LN-Waschpress

Schlagwort: WireGuard

  • WireGuard in Kernel 5.6

    WireGuard in Kernel 5.6
    Bild: WireGuard | Quelle: XDA-Developers

    Bereits seit rund zwei Jahren versucht Entwickler Jason Donenfeld die moderne VPN-Tunnel-Anwendung WireGuard in den Mainline-Kernel zu bekommen. Nachdem das zunächst vielversprechend verlief, störten sich im weiteren Verlauf einige Kernel-Entwickler an der von WireGuard verwendeten Krypto-Bibliothek Zinc.

    Widerstand

    Der anhaltende Widerstand, der auch durch mehrere Proof of Concept-Ansätze von Donenfeld nicht gebrochen werden konnte, führte dazu, dass er sich bereit erklärte, die Krypto-API des Linux-Kernels für WireGuard anzupassen. Der entsprechende Patch wurde Mitte November aufgenommen.

    Das erschien ihm als der einzige Weg, die Anwendung in den Kernel aufnehmen zu lassen, da Entwickler des Netzwerkzweigs nicht bereit waren, neben der bereits bestehenden Krypto-API eine weitere Krypto-Bibliothek im Kernel zuzulassen.

    Im Netzwerkzweig angekommen

    Gestern wurde der aktuelle Commit von Donenfeld eingereicht und am gleichen Tag von Netzwerk-Maintainer David Miller in den Kernel-Zweig net-next aufgenommen. Damit hat WireGuard alle Chancen, ohne weitere Verzögerungen in Linux 5.6 aufgenommen zu werden.

    Bereits weit verbreitet

    Die Aufnahme in den Kernel ist Voraussetzung für die weitere Verbreitung von WireGuard in Industrie und Unternehmen, auch wenn der VPN-Tunnel wegen seines guten Rufs und des Lobs von Linus Torvalds und seines Vize Greg Kroah-Hartman bereits Einzug in einige große Unternehmen hielt. Auch VPN-Anbieter wie Nord-VPN und Mullvad sind bereits auf den Zug aufgesprungen.

    In den Distributionen

    Unter den Paketnamen wireguard oder wireguard-tools hat die unter der GPLv2 stehende Anwendung bereits seit Längerem Einzug in die Distributionen Debian, Arch, Gentoo, Fedora, Void, OpenWRT/LEDE, NixOS, bei FreeBSD und OpenBSD sowie die für macOS entwickelte Paketverwaltung Homebrew gehalten. Für Android steht im Google Play Store und auf FDroid eine App bereit, ein nativer Client für Windows steht auch bereit.

    Ich habe WireGuard und seine Nutzung vor einem Jahr in der Zeitschrift LinuxUser beispielhaft beschrieben. War es damals bereits mit wenig Aufwand verbunden, so wird dies vermutlich ab Kernel 5.6, der ungefähr im April 2020 erscheint, nochmals einfacher.

  • VPN-Tunnel mit Mullvad und WireGuard

    Mullvad-Logo

    In den letzten Tagen waren Meldungen zu lesen, dass auf den Servern der drei VPN-Anbiete NordVPN, TorGuard und VikingVPN Einbrecher am Werk waren. Die Einbrüche, bei denen private Schlüssel entwendet wurden, sind bereits länger her und wurden erst jetzt berichtet, nachdem Sicherheitsforscher diese veröffentlicht hatten. Ob mit den mittlerweile ungültigen Schlüsseln weitere Straftaten begangen wurden, ist derzeit nicht bekannt.

    Viel unsichere Kandidaten

    So gibt es immer wieder Meldungen, die man bei einem VPN-Dienst eigentlich nicht lesen möchte. So war unlängst zu lesen, dass ein Drittel der führenden VPN-Dienste sechs chinesischen Firmen gehören, die zudem versuchen, die Besitzverhältnisse zu verschleiern. Weitere Anbieter konzentrieren sich in Pakistan, wo die Regierung ohne richterlichen Beschluss auf alle Daten zugreifen kann.

    Die Guten ins Töfchen…

    Aber auch in diesem Markt gibt es Alternativen. Eine solche ist der schwedische Anbieter Mullvad. Ich bin dort seit Jahren Kunde und möchte den Anbieter im Zusammenhang mit dem VPN-Tunnel WireGuard näher vorstellen.

    Mullvad ist mit 5 Euro im Monat nicht der billigste Anbieter. Die Leute hinter Mullvad sind Linux-Freaks, die anscheinend Debian nahestehen. Ich habe schon des Öfteren Kontakt gehabt bei Fragen. Diese wurden alle schnell und kompetent beantwortet.

    Anonymität und Transparenz

    Die Richtlinien sind strikt, detailliert und aussagekräftig. Mullvad verzichtet, wenn gewünscht, auf jegliche Kenntnis der Person. Du wirst im anonymsten Fall nur über eine Nummer identifiziert. Name und E-Mail-Adresse müssen nicht angegeben werden. Um hier anonym zu bleiben, muss allerdings das Geld per Post verschickt werden. Eine Alternative ist Bitcoin, wofür es sogar noch 10 Prozent Nachlass gibt.

    Es gibt ausreichend Server in aller Welt. Weitere Details zu Übertragungsraten und vielem mehr vermittelt ein aktueller Artikel. Wichtiger ist jedoch, dass sich Mullvad einem externen Audit eines renommierten deutschen Instituts unterzogen hat.

    Grafischer Linux Client

    Der Linux-Client von Mullvad bietet ausreichend Optionen, um Mullvad zu steuern. Lediglich das Umstellen vom Standard-OpenVPN auf WireGuard ist noch nicht inkludiert und muss manuell im Terminal absolviert werden. Dabei können ein dreifacher Multihop sowie ein Killswitch konfiguriert werden.

    Mobil per WireGuard

    Manche Anwender betrachten es als Nachteil, dass Mullvad keine Mobil-App hat. Man kann aber auch ohne App WireGuard für Android so konfigurieren, das WireGuard die Mullvad-Server verwendet. Das funktioniert einwandfrei.

    Jeder Dienst kann gehacked werden, das ist leider heute so. Es kommt aber darauf an, wie transparent damit umgegangen wird. Da Mullvad bereits auf seiner Webseite sehr transparent informiert, habe ich hier mehr Vertrauen als anderswo, wo mehr Geld in Werbung und Marketing gesteckt wird als in Sicherheit. Und um der Frage vorzubeugen: Nein, dies ist kein bezahlter Artikel, es fließen keine Mittel in meine Richtung.

  • Linus Torvalds lobt WireGuard

    Linus Torvalds lobt WireGuard
    Bild: WireGuard | Quelle: XDA-Developers

    Linus Torvalds hat sich auf der Kernel-Mailingliste in einem Nebensatz lobend über das VPN-Projekt WireGuard geäußert. Erst vor wenigen Tagen hatte dessen Entwickler Jason Donenfeld ein erstes Patchset für die Aufnahme in den Mainline-Kernel bereitgestellt. WireGuard bietet viele Vorteile gegenüber Alternativen wie IPsec oder Open-VPN.

    Simpel und schnell

    Dazu zählen einfachere Handhabung und höhere Geschwindigkeit. Ein eklatanter Unterschied herrscht auch bei den Codezeilen der VPN-Anwendungen. Während IPsec über 400.000 Zeilen aufweist und Open-VPN es immerhin noch auf 100.000 Zeilen bringt, kommt WireGuard mit gerade einmal 4.000 Zeilen aus. Damit bietet es einen wesentlich kleineren Angriffsvektor wie die Konkurrenz. Zudem ist die Bedienung in den Grundfunktionen so einfach wie das Herstellen einer SSH-Verbindung.

    Donenfeld hat den WireGuard-Port für Android jetzt auf allen Android-Geräten lauffähig bereitgestellt. Auch die macOS-, FreeBSD- und OpenBSD-Ports sind in guter Verfassung. An einem Windows-Port arbeitet Donenfeld gerade.

    Nach Greg Kroah-Hartman ist Torvalds der zweite Kernel-Entwickler, der sich lobend über WireGuard auslässt. Er schrieb in einer Mail an die Entwicklerliste:

    [su_quote style=“modern-light“ cite=“Linus Torvalds“]»Ich sehe, dass Jason es tatsächlich geschafft hat, einen Pull-Request für WireGuard zur Aufnahme in den Kernel einzureichen. Darf ich hier noch einmal meine Begeisterung für WireGuard bekunden und hoffen, dass der Code bald gemerged wird? Vielleicht ist der Code nicht perfekt, aber ich habe ihn überflogen. Im Vergleich zu den Schrecken von OpenVPN und IPSec ist er ein Kunstwerk.«[/su_quote]

    Bereits weite Kreise gezogen

    Auch auf der politischen Bühne hat WireGuard Eindruck hinterlassen. US-Senator Ron Wyden hat die Software in einem Brief der Sicherheitsbehörde NIST empfohlen. Ron Wyden ist das mit Abstand technisch versierteste Mitglied des US-Senats. Er ist seit Jahren ein führender Verfechter der Sicherheit und des Datenschutzes und insbesondere der einzige, der seit Jahren die Aufsicht über die NSA und die damit verbundenen Behörden fordert.

    Mit solch prominenter Unterstützung könnte WireGuard mit etwas Glück noch in diesem Jahr in den Kernel aufgenommen werden und damit noch weitere Verbreitung finden.