WireGuard vs OpenVPN v roce 2026: kryptografické primitivy, velikost kódové báze a kdy je který správnou výchozí volbou
WireGuard je novější, menší a používá moderní primitivy. OpenVPN je starší, větší a běží přes TCP 443, aby prošel restriktivními sítěmi. Oba jsou otevřené standardy. Zde je upřímný rámec pro volbu protokolu.
Co jsou WireGuard a OpenVPN, stručně
WireGuard je protokol VPN navržený Jasonem A. Donenfeldem a začleněný do linuxového jádra v roce 2020. Bílá kniha na wireguard.com/papers/wireguard.pdf specifikuje jeho kryptografické primitivy: Curve25519 pro výměnu klíčů, ChaCha20 pro symetrické šifrování, Poly1305 pro autentizaci, BLAKE2s pro hašování, HKDF pro odvozování klíčů, SipHash24 pro klíč hašovací tabulky. Implementace v linuxovém jádře má přibližně 4 000 řádků kódu. OpenVPN je starší (poprvé vydán v roce 2001), licencovaný pod GPL, běží v uživatelském prostoru (nikoli v jádře) a používá pro kryptografii OpenSSL nebo mbedTLS. Referenční příručka OpenVPN 2.6 je zveřejněna na openvpn.net.
Velikost kódové báze a plocha pro audit
Malá kódová báze WireGuardu (~4 000 řádků v implementaci pro linuxové jádro) je záměrná volba návrhu — čím menší kódová báze, tím menší plocha pro audit a tím méně míst, kde se mohou skrývat chyby. Kódová báze OpenVPN je větší (celý projekt včetně binárky openvpn, pluginů a podpůrných knihoven zabírá mnohem více) — kompromisem je více než dvě desetiletí historie CVE, což znamená, že každý běžný okrajový případ byl nalezen, opraven a je nyní součástí testovací sady. Ani jeden není jednoznačně bezpečnější; menší kódovou bázi prozkoumalo méně očí po kratší dobu.
Přenos: UDP vs TCP
WireGuard používá pouze UDP. OpenVPN podporuje UDP i TCP. Z toho plyne: sítě, které blokují UDP — firemní Wi-Fi s restriktivními pravidly odchozího provozu, některé hotelové sítě, sítě s hloubkovou kontrolou paketů, které označují UDP mimo HTTPS — budou WireGuard blokovat. Režim TCP u OpenVPN běží na portu TCP 443, na stejném portu jako HTTPS, a je proto těžší jej zablokovat, aniž by se narušil běžný webový provoz. Pokud se pravidelně připojujete ze sítí s restriktivním odchozím provozem, je OpenVPN-TCP spolehlivější volbou, i když je pomalejší. Většina velkých klientů VPN umožňuje přepínat protokoly bez změny účtu.
Rozdíly ve výkonu pramení z prostoru jádra
Největší výhodou WireGuardu ve výkonu na Linuxu je, že běží v prostoru jádra — pakety nemusí překračovat hranici mezi uživatelským prostorem a jádrem při každé operaci šifrování či dešifrování. OpenVPN běží v uživatelském prostoru, což historicky znamenalo znatelnou režii. OpenVPN 2.6 s Data Channel Offload (DCO) přesouvá práci se symetrickou šifrou do jádra a velkou část tohoto rozdílu uzavírá. Nezveřejňujeme hrubá čísla propustnosti, protože se silně liší podle síťových podmínek, zatížení serveru a denní doby; zveřejněná bílá kniha WireGuardu dokumentuje návrh protokolu a benchmarkuje prototyp, ale propustnost spotřebitelské VPN v reálném světě závisí na infrastruktuře poskytovatele stejně jako na protokolu.
Které auditované VPN implementují který protokol
Všech pět velkých auditovaných placených VPN podporuje jak WireGuard, tak OpenVPN: Mullvad nabízí vlastní implementaci WireGuardu vedle OpenVPN (Cure53 auditovala obě serverové konfigurace v červnu 2024). Proton VPN podporuje WireGuard, OpenVPN a protokol Stealth (variantu OpenVPN-na-TLS pro restriktivní sítě). NordLynx od NordVPN je upravená implementace WireGuardu. Lightway od ExpressVPN je vlastní protokol s vlastní historií auditů (Cure53 + Praetorian v roce 2024 přezkoumaly přepis Lightway do Rustu). Surfshark podporuje WireGuard a OpenVPN.
Doporučení
Jako výchozí volte WireGuard nebo vlastní protokol poskytovatele odvozený od WireGuardu (NordLynx, Lightway od ExpressVPN). Přepněte na OpenVPN-TCP, když síť blokuje UDP — firemní Wi-Fi, univerzitní Wi-Fi s restriktivním odchozím provozem, hotelové sítě s DPI. Volba protokolu je u výkonu spotřebitelské VPN málokdy úzkým hrdlem; výběr serveru a aktuální zátěž poskytovatele hrají větší roli. Pro soukromí konkrétně na protokolu nezáleží — vlastnost bez logů je na protokolu nezávislá a je tím, co audity existují, aby ověřily.
Zdroje
Bílá kniha WireGuard: wireguard.com/papers/wireguard.pdf. Referenční příručka OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Audit infrastruktury Mullvadu (Cure53 červen 2024, pokrýval serverové konfigurace OpenVPN i WireGuard): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Audity ExpressVPN Lightway: expressvpn.com/blog/lightway-audits-cure53-praetorian. Všechny URL navštíveny 2026-04-30.