WireGuard vs OpenVPN w 2026: prymitywy kryptograficzne, rozmiar kodu i kiedy każdy jest właściwym domyślnym wyborem
WireGuard jest nowszy, mniejszy i korzysta z nowoczesnych prymitywów. OpenVPN jest starszy, większy i działa przez TCP 443, aby przejść przez restrykcyjne sieci. Oba są otwartymi standardami. Oto uczciwy schemat wyboru protokołu.
Czym pokrótce są WireGuard i OpenVPN
WireGuard to protokół VPN zaprojektowany przez Jasona A. Donenfelda i włączony do jądra Linuksa w 2020 roku. Dokument techniczny pod adresem wireguard.com/papers/wireguard.pdf określa jego prymitywy kryptograficzne: Curve25519 do wymiany kluczy, ChaCha20 do szyfrowania symetrycznego, Poly1305 do uwierzytelniania, BLAKE2s do haszowania, HKDF do wyprowadzania kluczy, SipHash24 do klucza tablicy haszującej. Implementacja w jądrze Linuksa liczy około 4000 wierszy kodu. OpenVPN jest starszy (pierwsze wydanie w 2001 roku), na licencji GPL, działa w przestrzeni użytkownika (nie w jądrze) i wykorzystuje OpenSSL lub mbedTLS do kryptografii. Podręcznik referencyjny OpenVPN 2.6 jest opublikowany na openvpn.net.
Rozmiar bazy kodu i powierzchnia audytu
Niewielka baza kodu WireGuard (~4000 wierszy w implementacji jądra Linuksa) jest celowym wyborem projektowym — im mniejsza baza kodu, tym mniejsza powierzchnia audytu i mniej miejsc, gdzie mogą ukrywać się błędy. Baza kodu OpenVPN jest większa (cały projekt obejmujący plik binarny openvpn, wtyczki i biblioteki wspierające jest znacznie obszerniejszy) — kompromisem jest ponad dwie dekady historii CVE, co oznacza, że każdy typowy przypadek brzegowy został znaleziony, załatany i jest teraz częścią zestawu testów. Żaden z nich nie jest jednoznacznie bezpieczniejszy; mniejsza baza kodu była przeglądana przez mniej oczu przez krótszy czas.
Transport: UDP vs TCP
WireGuard używa wyłącznie UDP. OpenVPN obsługuje zarówno UDP, jak i TCP. Wniosek: sieci, które blokują UDP — firmowe Wi-Fi z restrykcyjnymi regułami ruchu wychodzącego, niektóre sieci hotelowe, sieci z głęboką inspekcją pakietów oznaczające niebędący HTTPS ruch UDP — zablokują WireGuard. Tryb TCP OpenVPN działa na porcie TCP 443, tym samym, którego używa HTTPS, i dlatego trudniej go zablokować bez zakłócenia zwykłego ruchu sieciowego. Jeśli regularnie łączysz się z sieci o restrykcyjnym ruchu wychodzącym, OpenVPN-TCP jest bardziej niezawodnym wyborem, nawet jeśli jest wolniejszy. Większość dużych klientów VPN pozwala przełączać protokoły bez zmiany kont.
Różnice wydajnościowe wynikają z przestrzeni jądra
Największą przewagą wydajnościową WireGuard na Linuksie jest to, że działa on w przestrzeni jądra — pakiety nie muszą przekraczać granicy użytkownik/jądro przy każdej operacji szyfrowania lub odszyfrowania. OpenVPN działa w przestrzeni użytkownika, co historycznie wiązało się z istotnym narzutem. OpenVPN 2.6 z Data Channel Offload (DCO) przenosi pracę szyfru symetrycznego do jądra i zamyka większość tej luki. Nie publikujemy surowych liczb przepustowości, ponieważ zależą one silnie od warunków sieciowych, obciążenia serwera i pory dnia; opublikowany dokument techniczny WireGuard dokumentuje projekt protokołu i mierzy wydajność prototypu, ale rzeczywista przepustowość konsumenckiego VPN-a zależy od infrastruktury dostawcy w równym stopniu co od protokołu.
Które audytowane VPN-y wdrażają który protokół
Wszystkie pięć dużych audytowanych płatnych VPN-ów obsługuje zarówno WireGuard, jak i OpenVPN: Mullvad oferuje własną implementację WireGuard obok OpenVPN (Cure53 audytował obie konfiguracje serwerów w czerwcu 2024). Proton VPN obsługuje WireGuard, OpenVPN oraz protokół Stealth (wariant OpenVPN-on-TLS dla restrykcyjnych sieci). NordLynx NordVPN to dostosowana implementacja WireGuard. Lightway ExpressVPN to niestandardowy protokół z własną historią audytów (Cure53 + Praetorian w 2024 przejrzeli przepisanie Lightway w języku Rust). Surfshark obsługuje WireGuard i OpenVPN.
Rekomendacja
Domyślnie wybieraj WireGuard lub wywodzący się z WireGuard niestandardowy protokół dostawcy (NordLynx, Lightway ExpressVPN). Przełącz się na OpenVPN-TCP, gdy sieć blokuje UDP — firmowe Wi-Fi, uniwersyteckie Wi-Fi z restrykcyjnym ruchem wychodzącym, sieci hotelowe z DPI. Wybór protokołu rzadko jest wąskim gardłem wydajności konsumenckiego VPN-a; większe znaczenie ma dobór serwera przez dostawcę i jego bieżące obciążenie. Jeśli chodzi konkretnie o prywatność, protokół nie ma znaczenia — właściwość no-logs jest niezależna od protokołu i to właśnie ją mają weryfikować audyty.
Źródła
Dokument techniczny WireGuard: wireguard.com/papers/wireguard.pdf. Podręcznik referencyjny OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Audyt infrastruktury Mullvad (Cure53 czerwiec 2024, objął konfiguracje serwerów zarówno OpenVPN, jak i WireGuard): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Audyty Lightway ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Wszystkie adresy URL otwarto 2026-04-30.