WireGuard veröffentlicht neue Windows-Version nach Behebung des Microsoft-Signaturproblems

 (lists.zx2c4.com)
3 Punkte von GN⁺ 19 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • WireGuardNT v0.11 und WireGuard for Windows v0.6 wurden veröffentlicht; damit sind sowohl der Kernel-Treiber als auch das Verwaltungswerkzeug auf dem neuesten Stand
  • Die neue Version enthält das Entfernen von Allowed IPs ohne Paketverlust, Unterstützung für niedrige MTU-Werte sowie Bugfixes und Leistungsverbesserungen
  • Durch wichtige Toolchain-Updates wie EWDK, Clang/LLVM, MingW und Go wurde die Codebasis vereinfacht und die Stabilität erhöht
  • Das Microsoft-Signaturkonto wurde vorübergehend gesperrt, nach Online-Diskussionen jedoch bereits einen Tag später wiederhergestellt, sodass Signierung und Verteilung normal fortgesetzt wurden
  • Nutzer können die neueste Version sicher über die eingebaute Update-Funktion oder die offiziellen Download-Links installieren

WireGuardNT v0.11 und WireGuard for Windows v0.6 veröffentlicht

  • Die WireGuard-Software für Windows wurde aktualisiert; dabei wurden der Kernel-Treiber WireGuardNT und das Verwaltungswerkzeug WireGuard for Windows in neuen Versionen bereitgestellt
  • Diese Version ergänzt das Entfernen von Allowed IPs ohne Paketverlust sowie Unterstützung für niedrige MTU-Einstellungen bei IPv4-Verbindungen und enthält außerdem gesammelte Bugfixes und Leistungsverbesserungen
  • Wichtige Toolchain-Updates bei EWDK, Clang/LLVM, MingW, Go sowie EV-Zertifikat- und Signatur-Infrastruktur haben den Code vereinfacht und die Stabilität verbessert
  • Getestet wurde bis einschließlich Windows 10 1507 Build 10240; Nutzer können über die eingebaute Update-Funktion nach Signaturprüfung sicher aktualisieren
  • Details zu den einzelnen Projekten finden sich auf den Seiten wireguard-windows und wireguard-nt

Problem mit dem Microsoft-Signaturkonto behoben

  • Beim Einreichen des neuen NT-Kernel-Treibers zur Signierung bei Microsoft trat das Problem auf, dass das Konto vorübergehend gesperrt wurde
  • Bekannt wurde dies über Hacker-News-Kommentare und Twitter-Beiträge; nachdem sich die Online-Diskussion ausweitete, wurde das Konto bereits einen Tag später wiederhergestellt
  • Der Entwickler sieht darin eine überzogene Anwendung bürokratischer Verfahren und stellt klar, dass keine böswillige Absicht und keine Verschwörung vorlagen
  • Einige Berichte berücksichtigten die Wiederherstellung nicht, derzeit laufen Signierung und Verteilung jedoch wieder regulär

Verwandte Beiträge

1 Kommentare

 
GN⁺ 19 일 전
Hacker-News-Kommentare

  • Wie ich auf der Mailingliste geschrieben habe, wurde das Problem mit Microsofts Signatur-/Freigabeprozess nach dem Interesse auf HN ziemlich schnell gelöst.
    Ich freue mich, jetzt das neue Update veröffentlichen zu können. NT-Programmierung macht immer noch Spaß, aber dieses Release war wegen der Toolchain-Updates ziemlich knifflig.
    Dafür konnten wir die Unterstützung für Versionen vor Win10 entfernen.
    Interessanterweise habe ich festgestellt, dass Microsoft im neuesten Treiber-SDK die Unterstützung zum Kompilieren von x86-Treibern entfernt hat.
    Außerdem enthält auch die Go-Runtime eine interessante Änderung (zugehöriger Commit).
    Insgesamt war es ein erfreuliches Release, und ich bin zufrieden, dass der Windows-Release-Zug wieder rund läuft

    • Gut, dass alles gelöst wurde, aber ich frage mich, ob bekannt wurde, warum das Signierkonto gesperrt wurde. Das scheint nichts zu sein, was man einfach als Versehen abtun sollte
    • Ich frage mich, ob es eine WireGuard-Version gibt, die auch auf ReactOS gut funktioniert. Ich würde gern wissen, ob die Windows-Version dort unverändert läuft
    • Ich fand den Text über die Entscheidung beeindruckend, die Unterstützung vor Win10 einzustellen
    • Das Update auf die neue Version 0.6.1 hat mein System neu gestartet; ich kann mich nicht erinnern, ob das in der Ankündigung stand

  • Auch ich nutze WireGuard unter Windows und freue mich, dass dieses Problem gelöst wurde.
    Aber ich frage mich, ob es ohne diese öffentliche Aufmerksamkeit inzwischen überhaupt gelöst worden wäre.
    Microsofts Code-Signing-Richtlinien sind eine ernsthafte Bedrohung für das FOSS-Ökosystem. Das gilt umso mehr auf Plattformen, auf denen solche Verfahren faktisch verpflichtend sind.
    Dieses Mal ging es gut aus, aber diese Struktur wird Open-Source-Entwickler irgendwann langsam in die Zange nehmen

    • In solchen Fällen wird man meistens einfach ignoriert. Der Schlüssel zur Problemlösung ist, ein „Publikum“ zu haben.
      Ohne Aufmerksamkeit hat man keinerlei Macht. Da ist es fast sinnvoller, ein neues Konto anzulegen und sich erneut zu bewerben.
      Dass ein Platz ganz oben auf HN fast der einzige Weg ist, um sich durch diese Bürokratie zu kämpfen, ist schon ironisch.
      Letztlich zielt Microsofts Entwicklerprogramm eher auf Monetarisierung als auf Fairness. Dazu passt auch Paul Grahams Text
    • Ich hatte früher ein ähnliches Problem und konnte es erst lösen, nachdem ich ein kostenpflichtiges Support-Paket gekauft und 4 bis 5 Mal angerufen hatte.
      Drei Wochen auf den Online-Support zu warten, war reine Zeitverschwendung. Per Telefon direkt zu einer höheren Stelle durchgestellt zu werden, war deutlich effektiver
    • Bei Software wie Kernel-Treibern, die Administratorrechte benötigt, ist das ein Problem, aber gewöhnliche unsignierte Apps laufen unter Windows weiterhin problemlos

  • Ich frage mich, was passiert wäre, wenn Microsoft nicht über externe Kanäle wie HN darauf aufmerksam gemacht worden wäre.
    WireGuard hatte Glück, aber ich glaube nicht, dass sich dieses Ergebnis verallgemeinern lässt.

    • Ein „normaler Prozess“ existiert in Wirklichkeit nicht. In der Fehlermeldung steht ausdrücklich, dass es kein Einspruchsverfahren gibt.
      Letztlich bleibt nur öffentliche Sichtbarkeit. Aber die meisten kleinen Entwickler bekommen niemals so viel Aufmerksamkeit

  • LibreOffice, VeraCrypt, WireGuard — alle drei Projekte hatten dasselbe Problem.
    Ich frage mich, ob das bloß Zufall ist oder ob es ein Muster gibt.

    • Ich frage mich, ob auch das VeraCrypt-Problem gelöst wurde
    • Die drei Projekte hingen an einem einzigen Konto, und als dieses Konto gesperrt wurde, kamen alle Updates zum Stillstand. Genau das ist das Muster
    • Windscribe hatte dasselbe Problem
    • Ich weiß nicht, warum LibreOffice hier dazugehört

  • Es wäre gut, wenn transparent geteilt würde, wie dieser Vorfall gelöst wurde.
    WireGuard, VeraCrypt, Windscribe und andere Projekte haben dasselbe erlebt, und die Verunsicherung ist weiterhin groß

  • Interessant ist, dass dieser Vorfall dem LLM-Service-Modell ähnelt.
    Wenn LLMs nur als Dienst angeboten werden, können Unternehmen nach Belieben den Zugang sperren oder die Preise erhöhen.
    Am Ende verlieren die Nutzer die Kontrolle. Genau wie in diesem Microsoft-Fall.

    • Wahrscheinlich bleiben hochmoderne LLMs ein Dienst, während ältere Modelle als Self-Hosting-Variante verfügbar bleiben.
      Man wird also nicht vollständig ausgesperrt, aber es entsteht das Risiko einer schrittweisen Qualitätsverschlechterung

  • Microsoft dürfte über Telemetrie wissen, welche Reichweite solche Konten haben.
    Wenn ein Konto deaktiviert wird, könnte es intern entsprechend markiert werden und Wiederherstellungsversuche könnten erkannt werden.
    Solche Hochrisikofälle sollten von erfahrenen Mitarbeitern geprüft werden, bevor öffentlicher Ärger ausbricht.
    Laut Microsofts offizieller Stellungnahme
    war diese Deaktivierung Teil des Kontoverifizierungsverfahrens im Windows Hardware Program.
    Die Kommunikation war jedoch äußerst mangelhaft, und Microsoft erklärte, dies künftig verbessern zu wollen

  • Viele dachten, nur WireGuard sei gesperrt worden, tatsächlich gab es aber mehrere gleichzeitige Kontosperrungen.
    Microsoft sagt zwar, es habe im Voraus informiert, aber die Kommunikation war sehr unzureichend.
    Laut einem Bericht von The Register handelte es sich um eine verpflichtende Nachverifizierung für seit April 2024 nicht verifizierte Konten

  • Gut, dass das Problem gelöst ist. Ich hoffe, andere Entwickler machen nicht dieselbe Erfahrung.
    Ich frage mich aber, ob das nur ein Problem für die Windows-App war oder ob wireguard-go ebenfalls betroffen war.

    • Dieses Problem betraf nur den WireGuardNT-Treiber für den Windows-NT-Kernel.
      Siehe Projektbeschreibung
      Die App selbst (wireguard-windows) verwendet ein gewöhnliches EV-Code-Signing-Zertifikat

  • Microsoft hat keine Verschwörung betrieben. Das ist einfach ein Fall, in dem bürokratische Prozesse völlig überdreht haben.
    Nachdem es auf HN zum Thema wurde, wurde das Konto innerhalb eines Tages wiederhergestellt. Die Ursache war eher Inkompetenz als böse Absicht.
    Das ändert allerdings nichts daran, dass ein solches System weiterhin furchtbar ist

    • Dieses Ausmaß an „Inkompetenz“ ist faktisch böswilliges Verhalten.
      Ein System zu bauen, das Konten automatisch sperrt, ohne menschliche Prüfung oder Einspruchsverfahren, ist seinem Wesen nach schädlich
    • Wenn man sich das heutige Verhalten von Regierungen und Großkonzernen ansieht, sind wir über den Punkt hinaus, an dem man noch guten Willen unterstellen kann.
      Alles entwickelt sich in Richtung immer geringerer Nutzerkontrolle
    • Die Gesellschaft leidet bereits unter einer Müdigkeit gegenüber Big Tech.
      Konten werden zur Pflicht gemacht, und wenn sie dann gesperrt werden, gibt es keinerlei Abhilfe
    • Entscheidend ist der Vertrauensverlust. Selbst Zertifizierungsstellen (CAs) haben schon aus weit geringeren Gründen Vertrauen eingebüßt
    • Microsoft hat den Vertrauensvorschuss schon vor langer Zeit verloren