WireGuard vs OpenVPN 2026-ban: kriptográfiai primitívek, kódbázis-méret, és mikor melyik a megfelelő alapértelmezés
A WireGuard újabb, kisebb, és modern primitíveket használ. Az OpenVPN régebbi, nagyobb, és TCP 443-on fut a korlátozó hálózatok áthidalásához. Mindkettő nyílt szabvány. Íme az őszinte protokollválasztási keretrendszer.
Mi a WireGuard és az OpenVPN, röviden
A WireGuard egy VPN-protokoll, amelyet Jason A. Donenfeld tervezett, és 2020-ban integráltak a Linux kernelbe. A wireguard.com/papers/wireguard.pdf címen található szakdolgozat meghatározza kriptográfiai primitíveit: Curve25519 a kulcscseréhez, ChaCha20 a szimmetrikus titkosításhoz, Poly1305 a hitelesítéshez, BLAKE2s a hasheléshez, HKDF a kulcsleveztetéshez, SipHash24 a hash-tábla kulcsához. A Linux kernel implementáció körülbelül 4000 sornyi kód. Az OpenVPN régebbi (először 2001-ben adták ki), GPL-licencelt, felhasználói térben fut (nem a kernelben), és OpenSSL-t vagy mbedTLS-t használ a kriptográfiához. Az OpenVPN 2.6 referencia-kézikönyve az openvpn.net címen jelent meg.
Kódbázis-méret és audit-felület
A WireGuard kis kódbázisa (~4000 sor a Linux kernel implementációban) szándékos tervezési döntés — minél kisebb a kódbázis, annál kisebb az audit-felület, és annál kevesebb hely van, ahol a hibák elrejtőzhetnek. Az OpenVPN kódbázisa nagyobb (a teljes projekt, beleértve az openvpn binárist, a plugineket és a támogató könyvtárakat, sokkal többet ölel fel) — a kompromisszum több mint két évtizednyi CVE-történet, ami azt jelenti, hogy minden gyakori szélső esetet megtaláltak, javítottak, és most a tesztkészlet részét képezi. Egyik sem egyértelműen biztonságosabb; a kisebb kódbázist kevesebb szem vizsgálta át, rövidebb ideig.
Transzport: UDP vs TCP
A WireGuard csak UDP-t használ. Az OpenVPN támogatja mind az UDP-t, mind a TCP-t. A következmény: azok a hálózatok, amelyek blokkolják az UDP-t — korlátozó kimeneti szabályokkal rendelkező vállalati Wi-Fi, egyes szállodai hálózatok, mély csomagvizsgálattal rendelkező hálózatok, amelyek megjelölik a nem-HTTPS UDP-t — blokkolni fogják a WireGuardot. Az OpenVPN TCP módja a TCP 443-as porton fut, ugyanazon a porton, amelyet a HTTPS használ, ezért nehezebb blokkolni anélkül, hogy a hétköznapi webes forgalmat megszakítaná. Ha rendszeresen csatlakozol korlátozó kimenetű hálózatokból, az OpenVPN-TCP a megbízhatóbb választás, még ha lassabb is. A legtöbb nagyobb VPN-kliens lehetővé teszi a protokollok közötti váltást a fiókok megváltoztatása nélkül.
A teljesítménybeli különbségek a kerneltérből erednek
A WireGuard legnagyobb teljesítménybeli előnye Linuxon az, hogy a kerneltérben fut — a csomagoknak nem kell átlépniük a felhasználó/kernel határt minden egyes titkosítási vagy visszafejtési művelet során. Az OpenVPN felhasználói térben fut, ami történelmileg jelentős többletterhelést jelentett. Az OpenVPN 2.6 a Data Channel Offload (DCO) funkcióval a szimmetrikus titkosítási munkát a kernelbe helyezi, és a különbség nagy részét megszünteti. Nem teszünk közzé nyers átviteli sebesség-számokat, mert ezek erősen változnak a hálózati körülmények, a szerverterhelés és a napszak függvényében; a közzétett WireGuard-szakdolgozat dokumentálja a protokoll tervezését, és benchmarkolja a prototípust, de a valós fogyasztói VPN-átvitel legalább annyira függ a szolgáltató infrastruktúrájától, mint a protokolltól.
Mely auditált VPN-ek mely protokollt valósítják meg
Mind az öt nagyobb auditált fizetős VPN támogatja mind a WireGuardot, mind az OpenVPN-t: a Mullvad saját WireGuard-implementációját kínálja az OpenVPN mellett (a Cure53 mindkét szerverkonfigurációt auditálta 2024 júniusában). A Proton VPN támogatja a WireGuardot, az OpenVPN-t és egy Stealth protokollt (egy OpenVPN-TLS-felett variánst korlátozó hálózatokhoz). A NordVPN NordLynx egy testreszabott WireGuard-implementáció. Az ExpressVPN Lightway egy egyedi protokoll saját audittörténettel (a Cure53 + Praetorian 2024-ben felülvizsgálta a Lightway Rust-átírását). A Surfshark támogatja a WireGuardot és az OpenVPN-t.
Ajánlás
Alapértelmezésként használd a WireGuardot vagy a szolgáltató WireGuard-alapú egyedi protokollját (NordLynx, az ExpressVPN Lightway-e). Válts OpenVPN-TCP-re, amikor a hálózat blokkolja az UDP-t — vállalati Wi-Fi, korlátozó kimenetű egyetemi Wi-Fi, DPI-vel rendelkező szállodai hálózatok. A protokollválasztás ritkán a szűk keresztmetszet a fogyasztói VPN teljesítménye szempontjából; a szolgáltató szerverválasztása és aktuális terhelése többet számít. Kifejezetten a magánélet szempontjából a protokoll nem számít — a naplózásmentes tulajdonság független a protokolltól, és ez az, amit az auditok ellenőrizni hivatottak.
Források
WireGuard-szakdolgozat: wireguard.com/papers/wireguard.pdf. OpenVPN 2.6 referencia-kézikönyv: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Mullvad infrastruktúra-audit (Cure53 2024. június, mind az OpenVPN-, mind a WireGuard-szerverkonfigurációkat lefedte): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. ExpressVPN Lightway-auditok: expressvpn.com/blog/lightway-audits-cure53-praetorian. Minden URL elérve 2026-04-30-án.