Linux 5.6 est disponible avec l'implémentation du VPN WireGuard
Linux 5.6 est disponible avec l'implémentation du VPN WireGuard
et la prise en charge d'Arm EOPD
Linus Torvalds a annoncé ce dimanche la disponibilité générale de la version 5.6 du noyau Linux après une RC publiée en février dernier. Linux 5.6 contient les fonctionnalités telles qu’annoncées précédemment, mais avec quelques améliorations. Parmi les principales caractéristiques de cette version, citons la prise en charge d'Arm EOPD, les espaces de noms temporels, le répartiteur BPF et les opérations de cartes BPF par lot et l'appel système openat2(), l'implémentation du VPN WireGuard, etc. Voici un aperçu de ce qu’il y a dans Linux 5.6.
Support de WireGuard
WireGuard est un VPN extrêmement simple, mais rapide et moderne qui utilise un chiffrement de pointe. Il se veut plus rapide, plus simple, plus léger et plus utile qu'IPsec, tout en évitant les maux de tête massifs. Il a l'intention d'être beaucoup plus performant qu’OpenVPN. WireGuard a été conçu comme un VPN polyvalent pour fonctionner sur des interfaces embarquées, mais aussi des superordinateurs, adaptés à de nombreuses circonstances différentes. Initialement publié pour le noyau Linux, il est maintenant multiplateforme et largement déployable.
WireGuard utilise Curve25519 pour l'échange de clés, ChaCha20 pour le chiffrement, Poly1305 pour l'authentification des données, SipHash pour les clés de la table de hachage et BLAKE2s pour le hachage. Il prend en charge la couche 3 pour IPv4 et IPv6 et peut encapsuler v4-in-v6 et vice versa. WireGuard a été adopté par certains fournisseurs de services VPN comme Mullvad VPN, AzireVPN, IVPN et cryptostorm, bien avant son incorporation dans Linux, en raison de sa conception jugée “excellente”. Il a reçu des dons de Private Internet Access, IVPN et la NLnet Foundation.
Compatibilité USB 4
La prise en charge de la norme USB 4 fait partie des fonctionnalités phares de cette version. USB4 s’appuie sur la spécification Thunderbolt 3. Les débits peuvent théoriquement atteindre 40 Gb/s via le connecteur USB-C réversible de type 3. USB4 supporte des puissances allant jusqu’à 100 watts via le port PD (Power Delivery). USB4 permet de brancher des écrans 4K ou 8K en USB. Elle permet de connecter à la chaîne une série de périphériques USB variés sur le même port.
Correction presque complète du bogue de l’an 2038
Linux est de plus en plus prêt pour « une utilisation jusqu’à la fin des temps ». Le noyau Linux ne devrait pas survivre à l’an 2038 sur les architectures 32 bits à cause d’un problème de dépassement du nombre entier. En effet, Unix et Linux stockent la valeur du temps dans un format d'entier signé de 32 bits qui a la valeur maximale de 2147483647. Au-delà de ce nombre, en raison d'un dépassement d'entier, les valeurs seront stockées sous forme de nombre négatif. Cela signifie que pour un système 32 bits, la valeur du temps ne peut pas dépasser 2147483647 secondes après le 1er janvier 1970.
En termes plus simples, après 03:14:07 UTC le 19 janvier 2038, en raison d'un dépassement de nombre entier, l'heure se lira comme étant le 13 décembre 1901 au lieu du 19 janvier 2038. Ce n’était pas le problème le plus urgent, mais sans doute le plus anecdotique et amusant. Toutefois, le noyau Linux 5.6 a une solution à ce problème pour que les systèmes 32 bits puissent fonctionner au-delà de l'année 2038. Ainsi, le dépassement de la date ne vous ramènera pas en 1901 au lieu d’indiquer 2038.
La prise en charge d'Arm EOPD
La vulnérabilité Meltdown permet à un attaquant dans l'espace utilisateur de lire les données de l'espace du noyau en utilisant une combinaison d'exécution spéculative et de canaux latéraux basés sur le cache. La défense du noyau contre Meltdown est l'isolation des tables de pages du noyau, en supprimant entièrement les tables de pages du noyau du mappage de l'espace utilisateur. Cela fonctionne, mais cela a un coût de performance très important et peut interférer avec l'utilisation d'autres fonctionnalités du processeur.
Néanmoins, il est assez largement admis que l'isolation de l'espace d'adressage sera de plus en plus nécessaire pour protéger les systèmes pendant un certain temps. Il existe cependant une alternative : réparer le matériel. Une initiative dans ce domaine semble être la fonction E0PD, qui a été ajoutée dans le cadre des extensions Arm v8.5. L'E0PD s’assure que les accès depuis l'espace utilisateur à la moitié de la carte mémoire du noyau se font toujours en temps constant, empêchant ainsi les attaques de synchronisation.
L'E0PD n'empêche donc pas l'exécution spéculative de se dérouler dans la mémoire à laquelle l'espace utilisateur ne devrait pas pouvoir accéder, mais il bloque le canal latéral normalement utilisé pour extraire les données exposées par des opérations mal spéculées. Les systèmes qui prennent en charge l'E0PD n'ont pas besoin de permettre l'isolation des tables de pages du noyau et devraient donc retrouver les performances qu'ils ont perdues. Aucun résultat de référence n'a cependant été inclus avec le jeu de correctifs.
Selon la note de publication de l'E0PD, sa prise en charge pour le noyau est apparemment proche, mais la disponibilité des processeurs avec la prise en charge de l'E0PD peut prendre un peu plus de temps. Plusieurs autres fonctionnalités sont à noter dans la version 5.6 du noyau Linux. Nous avons notamment les espaces de noms temporels, le répartiteur BPF et les opérations de cartes BPF par lots, l'appel système openat2(), le programmateur de paquets PIE de la file d'attente de flux, l'appel système pidfd_getfd(), le système de fichiers ZoneFS, la possibilité d'implémenter des algorithmes de contrôle de congestion TCP dans BPF, le sous-système dma-buf heaps, de nombreuses nouvelles fonctionnalités io_uring, et la suppression du pool de blocage /dev/random.
Source : Linus Torvalds
Et vous ?
Que pensez-vous des nouveautés de Linux 5.6 ?
Voir aussi
Répondre avec citation
Partager