WireGuard vs OpenVPN 2026 m.: kriptografiniai primityvai, kodo bazės dydis ir kada kuris yra tinkamas numatytasis pasirinkimas
WireGuard yra naujesnis, mažesnis ir naudoja modernius primityvus. OpenVPN yra senesnis, didesnis ir veikia per TCP 443, kad pereitų ribojančius tinklus. Abu yra atvirieji standartai. Štai sąžiningas protokolo pasirinkimo pagrindas.
Kas yra WireGuard ir OpenVPN, trumpai
WireGuard yra VPN protokolas, sukurtas Jason A. Donenfeld ir 2020 m. integruotas į Linux branduolį. Baltoji knyga adresu wireguard.com/papers/wireguard.pdf nurodo jo kriptografinius primityvus: Curve25519 raktų mainams, ChaCha20 simetriniam šifravimui, Poly1305 autentifikavimui, BLAKE2s maišai (hashing), HKDF raktų išvedimui, SipHash24 maišos lentelės raktui. Linux branduolio realizacija sudaro maždaug 4 000 kodo eilučių. OpenVPN yra senesnis (pirmą kartą išleistas 2001 m.), su GPL licencija, veikia naudotojo erdvėje (ne branduolyje) ir kriptografijai naudoja OpenSSL arba mbedTLS. OpenVPN 2.6 žinynas paskelbtas openvpn.net.
Kodo bazės dydis ir audito paviršius
Maža WireGuard kodo bazė (~4 000 eilučių Linux branduolio realizacijoje) yra sąmoningas projektavimo sprendimas — kuo mažesnė kodo bazė, tuo mažesnis audito paviršius ir tuo mažiau vietų, kur gali slėptis klaidos. OpenVPN kodo bazė yra didesnė (visas projektas, įskaitant openvpn dvejetainį failą, papildinius ir palaikomąsias bibliotekas, apima kur kas daugiau) — kompromisas yra daugiau nei dviejų dešimtmečių CVE istorija, o tai reiškia, kad kiekvienas dažnas ribinis atvejis buvo rastas, pataisytas ir dabar yra testų rinkinio dalis. Nė vienas nėra vienareikšmiškai saugesnis; mažesnę kodo bazę peržiūrėjo mažiau akių per trumpesnį laiką.
Transportas: UDP vs TCP
WireGuard naudoja tik UDP. OpenVPN palaiko ir UDP, ir TCP. Pasekmė: tinklai, kurie blokuoja UDP — įmonių Wi-Fi su ribojančiomis išėjimo taisyklėmis, kai kurie viešbučių tinklai, tinklai su giliuoju paketų tikrinimu (DPI), kuris pažymi ne HTTPS UDP — blokuos WireGuard. OpenVPN TCP režimas veikia per TCP prievadą 443, tą patį prievadą, kurį naudoja HTTPS, todėl jį sunkiau blokuoti nesutrikdant įprasto interneto srauto. Jei reguliariai jungiatės iš tinklų su ribojančiomis išėjimo taisyklėmis, OpenVPN-TCP yra patikimesnis pasirinkimas, net jei jis lėtesnis. Dauguma pagrindinių VPN klientų leidžia keisti protokolus nekeičiant paskyrų.
Našumo skirtumai kyla iš branduolio erdvės
Didžiausias WireGuard našumo pranašumas Linux sistemoje yra tas, kad jis veikia branduolio erdvėje — paketams nereikia kirsti naudotojo/branduolio ribos kiekvienos šifravimo ar dešifravimo operacijos metu. OpenVPN veikia naudotojo erdvėje, o tai istoriškai buvo reikšmingos pridėtinės sąnaudos. OpenVPN 2.6 su Data Channel Offload (DCO) perkelia simetrinio šifro darbą į branduolį ir užpildo didelę dalį atotrūkio. Mes neskelbiame neapdorotų pralaidumo skaičių, nes jie labai svyruoja priklausomai nuo tinklo sąlygų, serverio apkrovos ir paros laiko; paskelbta WireGuard baltoji knyga dokumentuoja protokolo dizainą ir matuoja prototipo našumą, tačiau realaus pasaulio vartotojiško VPN pralaidumas priklauso nuo tiekėjo infrastruktūros tiek pat, kiek ir nuo protokolo.
Kurie audituoti VPN realizuoja kurį protokolą
Visi penki pagrindiniai audituoti mokami VPN palaiko ir WireGuard, ir OpenVPN: Mullvad teikia savo paties WireGuard realizaciją kartu su OpenVPN (Cure53 2024 m. birželį auditavo abi serverio konfigūracijas). Proton VPN palaiko WireGuard, OpenVPN ir Stealth protokolą (OpenVPN-virš-TLS variantą ribojantiems tinklams). NordVPN NordLynx yra pritaikyta WireGuard realizacija. ExpressVPN Lightway yra individualus protokolas su sava audito istorija (Cure53 + Praetorian 2024 m. peržiūrėjo Lightway perrašymą į Rust). Surfshark palaiko WireGuard ir OpenVPN.
Rekomendacija
Numatytuoju atveju rinkitės WireGuard arba tiekėjo iš WireGuard išvestą individualų protokolą (NordLynx, ExpressVPN Lightway). Pereikite prie OpenVPN-TCP, kai tinklas blokuoja UDP — įmonių Wi-Fi, universiteto Wi-Fi su ribojančiomis išėjimo taisyklėmis, viešbučių tinklai su DPI. Protokolo pasirinkimas retai yra vartotojiško VPN našumo kliūtis; tiekėjo serverio parinkimas ir esama apkrova svarbesni. Konkrečiai privatumui protokolas neturi reikšmės — no-logs savybė nepriklauso nuo protokolo ir yra tai, ką patikrinti egzistuoja auditai.
Šaltiniai
WireGuard baltoji knyga: wireguard.com/papers/wireguard.pdf. OpenVPN 2.6 žinynas: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Mullvad infrastruktūros auditas (Cure53 2024 m. birželis, apėmė ir OpenVPN, ir WireGuard serverių konfigūracijas): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. ExpressVPN Lightway auditai: expressvpn.com/blog/lightway-audits-cure53-praetorian. Visi URL atverti 2026-04-30.