Vorstellung: Wireguard

[breakthewall]

Da bislang noch niemand hier darüber berichtet hat, wurde es langsam mal Zeit. Zumal diese Komponente vorraussichtlich im nächsten Linux-Kernel landet, und in vielerlei Hinsicht Vorteile mit sich bringt.

https://www.wireguard.com

[MSfree]

Wow, watt'n Haufen Schaumschläger

[TRex]

Wow, watt'n Haufen Schaumschläger

Wieso denn?

[MSfree]

Ich zitiere mal von deren Webseite:

"It is currently under heavy development, but already it might be regarded as the most secure, easiest to use, and simplest VPN solution in the industry."

OK, sie sind am sichersten? Hallo? die setzen bewußt nicht auf Cryptolibs wie ssl auf, weil die zu komliziert sind. Dann erfinden wir das Rad eben neu, glauben die wirklich, daß durch Reimplementierung ihr Code sicherer wird? Gerade Cryptographie würde ich jedenfalls nicht neu erfinden.

Will man VPN wirklich im Kernel? Sicherer ist das jedenfall nicht als VPN im Userspace wie z.B. OpenVPN.

Und schneller? Interessiert das wirklich? Solange die CPU nicht der limitierende Faktor ist sondern in der Regel die Internetgeschwinidgkeit, ist das doch völlig belanglos. Ich bekomme ja nicht einmal meine 600MHz VIA C3 mit OpenVPN ausgelastet.

Die ganze Webseite liest sich genauso übertrieben wie eine Waschmittelreklame, dabei sind sie längst noch nicht bei einer stabilen Version. Klar, die können ein Kernelmodul zur Verfügung stellen, im Mainstream Kernel landen sie so (und ohne Linus' Segen) jedenfalls nicht.

[dufty2]

Ich nehm's jetzt Msfree nicht übel, dass er durchaus skeptisch ist bei der Sache.

Weiss zumindest, dass Greg Kroah-Hartman sehr angetan ist.
Und wer sich schon mal mit IPsec rumschlagen durfte ...

Auf der letztjährigen Conference der Linux Netzwerkler hat Jason sein wg vorgestellt:
https://www.netdevconf.org/2.2/session. ... guard-talk
Schau' Dir doch mal das video/slides an, vielleicht kommst Du noch auf den Geschmack

[breakthewall]

OK, sie sind am sichersten? Hallo? die setzen bewußt nicht auf Cryptolibs wie ssl auf, weil die zu komliziert sind. Dann erfinden wir das Rad eben neu, glauben die wirklich, daß durch Reimplementierung ihr Code sicherer wird? Gerade Cryptographie würde ich jedenfalls nicht neu erfinden.

Will man VPN wirklich im Kernel? Sicherer ist das jedenfall nicht als VPN im Userspace wie z.B. OpenVPN.

Ich finde deine Reaktion unverhältnismäßig.

Etwas Neues ist nicht automatisch schlecht. Und einerseits Wireguard anzuprangern, aber ein riesiges OpenVPN zu favorisieren, passt nicht zusammen. Zumal OpenVPN auch auf dem leidigen OpenSSL basiert, und beide zusammen eine Codebasis von über 200000 Codezeilen auf die Waage bringen. Und was das im Bezug auf Audits und Sicherheitslücken bedeutet spricht für sich. In der Vergangenheit war hier eine Menge los.

Dagegen hat Wireguard unter 4000 Codezeilen, ist für jedermann einfach zu überblicken, und bringt nur bewährte Verschlüsselungsverfahren mit sich in optimaler Kombination. Zudem ist es auf Einfachheit getrimmt, und nutzt vorhandene Programme, ohne unnötigen Ballast hinzuzufügen mit komplexen Schemata. Einfach gesagt ist es unter anderem so designt, dass von Anfängern bis hin zu Administratoren, kein Raum gelassen wird etwas kryptographisch falsch machen zu können. Und letztlich wurde es auch geschaffen um IPsec und OpenVPN zu ersetzen.

Die Vorstellung auf der Fosdem:
https://archive.fosdem.org/2017/schedul ... /wireguard

Hier wird sehr detailliert auf alles eingegangen. Und man kann sich denken, dass das nicht in Kürze in den Linux-Kernel integriert werden soll, ohne eingehend überblickt worden zu sein.

[MSfree]

Etwas Neues ist nicht automatisch schlecht.

Wenn es um Cryptographie geht, ist bei neuem immer Vorsicht angesagt.

Zumal OpenVPN auch auf dem leidigen OpenSSL basiert, und beide zusammen eine Codebasis von über 200000 Codezeilen auf die Waage bringen.

OpenVPN hat auch mal ganz klein angefangen. Die aktuelle Codebasis ist nunmal Folge von Featurerequests.

Dagegen hat Wireguard unter 4000 Codezeilen

Mit anderen Worten, es kann eigentlich noch gar nichts. In 4000 Zeilen bringt man, übertrieben gesagt, nichtmal ein "Hallo Welt" unter, geschweige denn eine wasserdichte Ver/Entschlüsselung und ein Netzwerkprotocoll, das gegen die üblichen Dinge wie Replay-Attacs etc. dicht ist.

Einfach gesagt ist es unter anderem so designt, dass von Anfängern bis hin zu Administratoren, kein Raum gelassen wird etwas kryptographisch falsch machen zu können. Und letztlich wurde es auch geschaffen um IPsec und OpenVPN zu ersetzen.

Wer es einfach haben will, kann SSH nehmen, damit kann man auch ein VPN aufbauen. Davon abgesehen sehe ich nicht, wo OpenVPN nun besonders schwierig ist.

Ein Ersatz für OpenVPN ist WireGuard jedenfalls nicht und kann es in seiner jetzigen Form auch nicht werden. Dazu fehlen die Nicht-Linux Clients. OpenVPN läuft auf allem möglichen, von BSD, OSX, Windows bis Android, weil es eben nicht im Kernel läuft und daher portierbar ist.

Dazu kommt, daß ich VPN gar nicht im Kernel haben will, das gehört da schlicht nicht herein, das fand ich schon vor 17 Jahren bei FreeSWAN gruselig.

[breakthewall]

OpenVPN hat auch mal ganz klein angefangen. Die aktuelle Codebasis ist nunmal Folge von Featurerequests.

Ein fettes Monstrum wie OpenVPN wird daraus nicht werden, dass wäre gegen die Ziele des Projektes. Es geht um Minimalismus und nicht darum, jeden Mist hinzuzufügen.

Mit anderen Worten, es kann eigentlich noch gar nichts. In 4000 Zeilen bringt man, übertrieben gesagt, nichtmal ein "Hallo Welt" unter, geschweige denn eine wasserdichte Ver/Entschlüsselung und ein Netzwerkprotocoll, das gegen die üblichen Dinge wie Replay-Attacs etc. dicht ist.

So eine Aussage disqualifiziert. Ich hab den Quellcode schon teilweise gesehen, kompiliert und Wireguard ein paar Mal ausprobiert. Etwas was nichts kann sieht definitiv anders aus, und der Funktionsumfang ist nicht gerade gering. Alles ein Frage wie man programmiert, wenn man alles überflüssige weg lässt.

Wer es einfach haben will, kann SSH nehmen, damit kann man auch ein VPN aufbauen. Davon abgesehen sehe ich nicht, wo OpenVPN nun besonders schwierig ist.

Eine SSH-Verbindung bringt einem viel, wenn man nur eine von beiden Seiten kontrolliert. Ist daher keine Option für eine reguläre VPN-Nutzung, im Sinne von einer anonymisierten Verbindung. Und OpenVPN ist immer noch eine zusätzliche Lösung, die jede Menge Potential bietet sie falsch zu konfigurieren, gerade für wenig sachkundige Nutzer. Auch mit Sicherheitslücken geizte OpenVPN bislang nicht, ebenso wie OpenSSL. Nebenbei ist es im Benchmark satte viermal langsamer als Wireguard, mit erheblich höherer Latenzzeit. Gerade Leistung ist ein wesentlicher Faktor heutzutage, und zu verschenken hat wohl niemand etwas.

Ein Ersatz für OpenVPN ist WireGuard jedenfalls nicht und kann es in seiner jetzigen Form auch nicht werden. Dazu fehlen die Nicht-Linux Clients. OpenVPN läuft auf allem möglichen, von BSD, OSX, Windows bis Android, weil es eben nicht im Kernel läuft und daher portierbar ist.

Es wurde als Ersatz konstruiert, es bringt auch alles dafür mit. Ein Aufwand wäre es auch nicht, Wireguard auf mehrere Plattformen zu portieren. Alles nur eine Frage der Zeit, im Laufe dieses Jahres. Unter BSD, Linux und macOS existiert schon der initiale Support dafür, und ebenso existiert Code für Android-Roms, samt GUI-Komponenten. Von daher ist das nicht so mager wie beschrieben. Natürlich dauert das alles noch ein paar Monate bis zur Reife.

Dazu kommt, daß ich VPN gar nicht im Kernel haben will, das gehört da schlicht nicht herein, das fand ich schon vor 17 Jahren bei FreeSWAN gruselig.

Was qualifiziert zu dieser Aussage, soetwas gehöre nicht in den Linux-Kernel? Das sind nebenbei zwei völlig unterschiedliche Softwarelösungen. Davon abgesehen ist es ohnehin bereits beschlossene Sache, und für Linux 4.16 zur Einreichung vorgesehen.

[bluestar]

Ich nehm's jetzt Msfree nicht übel, dass er durchaus skeptisch ist bei der Sache.

Die Webseite ist eine Sache und ja ich find es gut, wenn ein Projekt sich anständig präsentiert!

Das Whitepaper hingegen liest sich wirklich spannend und ja, ich für meinen Teil werde mir den Quellcode erst einmal in Ruhe ansehen, bevor ich mich der Sxhaumschläger-Meinung anschließe.

[TomL]

Dazu kommt, daß ich VPN gar nicht im Kernel haben will, das gehört da schlicht nicht herein, das fand ich schon vor 17 Jahren bei FreeSWAN gruselig.

Ich kann das nicht technisch begründen, sondern greife einfach auf ein Bauchgefühl nach 40 Jahren IT-Gefummel zurück. Mich würde es massiv stören, wenn ich das Gefühl hätte, es würde als Kernelbestandteil quasi eine Monopol-Stellung für einen nur manchmal genutzten Dienst einnehmen. Meines Erachtens (also meinem Bauchgefühl nach) hat das überhaupt nix im Kernel verloren und ich glaube, ich würde das auch nicht nutzen wollen. Aber wie gesagt, ich kann hier nicht für mich behaupten, für ein Urteil wirklich fachlich qualifiziert zu sein.... und setze mich dennoch über Dieter Nuhrs Empfehlung hinweg....

[McAldo]

Ich nehm's jetzt Msfree nicht übel, dass er durchaus skeptisch ist bei der Sache.

Die Webseite ist eine Sache und ja ich find es gut, wenn ein Projekt sich anständig präsentiert!

Das Whitepaper hingegen liest sich wirklich spannend und ja, ich für meinen Teil werde mir den Quellcode erst einmal in Ruhe ansehen, bevor ich mich der Sxhaumschläger-Meinung anschließe.

Hast du dir den Code schon angesehen? Wie ist deine Meinung jetzt dazu?

[Lord_Carlos]

Und schneller? Interessiert das wirklich? Solange die CPU nicht der limitierende Faktor ist sondern in der Regel die Internetgeschwinidgkeit, ist das doch völlig belanglos. Ich bekomme ja nicht einmal meine 600MHz VIA C3 mit OpenVPN ausgelastet.

Klar. Wenn man z.B. ein Plasterouter oder Pi als VPN Server benutzten will ist das nett. Oder geringen ping haben will weil man z.B Spielen will.
Oder wenn man als Betreiber sehr sehr viele VPN auf einem Rechner hat.
https://www.wireguard.com/performance/

Wie viel mbits schaffst du denn auf deinem VIA C3?
Ich habe hier 500mbit Internet.

____________

Linus zur Kodequalitaet von WireGuard:

Can I just once again state my love for it and hope it gets merged
soon? Maybe the code isn't perfect, but I've skimmed it, and compared
to the horrors that are OpenVPN and IPSec, it's a work of art.

[bluestar]

Hast du dir den Code schon angesehen? Wie ist deine Meinung jetzt dazu?

Du zauberst ein Lächeln in mein Gesicht, ich bin gerade dabei mir den Quellcode anzustehen und ja ein paar Punkte habe ich bereits gefunden, die meiner Meinung nach verbessert werden könnten, aber grundsätzlich liest sich der Code sehr gut.

Kritik:
- Es gibt noch keine User-Mode Implementation über ein TUN/TAP Device (z.B.: wireguardd), ein Daemon würde den Wechsel von OpenVPN zu Wireguard vereinfachen.

Ergäzung vom 18.08.:

Es gibt eine Userspace Implementation, wireguard-go, allerdings ist diese explizit als unfertig gekennzeichnet, implementier in Go.