)
  4. 目前哪些VPN提供商支持WireGuard
  5. WireGuard的未来

因此,让我们深入!

什么是WireGuard?

WireGuard是一种新型的实验性VPN协议,旨在为VPN隧道提供比现有VPN协议更简单,更快,更安全的解决方案。与OpenVPN和IPSec相比,WireGuard具有一些主要差异,例如代码大小(小于4,000行!),速度和加密标准。.

WireGuard的开发者是Edge Security的创始人Jason Donenfeld。 (术语“ WireGuard”也是Donenfeld的注册商标。)在我观看的一次采访中,Doenfeld表示WireGuard的想法来自他居住在海外并且需要Netflix的VPN.

为什么WireGuard周围有这么多嗡嗡声?

好的,与现有的VPN协议相比,它确实具有一些潜在的优势,我们将在下面进一步讨论。它甚至引起了Linux背后的开发人员Linus Torvalds的注意,他在Linux内核邮件列表中有这样的说法:

我可以再说一次我对[WireGuard]的热爱,并希望它能很快合并吗?也许代码不是完美的,但我已经略过了,与OpenVPN和IPSec的恐怖相比,这是一件艺术品.

首先,我们来看看WireGuard的优势.

WireGuard的优点

以下是WireGuard提供的一些“专家”:

1.更新的加密

正如在各种采访中所解释的那样,Jason Donenfeld希望使用OpenVPN和IPSec升级他认为是“过时”的协议。 WireGuard使用以下协议和原语,如其网站所述:

  • ChaCha20用于对称加密,使用RFC7539的AEAD结构通过Poly1305进行身份验证
  • ECDH的Curve25519
  • 用于哈希和键控哈希的BLAKE2,如RFC7693中所述
  • SipHash24用于哈希表键
  • HKDF用于密钥派生,如RFC5869中所述

您可以在官方网站或技术白皮书中了解有关WireGuard现代加密技术的更多信息.

2.简单而最少的代码库

WireGuard的代码库确实很出色,目前大约3,800行。这与OpenVPN和OpenSSL形成鲜明对比,两者合起来大约有60万行。结合XFRM和StrongSwan,IPSec的总行数也高达40万条.

较小的代码库有哪些优势?

  1. 审计要容易得多。 OpenVPN将需要一个大型团队进行数天的审核。一个人可以在几个小时内阅读WireGuard的代码库.
  2. 易于审核=更容易发现漏洞,有助于确保WireGuard安全
  3. 与OpenVPN和IPSec相比,攻击面小得多
  4. 更好的性能

虽然较小的代码库确实是一个优势,但它也反映了一些局限性,我们将在下面讨论.

3.性能提升

速度可能是VPN的限制因素–有许多不同的原因。 WireGuard旨在在性能方面进行重大改进:

结合了极高速度的加密原语和WireGuard驻留在Linux内核中的事实,这意味着安全的联网速度可能非常快。它适用于智能手机等小型嵌入式设备以及满载的骨干路由器.

从理论上讲,WireGuard应该通过以下方式提供改进的性能:

  • 更快的速度
  • 手机/平板电脑的电池寿命更长
  • 更好的漫游支持(移动设备)
  • 更高的可靠性
  • 建立连接/重新连接的速度更快(握手更快)

WireGuard应该对移动VPN用户有利。使用WireGuard,如果您的移动设备更改了网络接口,例如从WiFi切换到移动/蜂窝数据,则只要VPN客户端继续将经过身份验证的数据发送到VPN服务器,连接就将保持不变.

4.跨平台的易用性

虽然尚未做好准备,但WireGuard在不同平台上应能很好地工作。 WireGuard支持Mac OS,Android,iOS和Linux,而Windows支持仍在开发中.

WireGuard的另一个有趣功能是,它使用公钥进行标识和加密,而OpenVPN使用证书。但这确实为在VPN客户端中使用WireGuard带来了一些问题,例如密钥生成和管理.

WireGuard缺点

Wireguard VPN服务虽然WireGuard具有许多令人兴奋的优点,但目前存在一些值得注意的缺点.

1.仍处于“大”发展中,尚未准备就绪,尚未经过审计

尽管WireGuard仍处于“繁重的开发”中,尚未准备好普遍使用,但仍有许多人希望立即将其用作其主要VPN协议。您可以在reddit和各种论坛上找到许多WireGuard促销活动-即追赶最新的VPN趋势.

必须指出的是,WireGuard不完整,尚未通过安全审核,并且开发人员明确警告您信任当前代码:

WireGuard尚未完成. 您不应依赖此代码. 它尚未经过适当程度的安全审核,并且协议仍可能更改。我们正在努力开发稳定的1.0版本,但是还没有到时候.

但是,目前有少数VPN正在准备就绪或提供WireGuard支持。但是,此时,您仅应使用WireGuard 仅用于测试目的.

2. WireGuard隐私问题和日志

虽然WireGuard可能会在性能和安全性方面提供优势,但从设计上讲,它不利于隐私.

许多VPN提供商对WireGuard无需使用日志的功能以及这可能会如何影响用户隐私表示关注.

AzireVPN, 去年有这样的说法是最早实现WireGuard的VPN之一:

在AzireVPN,我们关心我们的无日志记录政策,这就是为什么我们所有服务器都在无盘硬件上运行并且所有日志文件都通过管道传输到/ dev / null的原因.

但是,当涉及到WireGuard时,默认行为是在服务器界面中显示终结点和允许的IP,这实际上与我们的隐私政策不兼容。我们不应该知道您的源IP,也不能接受将其显示在我们的服务器上.

 试图通过雇用Jason Donenfeld来解决这些问题,以“编写类似于rootkit的模块,该模块消除了普通系统管理员查询有关WireGuard对等方的终结点或允许的IP信息并禁用运行tcpdump的能力”(请参见此处).

完美的隐私 认为WireGuard是 “没有日志就无法使用” 在一个有趣的:

WireGuard没有动态地址管理,客户端地址是固定的。这意味着我们必须注册客户的每台活动设备,并在每台VPN服务器上分配静态IP地址。另外,我们必须存储每个设备的最后登录时间戳,以便回收未使用的IP地址。几周后,我们的用户将无法连接您的设备,因为地址将被重新分配.

对我们而言特别重要的是,我们根本不创建或存储任何连接日志。因此,我们无法存储WireGuard运行所需的上述注册和登录数据。.

虚拟专用网 对WireGuard在用户隐私方面的缺陷提出了类似的担忧:

隐私注意事项:根据设计,WireGuard不适合无限制日志记录策略。具体来说,根据我们当前的隐私权政策,用户的最后一个公共IP将保存在用于连接的服务器上,并且无法在一天之内删除。稍后我们可能会对源代码进行一些调整,以清理或删除上次使用的公共IP.

ExpressVPN 是另一项VPN服务,它对WireGuard的设计及其对隐私的影响表示担忧:

WireGuard面临的挑战之一是确保VPN的匿名性。在公共网络或虚拟网络上,都不应为单个用户静态分配单个IP地址。攻击者可能会发现用户的内部IP地址(例如,通过WebRTC),然后攻击者便可以将其与从VPN提供商处获取的记录进行匹配(通过盗窃,出售或合法扣押)。好的VPN必须无法将这样的标识符与单个用户匹配。当前,使用WireGuard很难实现此设置.

正如我们过去使用OpenVPN所做的那样,ExpressVPN将支持检查和审核WireGuard代码的工作。我们将尽可能地贡献代码并报告错误,并直接向开发团队提出安全性和隐私问题.

空中VPN 在论坛上解释了WireGuard对匿名性的暗示:

在当前状态下,Wireguard不仅很危险,因为它缺少基本功能并且是实验软件,而且还很危险地削弱了匿名层。我们的服务旨在提供一些匿名层,因此我们无法考虑会严重削弱它的因素.

当Wireguard达到稳定版本时,我们将很高兴地考虑它,并至少提供15年来OpenVPN能够提供的最基本的选项。基础设施可以调整,我们的使命不能.

在他们的论坛中,进一步解释了WireGuard为什么根本不满足他们的要求:

  • Wireguard缺乏动态IP地址管理。客户端需要预先分配一个预定义的VPN IP地址,该IP地址唯一链接到每个VPN服务器上的其密钥。对匿名层的影响是灾难性的。
  • Wireguard客户端不会验证服务器身份(一项非常重要的功能,当Wireguard不再是实验性软件时,一定会实现该功能);此缺陷对安全性的影响非常大;
  • 缺少TCP支持(如您建议的那样,使用第三方作为隧道协议必须使用第三方或任何其他代码,与OpenVPN相比,这是可怕的退步);
  • 不支持使用多种身份验证方法通过某些代理将Wireguard连接到VPN服务器.

尽管存在这些担忧,但许多VPN服务已经推出了完整的WireGuard支持。其他VPN正在监视该项目,并且在对WireGuard进行了彻底的审核和改进之后,有兴趣实施WireGuard.

然而,与此同时,正如AirVPN在其论坛中所说:

“我们不会将客户用作测试人员。”

3.全新且未经测试

当然,OpenVPN有其问题,但它也有很长的记录,并且是经过验证的VPN协议,具有大量审核功能。尽管Donenfeld在各种采访中可能都将OpenVPN称为“过时的”,但其他人可能将其视为可靠且值得信赖的– WireGuard当前缺乏的品质.

OpenVPN最初于2001年发布,历史悠久。 OpenVPN还受益于庞大的用户群和定期更新的积极开发。 2017年5月,它接受了开源技术改进基金OSTIF的重大审核.

在这一点上,WireGuard似乎更像是一个利基项目,但对行业具有潜力。尽管它已经过正式验证,但它是非常新的并且尚未脱离“大规模发展”阶段。即使在WireGuard正式发布之后,用户还是应该谨慎行事。.

4.限制采用(暂时)

如上所述,在整个行业范围内采用WireGuard的过程中遇到了一些大障碍:

  • 密钥管理和分发(而不是使用证书)的问题.
  • WireGuard需要自己的基础架构,与现有的OpenVPN服务器分开.
  • 与现有操作的兼容性。对于已经围绕OpenVPN建立其服务和功能的提供商,WireGuard可能不会很快出现。.

WireGuard与现有的服务器端功能(例如多跳VPN级联,TrackStop和NeuroRouting)不兼容的完美隐私。但是,我联系了Perfect Privacy,他们确认以后可能会支持WireGuard作为独立选项。.

同样,AirVPN还指出,WireGuard对其基础架构“完全无法使用”:

目前是 在我们的基础架构中完全无法使用 因为它缺乏TCP支持,缺乏动态VPN IP分配,并且(至少我们已经看到了该版本)缺乏严格必要的安全功能(服务器提供的CA证书的验证,因此客户端无法确定另一端,某些敌对实体没有冒充VPN服务器).

结论:不推荐

考虑到WireGuard的当前状态,隐私隐患以及未经审核的事实,建议不要定期使用WireGuard.

此外,WireGuard固有的隐私问题(通过设计!)是一个主要缺点。.

正如我们上面在AzireVPN中所看到的那样,这不太可能得到改善,并且它迫使VPN服务创建某种独特的开箱即用的解决方案以使其与他们的无日志策略一起使用。此缺点不会影响OpenVPN.

但是,WireGuard对于某些用户可能是理想的选择,具体取决于他们的威胁模型和特定需求。但是目前,明智的做法是将OpenVPN或IPSec保留下来以进行常规使用.

哪些VPN服务支持WireGuard?

以下是目前支持WireGuard或已确认正在测试WireGuard以便在协议准备好时对其进行支持的VPN:

  1. AzireVPN
  2. 虚拟专用网
  3. 护卫队
  4. 穆尔瓦德
  5. 虚拟专用网
  6. NordVPN(仍在测试中)
  7. 专用Internet访问(仍在测试中)

现在,我们将仔细研究以下每个WireGuard VPN服务.

1. AzireVPN – WireGuard服务器上线

AzireVPN是基于瑞典的VPN服务,专注于隐私和安全性。它是WireGuard的最早采用者之一,并具有WireGuard部分:

我们已经开发了用于密钥分发的API,并且正在考虑将WireGuard添加到我们的客户端。目前,该协议可以在Windows,Linux,macOS,Android和运行OpenWRT的路由器上使用,但即将支持Windows。只需注册即可连接到我们每个位置的所有WireGuard服务器.

注意:AzireVPN当前通过第三方TunSafe VPN客户端支持Windows用户。但是,目前尚无Windows的官方WireGuard支持,并且开发人员建议不要使用第三方客户端:

Windows客户端即将推出。同时,强烈建议您远离未从本站点发布的Windows客户端,因为尽管进行了营销努力,但使用它们仍可能会很危险。.

2. VPN.ac – WireGuard服务器上线

是罗马尼亚的VPN服务,我已经使用和测试了很多年(请参阅VPN.ac评论).

VPN.ac在他们的博客上宣布,在对WireGuard进行内部测试之后,他们决定支持该协议。正如他们在(博客)上解释的那样:

最初它将在beta中可用。由于WireGuard的设计无法立即将其安装到我们的基础架构中,因此实现起来有点挑战.

我们希望实现从头开始尽可能地好和简单,并且完全自动化。这需要在后端进行大量工作:API,服务器同步密钥等。不像启动另一个服务器那样容易,但是绝对可行.

VPN.ac安排了将WireGuard完全集成到其服务中的三个阶段:

  • 阶段1:设计和部署后端API
  • 第2阶段:用于手动设置/第三方客户端软件的配置生成器的前端可用性
  • 第三阶段:实施到我们的VPN客户端应用中

如果您想使用VPN.ac测试WireGuard,他们会提供(请参阅常见问题页面),从而为您提供为期一周的完整试用订阅,价格为2美元.

3. TorGuard – WireGuard服务器处于活动状态

我发现TorGuard是一项美国VPN服务,具有出色的性能和许多功能,包括电子邮件服务,专用IP地址和流捆绑.

TorGuard网站上有各种指南,可在不同设备上设置TorGuard.

4. Mullvad – WireGuard服务器上线

线卫的最佳VPN

与AzireVPN一样,Mullvad也位于瑞典,并且是最早实现WireGuard的VPN之一.

Mullvad当前在Linux,Mac OS,Android和某些路由器上支持WireGuard。除了281台OpenVPN服务器外,它们还具有由活动WireGuard服务器组成的大型网络(共49台).

https://mullvad.net/

5. IVPN – WireGuard服务器处于活动状态

ivpn线卫

IVPN是基于直布罗陀的VPN服务,也支持WireGuard。正如他们在网站上所解释的那样,IVPN似乎是第一个将WireGuard内置到其自己的VPN客户端中的提供商,这很有趣,因为该代码仍在开发中。正如IVPN在其网站上所述:

WireGuard在我们的macOS,iOS上可用 & Android客户端。您也可以使用大多数Linux发行版进行连接。 Windows目前不支持WireGuard.

IVPN当前有10个WireGuard服务器位置.

https://www.ivpn.net/

其他WireGuard VPN提供商

还有一些不同的VPN服务已公开表示打算添加WireGuard,但尚未准备好实施.

NordVPN

NordVPN目前不支持WireGuard,但他们正在积极对其进行测试,并准备在发布时准备发布.

私人上网

专用Internet访问是WireGuard的大力支持,并且也为该事业做出了贡献。尽管如此,由于当前状态和缺乏审核,它尚未准备好触发并向其用户提供WireGuard,正如他们在reddit上解释的那样:

WireGuard很棒,但是正在积极开发中。这意味着有待解决的安全漏洞,对于早期采用VPN的提供商可能会造成严重后果。安全或隐私泄露是我们作为组织无法承担的风险.

WireGuard VPN的未来

那么,WireGuard VPN的未来将如何发展??

假设WireGuard受到VPN用户的广泛欢迎,一旦WireGuard完全发布,经过审核并通过常规使用后,它很可能会继续流行。随着日益普及和需求的增加,您可以确保更多的VPN服务将WireGuard集成到其基础架构中,即使这会带来一些麻烦。尽管许多顶级VPN服务当前不支持WireGuard,但随着时间的流逝可能会发生变化.

由于用户的兴趣,我们已经看到早期采用者和各种VPN提供商将其WireGuard实施用作营销工具,并附带了新闻稿(**咳嗽** 仅用于测试 **咳嗽**)。这种趋势可能会持续下去.

WireGuard可能会成为移动用户的流行协议,它确实提供了一些优势.

如果您想尝试这个新的VPN协议,可以使用上面的WireGuard VPN服务之一对其进行测试。请务必考虑 隐私和安全隐患 给定项目的当前状态。但是,在WireGuard完全发布和审核之前,最好坚持使用OpenVPN或IPSec进行常规使用.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me