WireGuard vs OpenVPN em 2026: primitivas criptográficas, tamanho do código e quando cada um é o padrão certo
O WireGuard é mais novo, menor e usa primitivas modernas. O OpenVPN é mais antigo, maior e roda sobre TCP 443 para atravessar redes restritivas. Ambos são padrões abertos. Veja o enquadramento honesto para a escolha de protocolo.
O que são o WireGuard e o OpenVPN, em poucas palavras
O WireGuard é um protocolo de VPN projetado por Jason A. Donenfeld e incorporado ao kernel do Linux em 2020. O whitepaper em wireguard.com/papers/wireguard.pdf especifica suas primitivas criptográficas: Curve25519 para troca de chaves, ChaCha20 para criptografia simétrica, Poly1305 para autenticação, BLAKE2s para hashing, HKDF para derivação de chaves, SipHash24 para a chave da tabela hash. A implementação no kernel do Linux tem aproximadamente 4.000 linhas de código. O OpenVPN é mais antigo (lançado pela primeira vez em 2001), licenciado sob GPL, roda em espaço de usuário (não no kernel) e usa OpenSSL ou mbedTLS para criptografia. O manual de referência do OpenVPN 2.6 está publicado em openvpn.net.
Tamanho do código e superfície de auditoria
O código pequeno do WireGuard (~4.000 linhas na implementação do kernel do Linux) é uma escolha de design deliberada — quanto menor o código, menor a superfície de auditoria e menos lugares para os bugs se esconderem. O código do OpenVPN é maior (o projeto completo, incluindo o binário openvpn, plugins e bibliotecas de apoio, abrange muito mais) — o trade-off são mais de duas décadas de histórico de CVEs, o que significa que todo caso de borda comum já foi encontrado, corrigido e agora faz parte do conjunto de testes. Nenhum dos dois é inequivocamente mais seguro; o código menor foi revisado por menos olhos durante um período mais curto.
Transporte: UDP vs TCP
O WireGuard usa apenas UDP. O OpenVPN suporta tanto UDP quanto TCP. A implicação: redes que bloqueiam UDP — Wi-Fi corporativo com regras restritivas de saída, algumas redes de hotel, redes com inspeção profunda de pacotes que sinaliza UDP que não seja HTTPS — bloquearão o WireGuard. O modo TCP do OpenVPN roda na porta TCP 443, a mesma porta que o HTTPS usa, e é, portanto, mais difícil de bloquear sem quebrar o tráfego web comum. Se você se conecta regularmente a partir de redes com saída restritiva, o OpenVPN-TCP é a escolha mais confiável, mesmo que seja mais lento. A maioria dos grandes clientes de VPN permite trocar de protocolo sem mudar de conta.
As diferenças de desempenho vêm do espaço de kernel
A maior vantagem de desempenho do WireGuard no Linux é que ele roda em espaço de kernel — os pacotes não precisam cruzar a fronteira usuário/kernel a cada operação de criptografia ou descriptografia. O OpenVPN roda em espaço de usuário, o que historicamente representou uma sobrecarga significativa. O OpenVPN 2.6 com Data Channel Offload (DCO) move o trabalho de cifra simétrica para o kernel e fecha boa parte dessa lacuna. Não publicamos números brutos de taxa de transferência porque eles variam muito conforme as condições de rede, a carga do servidor e a hora do dia; o whitepaper publicado do WireGuard documenta o design do protocolo e mede o protótipo em benchmark, mas a taxa de transferência real de uma VPN de consumidor depende tanto da infraestrutura do provedor quanto do protocolo.
Quais VPNs auditadas implementam qual protocolo
Todas as cinco grandes VPNs pagas auditadas suportam tanto WireGuard quanto OpenVPN: a Mullvad oferece sua própria implementação de WireGuard ao lado do OpenVPN (a Cure53 auditou ambas as configurações de servidor em junho de 2024). A Proton VPN suporta WireGuard, OpenVPN e um protocolo Stealth (uma variante de OpenVPN-sobre-TLS para redes restritivas). O NordLynx da NordVPN é uma implementação personalizada do WireGuard. O Lightway da ExpressVPN é um protocolo próprio com seu próprio histórico de auditoria (a Cure53 + Praetorian revisaram a reescrita em Rust do Lightway em 2024). A Surfshark suporta WireGuard e OpenVPN.
Recomendação
Adote por padrão o WireGuard ou o protocolo personalizado derivado do WireGuard do fornecedor (NordLynx, Lightway da ExpressVPN). Mude para OpenVPN-TCP quando a rede bloquear UDP — Wi-Fi corporativo, Wi-Fi universitário com saída restritiva, redes de hotel com inspeção profunda de pacotes. A escolha de protocolo raramente é o gargalo do desempenho de uma VPN de consumidor; a seleção de servidores e a carga atual do provedor importam mais. Para a privacidade especificamente, o protocolo não importa — a propriedade de no-logs é independente do protocolo e é o que as auditorias existem para verificar.
Fontes
Whitepaper do WireGuard: wireguard.com/papers/wireguard.pdf. Manual de referência do OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Auditoria de infraestrutura da Mullvad (Cure53 junho de 2024, cobriu as configurações de servidor tanto de OpenVPN quanto de WireGuard): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Auditorias do Lightway da ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Todas as URLs acessadas em 2026-04-30.