Reading Time: 6 minutes

WireGuard ist die neueste kostenfreie und Open-Source-Protokoll in der Welt der VPN-Dienste.

Es mag für Sie eine kleine Überraschung sein, aber die VPN-Industrie hat seit fast zwei Jahrzehnten kein Upgrade in Tunneling-Protokollen gesehen.

Dies kam im Jahr 2001 in Form des Open-Source OpenVPN, das ein etabliertes Protokoll ist, dem Experten in der Branche vertrauen.

Aber WireGuard ist alle eingestellt, um den Status von OpenVPN als das beste VPN-Protokoll in Frage zu stellen, einige der Probleme zu beheben, die darin endemisch sind.

In diesem Blog werde ich so einfach wie möglich erklären, was WireGuard ist und wie wir erwarten können, dass es die VPN-Industrie beeinflusst.

WireGuard – Ein Game Changer?

Ich höre Sie fast fragen: “Ist es wirklich notwendig, Tunnelprotokolle mit der Veröffentlichung eines weiteren zu verkomplizieren”?

Das ist eine durchaus berechtigte Frage. Schließlich ist WireGuard nur ein weiteres Protokoll in der bereits langen Liste, das OpenVPN, L2TP, SSTP, PPTP und IKEv2 enthält. Dies sind die Protokolle, die ich häufig stoßen, wenn ich VPN Bewertungen durchführen .

Also, was kann WireGuard möglicherweise anbieten, dass diese Protokolle nicht können?

Sehen wir uns einige der prominentesten Attribute an, die dieses neue Protokoll von denen unterscheiden, mit denen wir besser vertraut sind.

1. Einfachheit

Wenn es eine Eigenschaft gibt, um WireGuard zu definieren, ist es einfach. Und ich meine es in mehr als einer Hinsicht.

Zunächst einmal ist WireGuard viel einfacher als OpenVPN, weil es in Bezug auf seinen Code schlanker ist.

Die gebräuchlicheren VPN-Protokolle, d.h. OpenVPN und L2TP, nehmen jeweils rund 600.000 bzw. 400.000 Codezeilen auf.

Im Gegensatz dazu nimmt WireGuard weniger als 4.000 Codezeilen ein!

Das ist ein richtungsweisendes Maß an Unterschieden.

wireguard-simple

Kleinerer Code hat wichtige Vorteile. Zum Beispiel sind die Chancen, dass etwas schief geht und Fehler, die die Funktionalität beeinträchtigen, viel geringer, wenn Ihre Codebasis zunächst so klein ist.

Darüber hinaus hängt die Angriffsoberfläche oder die Exposition gegenüber Sicherheitsbedrohungen, die ein Code darstellt, von der Größe des Codes ab. Je länger sie dauert, desto anfälliger für Angriffe.

Lean Code ist also auch aus Sicherheitssicht von Vorteil.

Schließlich ist es viel einfacher und weniger zeitaufwändig, Code mit weniger Zeilen als einer zu überwachen, die mit Tausenden von Zeilen mehr zusammengeschüttet wird.

Kurz und einfach, einfacherer Code bedeutet:

  • Das Protokoll funktioniert eher reibungslos mit minimalen Schluckauf
  • Es ist sicherer, da es weniger Schwachstellen zu nutzen gibt
  • Es kann von einer einzelnen Person mit weniger als der Hälfte der Zeit geprüft werden, die für die Prüfung anderer Protokolle erforderlich ist.

Es ist erstaunlich, wie Einfachheit so viel auf einen Schlag verbessern kann. Und das ist das Markenzeichen von WireGuard.

2. Einfache Umsetzung

Die einfache Implementierung von WireGuard ergibt sich aus der Tatsache, dass es sich um ein versioniertes Protokoll handelt.

Das heißt, seine Upgrades werden in Form von aktualisierten Versionen veröffentlicht, die jeweils eine einzige Verschlüsselungsspezifikation enthalten, die für andere Versionen eindeutig ist.

Im Gegensatz dazu kann OpenVPN seine kryptografischen Algorithmen und Chiffren auf Wunsch des Administrators ändern.

Dies bedeutet, dass es keinen vereinbarten Standard zwischen dem Client und dem Server für einen OpenVPN-Benutzer gibt.

Daher dauert es länger, eine Verbindung herzustellen, da OpenVPN bei jeder Verbindung mit der Serverseite bestimmte Handshake- und Verschlüsselungsstandards aushandeln muss.

Auf der anderen Seite verwendet eine einzelne WireGuard-Version eine einzige Spezifikation, so dass der Server sofort alles erkennen kann, was er über die Verschlüsselung und andere verwendete Standards wissen muss.

Dies beschleunigt den gesamten Verbindungsprozess, was kein anderes Protokoll konnte.

3. Schnellere Leistung

WireGuard verspricht im Vergleich zu anderen Protokollen deutlich höhere Leistung und Geschwindigkeiten zu bieten.

Dies ist mit freundlicher Genehmigung der Tatsache, dass es im Kernel-Raum arbeitet, die eine hohe Geschwindigkeit-CPU-Nutzungsverhältnis hat.

Das heißt, Sie erhalten mehr Geschwindigkeit für eine bestimmte CPU-Auslastung im Vergleich zu IPSec oder OpenVPN.

WireGuard hat tatsächlich Einen Benchmark-Wert für Durchsatz und Ping-Zeiten für WireGuard, OpenVPN und zwei verschiedene IPSec-Varianten.

Throughput

Das Diagramm zeigt die CPU maxing aus bei 258 Mbps, während WireGuard fast vollständig erreicht die 1 Gbps Rate der Ethernet-Verbindung. Das ist ein Durchsatz von 98,7%!

Sie können den Unterschied zwischen allen getesteten VPN-Protokollen deutlich beobachten. Das Beste an WireGuard ist, dass die CPU-Auslastung auch bei dem beeindruckenden Durchsatz nicht optimal ausgelastet ist.

In Anbetracht der Tatsache, dass es noch in der Entwicklung und ist noch kein optimiertes Protokoll, diese Ergebnisse sind unglaublich beeindruckend.

Derselbe Benchmark testete auch die Ping-Zeiten von WireGuard sowie die anderen drei (3) Protokolle.

ping-time

Wieder einmal hat WireGuard die anderen Protokolle überflügelt, wobei der Unterschied das prominenteste ist.

Diese Ergebnisse sprechen für sich und sind ein Einblick in der Gesamtleistung von WireGuard.

4. Sichere Verschlüsselung

WireGuard widerspricht auch bei der Verwendung von Verschlüsselungsstandards und Algorithmen dem Strich. Die meisten Protokolle verwenden starke, aber veraltete Verschlüsselungsalgorithmen, um den VPN-Tunnel zu sichern.

WireGuard verwendet Verschlüsselungsalgorithmen, die keine anderen vorhandenen Protokoll unterstützen. Dies sind:

  • ChaCha20 (authentifiziert von Poly13045)
  • BLAKE2s (Hashing und Schlüssel-Hashing)
  • Kurve25519 (ECDH)
  • HKDF (Schlüsselableitung)
  • SipHash24 (Hash-Schlüssel)

Die Schlüssellänge für die Verschlüsselung ist jedoch auf 256 Bit begrenzt. Dies mag für einige Leute beunruhigend sein, aber lassen Sie uns echt sein, 256-Bit-Verschlüsselung ist bereits ein Overkill.

Dies wird deutlich, wenn Sie erkennen, dass eine 256-Bit-Verschlüsselungslänge 1,15 x 1077 verschiedene mögliche Tastenkombinationen bedeutet. Die Chancen, dass irgendein Kerl zufällig raten Sie Ihren richtigen Schlüssel ist 1 in 1.15 x 1077.

Sie werden eher Zeuge eines Rührei-Unscramble selbst, als Ihre Verschlüsselungsschlüssel richtig erraten zu bekommen.

Aber was ist mit Brute-Force-Angriffen?

wireguard-brute-force

Unter der Annahme, dass Sie einen Brute-Force-Angriff mit einem sehr schnellen Computer durchführen und das Glück haben, nach dem Erschöpfen der Hälfte der Tastenkombinationen auf die richtige Taste zu landen, müssen Sie immer noch 5,75 x 10 x 76 verschiedene Tasten ausprobieren.

Wenn Sie 100.000.000 Schlüssel pro Sekunde generieren (was weit über der durchschnittlichen Kapazität vorhandener Computersysteme liegt), müssen Sie 1,82 x 1061 Jahre warten, bevor Sie den richtigen Schlüssel finden.

Except that the entire universe would be dead by then, not just you

Außer, dass das ganze Universum bis dahin tot wäre, nicht nur du

Die Schlüssellänge ist also ein Faktor, der nur bis zu einem Punkt von Bedeutung ist. Danach wird es irrelevant, z. B. bei Schlüssellängen größer als 256 Bit.

Die eigentliche Frage ist die algorithmische Stärke und Effizienz der Verschlüsselung, die WireGuard verwendet.

Solange sicherheitslücken in den Verschlüsselungsalgorithmen von WireGuard nicht entdeckt werden, gibt es keinen Grund zur Beunruhigung, nur weil er auf kürzere Schlüssellängen beschränkt ist.

Die Tatsache, dass WireGuard der Prüfung von Sicherheitsprüfern und Kryptographen standgehalten hat (was noch im Gange ist), ist ermutigend für alle, die Zweifel an der Sicherheit des Protokolls haben.

In der Tat wird es nur besser sein als seine Pendants, da es neuere kryptografische Primer verwendet.

Aus Sicherheitssicht ist WireGuard daher älteren VPN-Protokollen weit voraus.

The Flipside

Okay, also haben wir alle wichtigen Möglichkeiten gesehen, wie WireGuard bereit ist, auf bestehende Tunneling-Protokolle zu springen.

Aber schauen wir unter den Teppich und sehen uns einige der potenziellen Probleme in WireGuard an.

Work in Progress

WireGuard ist ein kostenloses Open-Source-Projekt, das sich noch in der Entwicklung befindet. Es sind noch keine offiziellen stabilen Veröffentlichungen herausgekommen.

In seiner aktuellen Form können Sie sich nicht wirklich auf dieses Protokoll verlassen, da es wahrscheinlich Sicherheitslücken enthält.

wip

WireGuard-Status: In Entwicklung

Vergessen Sie nicht, dass das Protokoll noch nicht einer ordnungsgemäßen Sicherheitsüberwachung unterzogen wurde. All dies ist noch in Arbeit.

Obwohl wir genug wissen, um einigermaßen zuversichtlich in die Fähigkeiten von WireGuard zu sein, wenn es offiziell mit einem stabilen Build veröffentlicht wird, ist die Zeit noch einige Möglichkeiten in der Zukunft.

Mögliche Probleme mit bestimmten Funktionen

Der VPN-Dienst Perfect Privacy veröffentlichte vor einigen Monaten einen Artikel über WireGuard, in dem sie erwähnten, dass dieses Protokoll bestimmte Funktionen wie NeuroRouting und TrackStop nicht unterstützen kann.

Solche Probleme bleiben jedoch nicht unbedingt bestehen, wenn die fertige Version von WireGuard veröffentlicht wird. Wir können auch Varianten des Protokolls erwarten, die mit bestimmten VPN-Funktionen besser funktionieren.

Logging-Probleme

Eines der Hauptprobleme, die meine Aufmerksamkeit gestohlen, die von einigen VPN-Anbietern in Bezug auf die Unfähigkeit von WireGuard verwendet werden, ohne Benutzerinformationen zu protokollieren.

Wenn diese Bedenken zutrifft, wäre die Erwünschtheit von WireGuard als VPN-Protokoll ernsthaft in Frage gestellt.

Laut AzireVPN:

… Wenn es um WireGuard geht, ist das Standardverhalten, Endpunkt und erlaubte-IP in der Server-Schnittstelle sichtbar zu haben, was nicht wirklich mit unserer Datenschutzrichtlinie funktioniert. Wir sollten nicht über Ihre Quell-IP wissen und können nicht akzeptieren, dass sie auf unseren Servern sichtbar ist.

Jedoch, Diese Jungs waren in der Lage, über das Protokollierungsproblem mit Hilfe des Schöpfers von WireGuard Code selbst zu bekommen, Jason. Er schrieb im Grunde ein modifiziertes Rootkit-ähnliches Modul, das das Problem löste.

Perfect Privacy wies auch auf das gleiche Protokollierungsproblem hin. AirVPN hingegen hat Interesse an WireGuard gezeigt, aber auch erklärt, dass sie es erst dann in ihren Dienst einbeziehen werden, wenn sich eine stabile, von Experten geprüfte Version des Protokolls entwickelt hat.

logging

Das gemeinsame Thema in all diesen Aussagen und Anliegen dreht sich um die Tatsache, dass das Protokoll keineswegs ein fertiges Produkt ist.

Angesichts der Tatsache, dass einige der Probleme bereits angegangen werden, und der Tatsache, dass der Code zu diesem Zeitpunkt noch experimentell ist, werden die meisten der hervorgehobenen Probleme wahrscheinlich zu gegebener Zeit gelöst werden, wenn die Entwicklung des Protokolls weiter voranschreitet.

Zukünftige Implikationen

Trotz der Tatsache, dass WireGuard immer noch ein experimentelles Projekt ist, entpuppt es sich bereits als ein äußerst vielversprechendes Protokoll aus einer Reihe von wichtigen Gründen, die Geschwindigkeit und Sicherheit umfassen.

Die ersten Benchmarking-Tests sind definitiv bemerkenswert genug, um die Aufmerksamkeit von VPN-Anbietern und Nutzern zu gewinnen.

Ob das fertige Produkt dem Hype gerecht wird, ist eine andere Frage. Aber wenn die vorhandenen Audits, External-Audits, und Leistungstests sind etwas zu gehen, werden die Chancen zu Gunsten von WireGuard ausgerichtet.

Derzeit sollten Benutzer sich von der Verwendung dieses Protokolls fernhalten. Es ist so ziemlich nur von Interesse für Entwickler in seiner bestehenden experimentellen Form.

Eine stabile Veröffentlichung ist jedoch nicht so weit davon entfernt, das Licht der Welt zu sehen, wie wir annehmen könnten. Es ist sehr gut möglich, dass wir in den nächsten Monaten einen WireGuard v1.0 sehen werden.

Also, basierend auf allem, was wir in diesem Artikel besprochen haben, hier ist, was wir erwarten können, wenn dieses Protokoll endlich eine offizielle Version erhält:

  • Einfache Implementierung
  • Weniger Bugs
  • Schnelle Leistung
  • Geringe Anschlusszeiten
  • Hohe Funktionalität
  • Starke Sicherheit
  • Hervorragende plattformübergreifende Kompatibilität

WireGuard VPNs

Nach der erfolgreichen Einführung des WireGuard-Protokolls für Windows bieten viele VPN-Anbieter den WireGuard nun in ihren VPN-Paketen an. Einige der bekannten VPN-Anbieter, die dieses superschnelle Protokoll anbieten, sind

Dies sind die berühmten WireGuard VPNs.

Was Experten über WireGuard sagen

Seit Beginn des Projekts hat WireGuard viel Lob und Bewunderung von Codern und Software-Ingenieuren erhalten.

Linus Torvalds, der Schöpfer des Linux-Kernels, hatte dies dazu zu sagen:

Btw, zu einem nicht verwandten Thema: Ich sehe, dass Jason tatsächlich den Sog gemacht hat
Anforderung, drahteguard in den Kernel aufzunehmen.

Kann ich einfach noch einmal meine Liebe dazu zum Welterbringen machen und hoffe, dass sie zusammengeführt wird?
Bald? Vielleicht ist der Code nicht perfekt, aber ich habe ihn abgemagert und verglichen
zu den Schrecken, die OpenVPN und IPSec sind, ist es ein Kunstwerk.

Greg Kroah-Hartman verhehlte auch nicht seine Aufregung aus dem sich entwickelnden Protokoll und erklärte:

Es war toll zu sehen, wie Wireguard im Laufe der Jahre zu etwas reift, das wirklich gut funktioniert. In der vergangenen Woche hat es den LinuxCon/ELCE/Kernel Summit-Verkehr dank Konstantin Ryabitsev und packet.net Einrichtung eines Servers überlebt, den wir… Hoffentlich wird es nach der Netzwerkkonferenz nächste Woche eine klarere Roadmap für die Zusammenführung in den Kernelbaum geben. Der Krypto-Code im Kernel-Modul wird wahrscheinlich schöner mit der In-Kernel-Krypto-Apis spielen müssen, was zu erwarten ist, aber wirklich, die aktuellen In-Kernel-Krypto-Apis brauchen eine ernsthafte Überarbeitung eines dieser Tage, kein Wunder, dass Jason seine eigene Schnittstelle geschrieben hat.

Sogar US-Senator Ron Wyden hob ab, indem er einen Brief an NIST (National Institute of Standards and Technology) schrieb, in dem er die Einführung von WireGuard für staatliche VPNs empfahl.

Kürzlich hat eine neue Open-Source-VPN-Technologie namens Wireguard an Bedeutung gewonnen. Um die Sicherheit zu gewährleisten, betont der Entwurf die einfache Einrichtung und minimiert die Anzahl der verfügbaren Optionen. Bemerkenswert ist, dass Wireguard nun in das Linux-Betriebssystem integriert wird, ein klares Signal seiner breiten Unterstützung in der Technologie- und Sicherheitsindustrie…

… Ich fordere NIST dringend auf, mit den Interessenträgern zusammenzuarbeiten, um geeignete Sicherheitsersetzungen, einschließlich Wireguard, für den Einsatz durch die Regierung zu bewerten.

Der Head of Privacy von Private Internet Access trägt regelmäßig auf Reddit bei. Sie können ihn finden, der sein Expertenmeinung zu VPN-bezogenen Subreddits gibt.

Im folgenden Kommentar unterstützt er WireGuard als eine großartige Idee, warnte aber auch Benutzer davor, es zu verwenden, während es sich noch in der experimentellen Phase befindet:

WireGuard hat genug Köpfe gedreht, um mich davon zu überzeugen, dass Donenfeld etwas unglaubliches hat. Ich meine, wenn sich die US-Senatoren dafür interessieren, muss es wirklich sicher sein.

Fazit

WireGuard rüttelt sicherlich an dingen in der VPN-Branche, verspricht moderne kryptografische Techniken, sicheres Tunneling, ausgezeichnete Auditierbarkeit und reibungslose Leistung.

Einige der größten Namen in der Welt der Softwareentwicklung sind äußerst optimistisch in Bezug auf dieses innovative VPN-Protokoll.

Aber zur gleichen Zeit, ein paar VPN-Unternehmen haben ein paar Bedenken in Bezug auf die Logging-Probleme und Kompatibilität mit bestimmten proprietären Funktionen.

Obwohl diese Bedenken nicht ignoriert werden können, sind sie etwas verfrüht, wenn man bedenkt, dass noch viel Arbeit übrig ist, bevor WireGuard als vollständig entwickeltes, überprüftes und überwachtes Protokoll auftritt.

Zugehörige Leitfäden: