WireGuard vs OpenVPN în 2026: primitive criptografice, dimensiunea codului și când fiecare este alegerea implicită potrivită
WireGuard este mai nou, mai mic și folosește primitive moderne. OpenVPN este mai vechi, mai mare și rulează peste TCP 443 pentru a traversa rețele restrictive. Ambele sunt standarde deschise. Iată cadrul onest pentru alegerea protocolului.
Ce sunt WireGuard și OpenVPN, pe scurt
WireGuard este un protocol VPN proiectat de Jason A. Donenfeld și integrat în kernelul Linux în 2020. Documentul tehnic de la wireguard.com/papers/wireguard.pdf specifică primitivele sale criptografice: Curve25519 pentru schimbul de chei, ChaCha20 pentru criptarea simetrică, Poly1305 pentru autentificare, BLAKE2s pentru hashing, HKDF pentru derivarea cheilor, SipHash24 pentru cheia tabelei de hash. Implementarea în kernelul Linux are aproximativ 4.000 de linii de cod. OpenVPN este mai vechi (lansat pentru prima dată în 2001), licențiat GPL, rulează în spațiul utilizatorului (nu în kernel) și folosește OpenSSL sau mbedTLS pentru criptografie. Manualul de referință OpenVPN 2.6 este publicat la openvpn.net.
Dimensiunea codului și suprafața de audit
Codul mic al WireGuard (~4.000 de linii în implementarea din kernelul Linux) este o alegere deliberată de design — cu cât codul este mai mic, cu atât suprafața de audit este mai mică și cu atât mai puține locuri în care se pot ascunde erori. Codul OpenVPN este mai mare (proiectul complet, inclusiv binarul openvpn, plugin-urile și bibliotecile de suport, se întinde pe mult mai mult) — compromisul este peste două decenii de istoric CVE, ceea ce înseamnă că fiecare caz limită obișnuit a fost găsit, corectat și face acum parte din suita de teste. Niciunul nu este în mod neechivoc mai sigur; codul mai mic a fost examinat de mai puțini ochi și pentru o perioadă mai scurtă.
Transport: UDP vs TCP
WireGuard folosește doar UDP. OpenVPN suportă atât UDP, cât și TCP. Implicația: rețelele care blochează UDP — Wi-Fi corporativ cu reguli de ieșire restrictive, unele rețele de hotel, rețele cu inspecție profundă a pachetelor care semnalează UDP non-HTTPS — vor bloca WireGuard. Modul TCP al OpenVPN rulează pe portul TCP 443, același port pe care îl folosește HTTPS, și este, prin urmare, mai greu de blocat fără a întrerupe traficul web obișnuit. Dacă te conectezi în mod regulat din rețele cu ieșire restrictivă, OpenVPN-TCP este alegerea mai fiabilă, chiar dacă este mai lent. Majoritatea clienților VPN majori îți permit să comuți protocoalele fără a schimba conturile.
Diferențele de performanță provin din spațiul kernelului
Cel mai mare avantaj de performanță al WireGuard pe Linux este că rulează în spațiul kernelului — pachetele nu trebuie să traverseze granița utilizator/kernel la fiecare operațiune de criptare sau decriptare. OpenVPN rulează în spațiul utilizatorului, ceea ce istoric a reprezentat o cheltuială semnificativă. OpenVPN 2.6 cu Data Channel Offload (DCO) mută lucrul cifrului simetric în kernel și închide o mare parte din diferență. Nu publicăm cifre brute de debit deoarece variază mult în funcție de condițiile de rețea, sarcina serverului și ora din zi; documentul tehnic WireGuard publicat documentează designul protocolului și măsoară prototipul, dar debitul real al VPN-urilor de consum depinde de infrastructura furnizorului la fel de mult ca de protocol.
Care VPN-uri auditate implementează care protocol
Toate cele cinci VPN-uri plătite majore auditate suportă atât WireGuard, cât și OpenVPN: Mullvad livrează propria implementare WireGuard alături de OpenVPN (Cure53 a auditat ambele configurații de server în iunie 2024). Proton VPN suportă WireGuard, OpenVPN și un protocol Stealth (o variantă OpenVPN-pe-TLS pentru rețele restrictive). NordLynx de la NordVPN este o implementare WireGuard personalizată. Lightway de la ExpressVPN este un protocol personalizat cu propriul istoric de audit (Cure53 + Praetorian în 2024 au revizuit rescrierea în Rust a Lightway). Surfshark suportă WireGuard și OpenVPN.
Recomandare
Folosește implicit WireGuard sau protocolul personalizat derivat din WireGuard al furnizorului (NordLynx, Lightway de la ExpressVPN). Comută la OpenVPN-TCP când rețeaua blochează UDP — Wi-Fi corporativ, Wi-Fi universitar cu ieșire restrictivă, rețele de hotel cu DPI. Alegerea protocolului este rareori blocajul pentru performanța VPN-urilor de consum; selecția de servere a furnizorului și sarcina curentă contează mai mult. Pentru confidențialitate în mod specific, protocolul nu contează — proprietatea no-logs este independentă de protocol și este ceea ce auditurile există pentru a verifica.
Surse
Document tehnic WireGuard: wireguard.com/papers/wireguard.pdf. Manual de referință OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Audit de infrastructură Mullvad (Cure53 iunie 2024, a acoperit atât configurațiile de server OpenVPN, cât și WireGuard): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Audituri Lightway ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Toate URL-urile accesate la 2026-04-30.