WireGuard vs OpenVPN 2026: krüptograafilised primitiivid, koodibaasi suurus ja millal kumbki on õige vaikevalik
WireGuard on uuem, väiksem ja kasutab kaasaegseid primitiive. OpenVPN on vanem, suurem ja töötab läbi TCP 443, et ületada piiravaid võrke. Mõlemad on avatud standardid. Siin on aus raamistik protokolli valikuks.
Mis on WireGuard ja OpenVPN lühidalt
WireGuard on VPN-protokoll, mille kavandas Jason A. Donenfeld ja mis liideti Linuxi tuumaga 2020. aastal. Valge raamat aadressil wireguard.com/papers/wireguard.pdf täpsustab selle krüptograafilised primitiivid: Curve25519 võtmevahetuseks, ChaCha20 sümmeetriliseks krüpteerimiseks, Poly1305 autentimiseks, BLAKE2s räsimiseks, HKDF võtmetuletuseks ja SipHash24 räsitabeli võtme jaoks. Linuxi tuuma teostus hõlmab umbes 4000 koodirida. OpenVPN on vanem (esmakordselt avaldatud 2001. aastal), GPL-litsentsiga, töötab kasutajaruumis (mitte tuumas) ning kasutab krüptograafiaks OpenSSL-i või mbedTLS-i. OpenVPN 2.6 teatmik on avaldatud aadressil openvpn.net.
Koodibaasi suurus ja auditipind
WireGuardi väike koodibaas (~4000 rida Linuxi tuuma teostuses) on teadlik disainivalik — mida väiksem koodibaas, seda väiksem auditipind ja seda vähem kohti, kus vead saavad peituda. OpenVPN-i koodibaas on suurem (kogu projekt koos openvpn-i kahendfaili, pistikprogrammide ja tugiteekidega hõlmab tunduvalt rohkem) — kompromissiks on üle kahe aastakümne pikkune CVE-ajalugu, mis tähendab, et iga sage erijuht on leitud, parandatud ja on nüüd osa testikomplektist. Kumbki ei ole ühemõtteliselt turvalisem; väiksemat koodibaasi on kontrollinud vähem silmi lühema aja jooksul.
Transport: UDP vs TCP
WireGuard kasutab eranditult UDP-d. OpenVPN toetab nii UDP-d kui ka TCP-d. Tagajärg: võrgud, mis blokeerivad UDP-d — piiravate väljumisreeglitega ettevõtte WiFi, mõned hotellivõrgud, sügava pakettkontrolliga võrgud, mis märgistavad mitte-HTTPS UDP — blokeerivad WireGuardi. OpenVPN-i TCP-režiim töötab TCP-pordil 443, samal pordil, mida kasutab HTTPS, ning seda on seetõttu raskem blokeerida ilma tavalist veebiliiklust häirimata. Kui ühendud regulaarselt piiravate väljumisreeglitega võrkudest, on OpenVPN-TCP usaldusväärsem valik, isegi kui see on aeglasem. Enamik suuri VPN-kliente lubavad protokolli vahetada ilma kontot muutmata.
Jõudluserinevused tulenevad tuumaruumist
WireGuardi suurim jõudluseelis Linuxis on see, et see töötab tuumaruumis — paketid ei pea iga krüpteerimise või dekrüpteerimise korral ületama kasutaja- ja tuumaruumi piiri. OpenVPN töötab kasutajaruumis, mis on ajalooliselt olnud märkimisväärne lisakulu. OpenVPN 2.6 koos Data Channel Offloadiga (DCO) viib sümmeetrilise šifri töö tuuma ja kahandab suure osa lõhest. Me ei avalda toorest läbilaskevõime arve, sest need sõltuvad tugevasti võrgutingimustest, serveri koormusest ja kellaajast; avaldatud WireGuardi valge raamat dokumenteerib protokolli disaini ja testib prototüüpi, kuid reaalse tarbija-VPN-i läbilaskevõime sõltub sama palju pakkuja taristust kui protokollist.
Millised auditeeritud VPN-id millist protokolli teostavad
Kõik viis suurt auditeeritud tasulist VPN-i toetavad nii WireGuardi kui ka OpenVPN-i: Mullvad pakub oma WireGuardi teostust OpenVPN-i kõrval (Cure53 kontrollis 2024. aasta juunis mõlemat serverikonfiguratsiooni). Proton VPN toetab WireGuardi, OpenVPN-i ja Stealth-protokolli (OpenVPN-üle-TLS-i variant piiravate võrkude jaoks). NordVPN-i NordLynx on kohandatud WireGuardi teostus. ExpressVPN-i Lightway on omaette protokoll oma auditiajalooga (Cure53 + Praetorian kontrollisid 2024. aastal Lightway Rust-ümberkirjutust). Surfshark toetab WireGuardi ja OpenVPN-i.
Soovitus
Vali vaikimisi WireGuard või pakkuja WireGuardist tuletatud omaprotokoll (NordLynx, ExpressVPN-i Lightway). Vaheta OpenVPN-TCP-le, kui võrk blokeerib UDP — ettevõtte WiFi, piiravate väljumisreeglitega ülikooli WiFi, sügava pakettkontrolliga hotellivõrgud. Protokolli valik on harva tarbija-VPN-i jõudluse kitsaskoht; pakkuja serverivalik ja hetkekoormus loevad rohkem. Eraldi privaatsuse seisukohast ei ole protokollil tähtsust — logivaba omadus on protokollist sõltumatu ja just seda auditid kontrollivad.
Allikad
WireGuardi valge raamat: wireguard.com/papers/wireguard.pdf. OpenVPN 2.6 teatmik: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Mullvadi taristuaudit (Cure53 juuni 2024, hõlmas nii OpenVPN-i kui ka WireGuardi serverikonfiguratsioone): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. ExpressVPN-i Lightway auditid: expressvpn.com/blog/lightway-audits-cure53-praetorian. Kõik URL-id külastatud 2026-04-30.