WireGuard vs OpenVPN v roku 2026: kryptografické primitívy, veľkosť kódovej základne a kedy je ktorý správnou predvolenou voľbou
WireGuard je novší, menší a používa moderné primitívy. OpenVPN je starší, väčší a beží cez TCP 443, aby prešiel reštriktívnymi sieťami. Oba sú otvorené štandardy. Tu je úprimný rámec pre voľbu protokolu.
Čo sú WireGuard a OpenVPN, stručne
WireGuard je protokol VPN navrhnutý Jasonom A. Donenfeldom a začlenený do linuxového jadra v roku 2020. Biela kniha na wireguard.com/papers/wireguard.pdf špecifikuje jeho kryptografické primitívy: Curve25519 na výmenu kľúčov, ChaCha20 na symetrické šifrovanie, Poly1305 na autentizáciu, BLAKE2s na hašovanie, HKDF na odvodzovanie kľúčov, SipHash24 na kľúč hašovacej tabuľky. Implementácia v linuxovom jadre má približne 4 000 riadkov kódu. OpenVPN je starší (prvýkrát vydaný v roku 2001), licencovaný pod GPL, beží v používateľskom priestore (nie v jadre) a používa na kryptografiu OpenSSL alebo mbedTLS. Referenčná príručka OpenVPN 2.6 je zverejnená na openvpn.net.
Veľkosť kódovej základne a plocha pre audit
Malá kódová základňa WireGuardu (~4 000 riadkov v implementácii pre linuxové jadro) je zámerná voľba návrhu — čím menšia kódová základňa, tým menšia plocha pre audit a tým menej miest, kde sa môžu skrývať chyby. Kódová základňa OpenVPN je väčšia (celý projekt vrátane binárky openvpn, pluginov a podporných knižníc zaberá oveľa viac) — kompromisom je viac než dve desaťročia histórie CVE, čo znamená, že každý bežný okrajový prípad bol nájdený, opravený a je teraz súčasťou testovacej sady. Ani jeden nie je jednoznačne bezpečnejší; menšiu kódovú základňu preskúmalo menej očí po kratší čas.
Prenos: UDP vs TCP
WireGuard používa iba UDP. OpenVPN podporuje UDP aj TCP. Z toho plynie: siete, ktoré blokujú UDP — firemná Wi-Fi s reštriktívnymi pravidlami odchádzajúcej prevádzky, niektoré hotelové siete, siete s hĺbkovou kontrolou paketov, ktoré označujú UDP mimo HTTPS — budú WireGuard blokovať. Režim TCP u OpenVPN beží na porte TCP 443, na tom istom porte ako HTTPS, a je preto ťažšie ho zablokovať bez toho, aby sa narušila bežná webová prevádzka. Ak sa pravidelne pripájate zo sietí s reštriktívnou odchádzajúcou prevádzkou, je OpenVPN-TCP spoľahlivejšou voľbou, aj keď je pomalšia. Väčšina veľkých klientov VPN umožňuje prepínať protokoly bez zmeny účtu.
Rozdiely vo výkone pramenia z priestoru jadra
Najväčšou výhodou WireGuardu vo výkone na Linuxe je, že beží v priestore jadra — pakety nemusia prekračovať hranicu medzi používateľským priestorom a jadrom pri každej operácii šifrovania či dešifrovania. OpenVPN beží v používateľskom priestore, čo historicky znamenalo citeľnú réžiu. OpenVPN 2.6 s Data Channel Offload (DCO) presúva prácu so symetrickou šifrou do jadra a veľkú časť tohto rozdielu uzatvára. Nezverejňujeme hrubé čísla priepustnosti, pretože sa silne líšia podľa sieťových podmienok, zaťaženia servera a dennej doby; zverejnená biela kniha WireGuardu dokumentuje návrh protokolu a benchmarkuje prototyp, ale priepustnosť spotrebiteľskej VPN v reálnom svete závisí od infraštruktúry poskytovateľa rovnako ako od protokolu.
Ktoré auditované VPN implementujú ktorý protokol
Všetkých päť veľkých auditovaných platených VPN podporuje WireGuard aj OpenVPN: Mullvad ponúka vlastnú implementáciu WireGuardu popri OpenVPN (Cure53 auditovala obe serverové konfigurácie v júni 2024). Proton VPN podporuje WireGuard, OpenVPN a protokol Stealth (variant OpenVPN-na-TLS pre reštriktívne siete). NordLynx od NordVPN je upravená implementácia WireGuardu. Lightway od ExpressVPN je vlastný protokol s vlastnou históriou auditov (Cure53 + Praetorian v roku 2024 preskúmali prepis Lightway do Rustu). Surfshark podporuje WireGuard a OpenVPN.
Odporúčanie
Ako predvolenú voľte WireGuard alebo vlastný protokol poskytovateľa odvodený od WireGuardu (NordLynx, Lightway od ExpressVPN). Prepnite na OpenVPN-TCP, keď sieť blokuje UDP — firemná Wi-Fi, univerzitná Wi-Fi s reštriktívnou odchádzajúcou prevádzkou, hotelové siete s DPI. Voľba protokolu je pri výkone spotrebiteľskej VPN málokedy úzkym hrdlom; výber servera a aktuálne zaťaženie poskytovateľa hrajú väčšiu rolu. Pre súkromie konkrétne na protokole nezáleží — vlastnosť bez logov je na protokole nezávislá a je tým, čo audity existujú, aby overili.
Zdroje
Biela kniha WireGuard: wireguard.com/papers/wireguard.pdf. Referenčná príručka OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Audit infraštruktúry Mullvadu (Cure53 jún 2024, pokrýval serverové konfigurácie OpenVPN aj WireGuard): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Audity ExpressVPN Lightway: expressvpn.com/blog/lightway-audits-cure53-praetorian. Všetky URL navštívené 2026-04-30.