VPN-Tunnel WireGuard

Bild: WireGuard | Quelle: XDA-Developers

Im vergangenen Oktober hatte Kernel-Guru Greg Kroah-Hartman das VPN-Tunnel-Projekt WireGuard lobend erwähnt. Während einer Linux-Konferenz hatten er und einige Mitstreiter den Code von WireGuard unter die Lupe genommen und sich hinterher zufrieden gezeigt. Jetzt hat Entwickler Jason Donenfeld ein erstes Patchset für die Aufnahme in den Mainline-Kernel bereitgestellt.

So simpel wie SSH

Der VPN-Tunnel WireGuard hat nach den Aussagen von Donenfeld auf der Projektseite Vorteile vor Tools wie IPSec und OpenVPN. In der Anwendung soll es so einfach wie SSH und dabei um vieles schneller als das lahme OpenVPN sein. Zum Erstellen einer Verbindung sei es lediglich nötig, wie bei SSH öffentliche Schlüssel auszutauschen, so der Entwickler.  Die kryptografische Sicherheit der Anwendung wurde bereits mehrfach unabhängig untersucht und für gut befunden.

Bereits breit getestet

Da WireGuard als out-of-tree-module außerhalb des Kernels bereits weite Verbreitung gefunden hat und von großen Unternehmen produktiv eingesetzt wird, ist es trotz erst dreijähriger Entwicklungszeit bereits gut getestet. Ursprünglich nur für Linux entwickelt, ist es nun plattformübergreifend und breit einsetzbar. Vom kleinsten eingebetteten Gerät bis zum Supercomputer sollen sich alle Geräteklassen für den Einsatz der VPN-Alternative eignen.

Knapp 4.000 Zeilen Code

WireGuard wurde mit Blick auf einfache Implementierung entwickelt. Es soll in wenigen Zeilen Code implementiert und auf Sicherheitslücken überprüft werden können. Im Vergleich zu Code-Giganten wie IPsec oder OpenVPN/OpenSSL, bei denen das Auditing der Codebasis selbst für große Teams von Sicherheitsexperten eine überwältigende Aufgabe ist, soll WireGuard von Einzelpersonen umfassend überprüfbar sein.

Welcher Kernel wirds?

Somit hat der VPN-Tunnel WireGuard gute Chancen, in eine der nächsten Kernel-Versionen aufgenommen zu werden. Für 4.19 ist es vermutlich zu spät, aber 4.20 oder 4.21, die auch 5.0 und 5.1 heißen könnten, sind realistische Kandidaten. Das setzt voraus, dass die Kernel-Entwickler bei der Durchsicht keine Bedenken gegen eine baldige Aufnahme haben. Ein Whitepaper (PDF) vertieft bereits im Vorfeld die technischen Eckpunkte des Protokolls.

Beitrag kommentieren