Vorstellung: Wireguard

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Vorstellung: Wireguard

Beitrag von breakthewall » 06.01.2018 12:42:52

Da bislang noch niemand hier darüber berichtet hat, wurde es langsam mal Zeit. Zumal diese Komponente vorraussichtlich im nächsten Linux-Kernel landet, und in vielerlei Hinsicht Vorteile mit sich bringt.

https://www.wireguard.com

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Vorstellung: Wireguard

Beitrag von MSfree » 06.01.2018 13:12:38

Wow, watt'n Haufen Schaumschläger :facepalm:

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Vorstellung: Wireguard

Beitrag von TRex » 06.01.2018 17:24:38

MSfree hat geschrieben: ↑ zum Beitrag ↑
06.01.2018 13:12:38
Wow, watt'n Haufen Schaumschläger :facepalm:
Wieso denn?
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Vorstellung: Wireguard

Beitrag von MSfree » 06.01.2018 18:02:25

TRex hat geschrieben: ↑ zum Beitrag ↑
06.01.2018 17:24:38
Ich zitiere mal von deren Webseite:

"It is currently under heavy development, but already it might be regarded as the most secure, easiest to use, and simplest VPN solution in the industry."

OK, sie sind am sichersten? Hallo? die setzen bewußt nicht auf Cryptolibs wie ssl auf, weil die zu komliziert sind. Dann erfinden wir das Rad eben neu, glauben die wirklich, daß durch Reimplementierung ihr Code sicherer wird? Gerade Cryptographie würde ich jedenfalls nicht neu erfinden.

Will man VPN wirklich im Kernel? Sicherer ist das jedenfall nicht als VPN im Userspace wie z.B. OpenVPN.

Und schneller? Interessiert das wirklich? Solange die CPU nicht der limitierende Faktor ist sondern in der Regel die Internetgeschwinidgkeit, ist das doch völlig belanglos. Ich bekomme ja nicht einmal meine 600MHz VIA C3 mit OpenVPN ausgelastet.

Die ganze Webseite liest sich genauso übertrieben wie eine Waschmittelreklame, dabei sind sie längst noch nicht bei einer stabilen Version. Klar, die können ein Kernelmodul zur Verfügung stellen, im Mainstream Kernel landen sie so (und ohne Linus' Segen) jedenfalls nicht.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Vorstellung: Wireguard

Beitrag von dufty2 » 06.01.2018 19:19:05

Ich nehm's jetzt Msfree nicht übel, dass er durchaus skeptisch ist bei der Sache.

Weiss zumindest, dass Greg Kroah-Hartman sehr angetan ist.
Und wer sich schon mal mit IPsec rumschlagen durfte ...

Auf der letztjährigen Conference der Linux Netzwerkler hat Jason sein wg vorgestellt:
https://www.netdevconf.org/2.2/session. ... guard-talk
Schau' Dir doch mal das video/slides an, vielleicht kommst Du noch auf den Geschmack :)

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Vorstellung: Wireguard

Beitrag von breakthewall » 06.01.2018 21:30:27

MSfree hat geschrieben: ↑ zum Beitrag ↑
06.01.2018 18:02:25
OK, sie sind am sichersten? Hallo? die setzen bewußt nicht auf Cryptolibs wie ssl auf, weil die zu komliziert sind. Dann erfinden wir das Rad eben neu, glauben die wirklich, daß durch Reimplementierung ihr Code sicherer wird? Gerade Cryptographie würde ich jedenfalls nicht neu erfinden.

Will man VPN wirklich im Kernel? Sicherer ist das jedenfall nicht als VPN im Userspace wie z.B. OpenVPN.
Ich finde deine Reaktion unverhältnismäßig.

Etwas Neues ist nicht automatisch schlecht. Und einerseits Wireguard anzuprangern, aber ein riesiges OpenVPN zu favorisieren, passt nicht zusammen. Zumal OpenVPN auch auf dem leidigen OpenSSL basiert, und beide zusammen eine Codebasis von über 200000 Codezeilen auf die Waage bringen. Und was das im Bezug auf Audits und Sicherheitslücken bedeutet spricht für sich. In der Vergangenheit war hier eine Menge los.

Dagegen hat Wireguard unter 4000 Codezeilen, ist für jedermann einfach zu überblicken, und bringt nur bewährte Verschlüsselungsverfahren mit sich in optimaler Kombination. Zudem ist es auf Einfachheit getrimmt, und nutzt vorhandene Programme, ohne unnötigen Ballast hinzuzufügen mit komplexen Schemata. Einfach gesagt ist es unter anderem so designt, dass von Anfängern bis hin zu Administratoren, kein Raum gelassen wird etwas kryptographisch falsch machen zu können. Und letztlich wurde es auch geschaffen um IPsec und OpenVPN zu ersetzen.

Die Vorstellung auf der Fosdem:
https://archive.fosdem.org/2017/schedul ... /wireguard

Hier wird sehr detailliert auf alles eingegangen. Und man kann sich denken, dass das nicht in Kürze in den Linux-Kernel integriert werden soll, ohne eingehend überblickt worden zu sein.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Vorstellung: Wireguard

Beitrag von MSfree » 06.01.2018 22:20:18

breakthewall hat geschrieben: ↑ zum Beitrag ↑
06.01.2018 21:30:27
Etwas Neues ist nicht automatisch schlecht.
Wenn es um Cryptographie geht, ist bei neuem immer Vorsicht angesagt.
Zumal OpenVPN auch auf dem leidigen OpenSSL basiert, und beide zusammen eine Codebasis von über 200000 Codezeilen auf die Waage bringen.
OpenVPN hat auch mal ganz klein angefangen. Die aktuelle Codebasis ist nunmal Folge von Featurerequests.
Dagegen hat Wireguard unter 4000 Codezeilen
Mit anderen Worten, es kann eigentlich noch gar nichts. In 4000 Zeilen bringt man, übertrieben gesagt, nichtmal ein "Hallo Welt" unter, geschweige denn eine wasserdichte Ver/Entschlüsselung und ein Netzwerkprotocoll, das gegen die üblichen Dinge wie Replay-Attacs etc. dicht ist.
Einfach gesagt ist es unter anderem so designt, dass von Anfängern bis hin zu Administratoren, kein Raum gelassen wird etwas kryptographisch falsch machen zu können. Und letztlich wurde es auch geschaffen um IPsec und OpenVPN zu ersetzen.
Wer es einfach haben will, kann SSH nehmen, damit kann man auch ein VPN aufbauen. Davon abgesehen sehe ich nicht, wo OpenVPN nun besonders schwierig ist.

Ein Ersatz für OpenVPN ist WireGuard jedenfalls nicht und kann es in seiner jetzigen Form auch nicht werden. Dazu fehlen die Nicht-Linux Clients. OpenVPN läuft auf allem möglichen, von BSD, OSX, Windows bis Android, weil es eben nicht im Kernel läuft und daher portierbar ist.

Dazu kommt, daß ich VPN gar nicht im Kernel haben will, das gehört da schlicht nicht herein, das fand ich schon vor 17 Jahren bei FreeSWAN gruselig.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Vorstellung: Wireguard

Beitrag von breakthewall » 07.01.2018 03:22:05

MSfree hat geschrieben: ↑ zum Beitrag ↑
06.01.2018 22:20:18
OpenVPN hat auch mal ganz klein angefangen. Die aktuelle Codebasis ist nunmal Folge von Featurerequests.
Ein fettes Monstrum wie OpenVPN wird daraus nicht werden, dass wäre gegen die Ziele des Projektes. Es geht um Minimalismus und nicht darum, jeden Mist hinzuzufügen.
MSfree hat geschrieben: ↑ zum Beitrag ↑
06.01.2018 22:20:18
Mit anderen Worten, es kann eigentlich noch gar nichts. In 4000 Zeilen bringt man, übertrieben gesagt, nichtmal ein "Hallo Welt" unter, geschweige denn eine wasserdichte Ver/Entschlüsselung und ein Netzwerkprotocoll, das gegen die üblichen Dinge wie Replay-Attacs etc. dicht ist.
So eine Aussage disqualifiziert. Ich hab den Quellcode schon teilweise gesehen, kompiliert und Wireguard ein paar Mal ausprobiert. Etwas was nichts kann sieht definitiv anders aus, und der Funktionsumfang ist nicht gerade gering. Alles ein Frage wie man programmiert, wenn man alles überflüssige weg lässt.
MSfree hat geschrieben: ↑ zum Beitrag ↑
06.01.2018 22:20:18
Wer es einfach haben will, kann SSH nehmen, damit kann man auch ein VPN aufbauen. Davon abgesehen sehe ich nicht, wo OpenVPN nun besonders schwierig ist.
Eine SSH-Verbindung bringt einem viel, wenn man nur eine von beiden Seiten kontrolliert. Ist daher keine Option für eine reguläre VPN-Nutzung, im Sinne von einer anonymisierten Verbindung. Und OpenVPN ist immer noch eine zusätzliche Lösung, die jede Menge Potential bietet sie falsch zu konfigurieren, gerade für wenig sachkundige Nutzer. Auch mit Sicherheitslücken geizte OpenVPN bislang nicht, ebenso wie OpenSSL. Nebenbei ist es im Benchmark satte viermal langsamer als Wireguard, mit erheblich höherer Latenzzeit. Gerade Leistung ist ein wesentlicher Faktor heutzutage, und zu verschenken hat wohl niemand etwas.
MSfree hat geschrieben: ↑ zum Beitrag ↑
06.01.2018 22:20:18
Ein Ersatz für OpenVPN ist WireGuard jedenfalls nicht und kann es in seiner jetzigen Form auch nicht werden. Dazu fehlen die Nicht-Linux Clients. OpenVPN läuft auf allem möglichen, von BSD, OSX, Windows bis Android, weil es eben nicht im Kernel läuft und daher portierbar ist.
Es wurde als Ersatz konstruiert, es bringt auch alles dafür mit. Ein Aufwand wäre es auch nicht, Wireguard auf mehrere Plattformen zu portieren. Alles nur eine Frage der Zeit, im Laufe dieses Jahres. Unter BSD, Linux und macOS existiert schon der initiale Support dafür, und ebenso existiert Code für Android-Roms, samt GUI-Komponenten. Von daher ist das nicht so mager wie beschrieben. Natürlich dauert das alles noch ein paar Monate bis zur Reife.
MSfree hat geschrieben: ↑ zum Beitrag ↑
06.01.2018 22:20:18
Dazu kommt, daß ich VPN gar nicht im Kernel haben will, das gehört da schlicht nicht herein, das fand ich schon vor 17 Jahren bei FreeSWAN gruselig.
Was qualifiziert zu dieser Aussage, soetwas gehöre nicht in den Linux-Kernel? Das sind nebenbei zwei völlig unterschiedliche Softwarelösungen. Davon abgesehen ist es ohnehin bereits beschlossene Sache, und für Linux 4.16 zur Einreichung vorgesehen.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Vorstellung: Wireguard

Beitrag von bluestar » 07.01.2018 09:01:29

dufty2 hat geschrieben: ↑ zum Beitrag ↑
06.01.2018 19:19:05
Ich nehm's jetzt Msfree nicht übel, dass er durchaus skeptisch ist bei der Sache.
Die Webseite ist eine Sache und ja ich find es gut, wenn ein Projekt sich anständig präsentiert!

Das Whitepaper hingegen liest sich wirklich spannend und ja, ich für meinen Teil werde mir den Quellcode erst einmal in Ruhe ansehen, bevor ich mich der Sxhaumschläger-Meinung anschließe.

TomL

Re: Vorstellung: Wireguard

Beitrag von TomL » 07.01.2018 10:36:59

MSfree hat geschrieben: ↑ zum Beitrag ↑
06.01.2018 22:20:18
Dazu kommt, daß ich VPN gar nicht im Kernel haben will, das gehört da schlicht nicht herein, das fand ich schon vor 17 Jahren bei FreeSWAN gruselig.
Ich kann das nicht technisch begründen, sondern greife einfach auf ein Bauchgefühl nach 40 Jahren IT-Gefummel zurück. Mich würde es massiv stören, wenn ich das Gefühl hätte, es würde als Kernelbestandteil quasi eine Monopol-Stellung für einen nur manchmal genutzten Dienst einnehmen. Meines Erachtens (also meinem Bauchgefühl nach) hat das überhaupt nix im Kernel verloren und ich glaube, ich würde das auch nicht nutzen wollen. Aber wie gesagt, ich kann hier nicht für mich behaupten, für ein Urteil wirklich fachlich qualifiziert zu sein.... und setze mich dennoch über Dieter Nuhrs Empfehlung hinweg.... 8O

Benutzeravatar
McAldo
Moderator
Beiträge: 2064
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Re: Vorstellung: Wireguard

Beitrag von McAldo » 15.08.2018 12:21:17

bluestar hat geschrieben: ↑ zum Beitrag ↑
07.01.2018 09:01:29
dufty2 hat geschrieben: ↑ zum Beitrag ↑
06.01.2018 19:19:05
Ich nehm's jetzt Msfree nicht übel, dass er durchaus skeptisch ist bei der Sache.
Die Webseite ist eine Sache und ja ich find es gut, wenn ein Projekt sich anständig präsentiert!

Das Whitepaper hingegen liest sich wirklich spannend und ja, ich für meinen Teil werde mir den Quellcode erst einmal in Ruhe ansehen, bevor ich mich der Sxhaumschläger-Meinung anschließe.
Hast du dir den Code schon angesehen? Wie ist deine Meinung jetzt dazu?
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Vorstellung: Wireguard

Beitrag von Lord_Carlos » 15.08.2018 12:30:54

MSfree hat geschrieben: ↑ zum Beitrag ↑
06.01.2018 18:02:25
Und schneller? Interessiert das wirklich? Solange die CPU nicht der limitierende Faktor ist sondern in der Regel die Internetgeschwinidgkeit, ist das doch völlig belanglos. Ich bekomme ja nicht einmal meine 600MHz VIA C3 mit OpenVPN ausgelastet.
Klar. Wenn man z.B. ein Plasterouter oder Pi als VPN Server benutzten will ist das nett. Oder geringen ping haben will weil man z.B Spielen will.
Oder wenn man als Betreiber sehr sehr viele VPN auf einem Rechner hat.
https://www.wireguard.com/performance/

Wie viel mbits schaffst du denn auf deinem VIA C3?
Ich habe hier 500mbit Internet.

____________

Linus zur Kodequalitaet von WireGuard:
Can I just once again state my love for it and hope it gets merged
soon? Maybe the code isn't perfect, but I've skimmed it, and compared
to the horrors that are OpenVPN and IPSec, it's a work of art.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Vorstellung: Wireguard

Beitrag von bluestar » 15.08.2018 16:04:56

McAldo hat geschrieben: ↑ zum Beitrag ↑
15.08.2018 12:21:17
Hast du dir den Code schon angesehen? Wie ist deine Meinung jetzt dazu?
Du zauberst ein Lächeln in mein Gesicht, ich bin gerade dabei mir den Quellcode anzustehen und ja ein paar Punkte habe ich bereits gefunden, die meiner Meinung nach verbessert werden könnten, aber grundsätzlich liest sich der Code sehr gut.

Kritik:
- Es gibt noch keine User-Mode Implementation über ein TUN/TAP Device (z.B.: wireguardd), ein Daemon würde den Wechsel von OpenVPN zu Wireguard vereinfachen.

Ergäzung vom 18.08.:

Es gibt eine Userspace Implementation, wireguard-go, allerdings ist diese explizit als unfertig gekennzeichnet, implementier in Go.

Antworten