WireGuard vs. OpenVPN 2026: Kryptografiset primitiivit, koodikannan koko ja milloin kumpikin on oikea oletusvalinta
WireGuard on uudempi, pienempi ja käyttää nykyaikaisia primitiivejä. OpenVPN on vanhempi, suurempi ja toimii TCP 443:n yli läpäistäkseen rajoittavia verkkoja. Molemmat ovat avoimia standardeja. Tässä on rehellinen kehys protokollan valintaan.
Mitä WireGuard ja OpenVPN ovat, lyhyesti
WireGuard on VPN-protokolla, jonka suunnitteli Jason A. Donenfeld ja joka yhdistettiin Linux-ytimeen vuonna 2020. Whitepaper osoitteessa wireguard.com/papers/wireguard.pdf määrittelee sen kryptografiset primitiivit: Curve25519 avaintenvaihtoon, ChaCha20 symmetriseen salaukseen, Poly1305 todennukseen, BLAKE2s tiivistämiseen, HKDF avaimen johtamiseen ja SipHash24 hajautustaulun avaimeen. Linux-ytimen toteutus käsittää noin 4 000 koodiriviä. OpenVPN on vanhempi (julkaistu ensimmäisen kerran 2001), GPL-lisensoitu, toimii käyttäjätilassa (ei ytimessä) ja käyttää OpenSSL:ää tai mbedTLS:ää kryptografiaan. OpenVPN 2.6:n viitekäsikirja on julkaistu osoitteessa openvpn.net.
Koodikannan koko ja auditoinnin hyökkäyspinta
WireGuardin pieni koodikanta (~4 000 riviä Linux-ytimen toteutuksessa) on tietoinen suunnitteluvalinta — mitä pienempi koodikanta, sitä pienempi auditoinnin hyökkäyspinta ja sitä vähemmän paikkoja, joihin virheet voivat piiloutua. OpenVPN:n koodikanta on suurempi (koko projekti mukaan lukien openvpn-binääri, lisäosat ja tukikirjastot käsittää paljon enemmän) — kompromissina on yli kahden vuosikymmenen CVE-historia, mikä tarkoittaa, että jokainen yleinen erikoistapaus on löydetty, paikattu ja on nyt osa testisarjaa. Kumpikaan ei ole yksiselitteisesti turvallisempi; pienempää koodikantaa on tarkastanut harvempi silmäpari lyhyemmän aikaa.
Siirto: UDP vs. TCP
WireGuard käyttää vain UDP:tä. OpenVPN tukee sekä UDP:tä että TCP:tä. Seuraus: verkot, jotka estävät UDP:n — yritys-Wi-Fi rajoittavin ulosmenosäännöin, jotkut hotelliverkot, verkot, joissa on syvä pakettitarkastus, joka merkitsee ei-HTTPS-UDP:n — estävät WireGuardin. OpenVPN:n TCP-tila toimii TCP-portissa 443, samassa portissa kuin HTTPS, ja sitä on siksi vaikeampi estää rikkomatta tavallista verkkoliikennettä. Jos yhdistät säännöllisesti verkoista, joissa on rajoittavat ulosmenosäännöt, OpenVPN-TCP on luotettavampi valinta, vaikka se on hitaampi. Useimmat suuret VPN-asiakkaat antavat vaihtaa protokollia ilman tilien vaihtamista.
Suorituskykyerot tulevat ydintilasta
WireGuardin suurin suorituskykyetu Linuxissa on, että se toimii ydintilassa — pakettien ei tarvitse ylittää käyttäjä-/ydinrajaa jokaisessa salaus- tai purkuoperaatiossa. OpenVPN toimii käyttäjätilassa, mikä on historiallisesti ollut merkittävä lisäkuorma. OpenVPN 2.6 Data Channel Offloadin (DCO) kanssa siirtää symmetrisen salaustyön ytimeen ja kuroo umpeen suuren osan erosta. Emme julkaise raakoja läpäisylukuja, koska ne vaihtelevat voimakkaasti verkko-olosuhteiden, palvelinkuorman ja vuorokaudenajan mukaan; julkaistu WireGuard-whitepaper dokumentoi protokollan suunnittelun ja vertailee prototyyppiä, mutta kuluttaja-VPN:n todellinen läpäisy riippuu yhtä paljon palveluntarjoajan infrastruktuurista kuin protokollasta.
Mitkä auditoidut VPN:t toteuttavat mitäkin protokollaa
Kaikki viisi suurta auditoitua maksullista VPN:ää tukevat sekä WireGuardia että OpenVPN:ää: Mullvad toimittaa oman WireGuard-toteutuksensa OpenVPN:n rinnalla (Cure53 auditoi molemmat palvelinkokoonpanot kesäkuussa 2024). Proton VPN tukee WireGuardia, OpenVPN:ää ja Stealth-protokollaa (OpenVPN-TLS-yli-variantti rajoittaviin verkkoihin). NordVPN:n NordLynx on mukautettu WireGuard-toteutus. ExpressVPN:n Lightway on oma protokolla omalla auditointihistoriallaan (Cure53 + Praetorian tarkastivat vuonna 2024 Lightwayn Rust-uudelleenkirjoituksen). Surfshark tukee WireGuardia ja OpenVPN:ää.
Suositus
Valitse oletuksena WireGuard tai palveluntarjoajan WireGuardista johdettu mukautettu protokolla (NordLynx, ExpressVPN:n Lightway). Vaihda OpenVPN-TCP:hen, kun verkko estää UDP:n — yritys-Wi-Fi, yliopisto-Wi-Fi rajoittavin ulosmenosäännöin, hotelliverkot DPI:llä. Protokollan valinta on harvoin pullonkaula kuluttaja-VPN:n suorituskyvylle; palveluntarjoajan palvelinvalinta ja nykyinen kuorma merkitsevät enemmän. Erityisesti yksityisyyden kannalta protokollalla ei ole merkitystä — lokittomuusominaisuus on riippumaton protokollasta ja on se, mitä auditoinnit ovat olemassa todentaakseen.
Lähteet
WireGuard-whitepaper: wireguard.com/papers/wireguard.pdf. OpenVPN 2.6 -viitekäsikirja: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Mullvadin infrastruktuuriauditointi (Cure53 kesäkuu 2024, kattoi sekä OpenVPN- että WireGuard-palvelinkokoonpanot): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. ExpressVPN:n Lightway-auditoinnit: expressvpn.com/blog/lightway-audits-cure53-praetorian. Kaikki URL-osoitteet luettu 2026-04-30.