The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"VPN WireGuard принят в ветку net-next и намечен для включени..."
Версия для распечатки Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Исходное сообщение [ Отслеживать ]
Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.
. "VPN WireGuard принят в ветку net-next и намечен для включени..." +3 +/
Сообщение от пох. (?), 10-Дек-19, 09:00 
читайте статьи самого Донфельда - они вполне доступны для желающего не позвездить как все плохо, а разобраться - но вы ж не хотите, вам лишь бы обос...ть.

> Более быстрая реализация алгоритма вполне может оказаться не безопасной.

более медленная, внезапно, вполне может оказаться еще больше небезопасТной, просто еще и тормозом.

> Аудит проводили? Кто? На чьи деньги? Где отчет?

если бы вы хотели - вы бы его давно прочитали. Кстати, аудит in-kernel криптографии - вообще, afaik, никто никогда не проводил, и написана она так что никакой аудит ей не поможет. Не говоря уже о том что ее все время патчат и улучшают, и аудит по хорошему надо проводить каждый раз.

> И почему вдруг VPN не должен уметь TCP?

потому что протокол tcp писали для вполне фиксированного набора ситуаций, "сеть" с гарантированной доставкой но непредсказуемыми задержками в них не входила - поэтому tcp over tcp работает плохо.

> Есть несколько сценариев, в которых использование TCP принципиально.

в этих сценариях пора уже забыть об эффективности и скорости протокола. Соответственно, данная конструкция для них не предназначена, автор не стремился охватить весь миллион применений. К тому же они все сомнительные - обычно "обход прокси" нужен тем, кто занимается на работе - вредительством.

> Они несколько лет пропихивали изменения в двух подсистемах одним проектом? Они серьёзно
> думали, что получится?

да, надеялись на разум - но натыкались на оттопыренные средние пальцы. Получилось в результате - ни богу свечка, ни чорту кочерга. Тем аудитом и доказательством правильности теперь как раз можете подтереться - скажите спасибо героям, истерично заsshitившим ядро от пропихивания неправильным образом.

> Так не делается - один проект пилит CryptoAPI, а второй пилит VPN.

в результате после пары лет переговоров и миллиона правок двумя разными командами - упс, при объединении выяснится что ничего не работает, или хуже - поскольку опять же можно подтереться правильностью неправильно используемых алгоритмов, где-то на стыке появляется уязвимость к sidechannel или вовсе вся криптография представляет собой xor (такое в истории ядра уже тоже было - именно из-за неправильного использования впоне в принципе правильного шифрования).

Ответить | Правка | Наверх | Cообщить модератору

Оглавление
VPN WireGuard принят в ветку net-next и намечен для включени..., opennews, 09-Дек-19, 19:30  [смотреть все]
Форумы | Темы | Пред. тема | След. тема



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру