WireGuard proti OpenVPN v letu 2026: kriptografski gradniki, velikost kode in kdaj je vsak prava privzeta izbira
WireGuard je novejši, manjši in uporablja sodobne gradnike. OpenVPN je starejši, večji in teče prek TCP 443, da prečka restriktivna omrežja. Oba sta odprta standarda. Tukaj je pošten okvir za izbiro protokola.
Kaj sta WireGuard in OpenVPN, na kratko
WireGuard je protokol VPN, ki ga je zasnoval Jason A. Donenfeld in je bil leta 2020 vključen v jedro Linuxa. Beli dokument na wireguard.com/papers/wireguard.pdf opredeljuje njegove kriptografske gradnike: Curve25519 za izmenjavo ključev, ChaCha20 za simetrično šifriranje, Poly1305 za preverjanje pristnosti, BLAKE2s za zgoščevanje, HKDF za izpeljavo ključev, SipHash24 za ključ razpršilne tabele. Izvedba v jedru Linuxa obsega približno 4.000 vrstic kode. OpenVPN je starejši (prvič izdan leta 2001), licenciran pod GPL, teče v uporabniškem prostoru (ne v jedru) in za kriptografijo uporablja OpenSSL ali mbedTLS. Referenčni priročnik za OpenVPN 2.6 je objavljen na openvpn.net.
Velikost kode in revizijska površina
Majhna koda WireGuarda (~4.000 vrstic v izvedbi za jedro Linuxa) je premišljena oblikovalska odločitev — manjša kot je koda, manjša je revizijska površina in manj je mest, kjer se lahko skrivajo hrošči. Koda OpenVPN je večja (celoten projekt, vključno z binarno datoteko openvpn, vtičniki in podpornimi knjižnicami, obsega precej več) — kompromis je več kot dve desetletji zgodovine ranljivosti CVE, kar pomeni, da je bil vsak pogost robni primer najden, popravljen in je zdaj del nabora testov. Nobeden ni nedvoumno varnejši; manjšo kodo je pregledalo manj oči v krajšem času.
Prenos: UDP proti TCP
WireGuard uporablja izključno UDP. OpenVPN podpira tako UDP kot TCP. Posledica: omrežja, ki blokirajo UDP — službeni Wi-Fi z restriktivnimi izhodnimi pravili, nekatera hotelska omrežja, omrežja z globokim pregledovanjem paketov, ki označijo ne-HTTPS UDP — bodo blokirala WireGuard. Način TCP pri OpenVPN teče na vratih TCP 443, istih vratih, ki jih uporablja HTTPS, in ga je zato težje blokirati, ne da bi prekinili običajen spletni promet. Če se redno povezujete iz omrežij z restriktivnimi izhodnimi pravili, je OpenVPN-TCP zanesljivejša izbira, čeprav je počasnejši. Večina velikih odjemalcev VPN omogoča preklop protokolov brez menjave računa.
Razlike v zmogljivosti izhajajo iz prostora jedra
Največja prednost WireGuarda v zmogljivosti v Linuxu je, da teče v prostoru jedra — paketom pri vsaki operaciji šifriranja ali dešifriranja ni treba prečkati meje med uporabniškim prostorom in jedrom. OpenVPN teče v uporabniškem prostoru, kar je bilo zgodovinsko opazno breme. OpenVPN 2.6 z Data Channel Offload (DCO) prestavi delo simetričnega šifriranja v jedro in zapre velik del vrzeli. Surovih številk o prepustnosti ne objavljamo, ker se močno razlikujejo glede na omrežne razmere, obremenitev strežnika in čas dneva; objavljeni beli dokument WireGuarda dokumentira zasnovo protokola in primerja prototip, vendar je dejanska prepustnost potrošniškega VPN-ja odvisna tako od infrastrukture ponudnika kot od protokola.
Kateri revidirani VPN-ji izvajajo kateri protokol
Vseh pet velikih revidiranih plačljivih VPN-jev podpira tako WireGuard kot OpenVPN: Mullvad poleg OpenVPN ponuja svojo lastno izvedbo WireGuarda (Cure53 je junija 2024 revidiral obe konfiguraciji strežnikov). Proton VPN podpira WireGuard, OpenVPN in protokol Stealth (različico OpenVPN prek TLS za restriktivna omrežja). NordVPN-ov NordLynx je prilagojena izvedba WireGuarda. ExpressVPN-ov Lightway je lasten protokol s svojo zgodovino revizij (Cure53 + Praetorian sta leta 2024 pregledala ponovno napisavo Lightwaya v jeziku Rust). Surfshark podpira WireGuard in OpenVPN.
Priporočilo
Privzeto uporabite WireGuard ali iz WireGuarda izpeljani lastni protokol ponudnika (NordLynx, ExpressVPN-ov Lightway). Preklopite na OpenVPN-TCP, ko omrežje blokira UDP — službeni Wi-Fi, univerzitetni Wi-Fi z restriktivnimi izhodnimi pravili, hotelska omrežja z globokim pregledovanjem paketov. Izbira protokola je le redko ozko grlo za zmogljivost potrošniškega VPN-ja; izbira strežnikov ponudnika in trenutna obremenitev štejeta več. Posebej za zasebnost protokol ne šteje — lastnost brez beleženja je neodvisna od protokola in je tisto, kar revizije obstajajo, da preverijo.
Viri
Beli dokument WireGuard: wireguard.com/papers/wireguard.pdf. Referenčni priročnik OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Infrastrukturna revizija Mullvad (Cure53 junij 2024, zajela tako konfiguracijo strežnikov OpenVPN kot WireGuard): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Revizije Lightway ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Vsi URL-ji dostopani 2026-04-30.