WireGuard vs OpenVPN 2026: kryptografiska primitiver, kodbasstorlek och när vart och ett är rätt standardval
WireGuard är nyare, mindre och använder moderna primitiver. OpenVPN är äldre, större och körs över TCP 443 för att ta sig igenom restriktiva nätverk. Båda är öppna standarder. Här är det ärliga ramverket för protokollval.
Vad WireGuard och OpenVPN är, kort sagt
WireGuard är ett VPN-protokoll utformat av Jason A. Donenfeld och integrerat i Linux-kärnan 2020. Vitboken på wireguard.com/papers/wireguard.pdf specificerar dess kryptografiska primitiver: Curve25519 för nyckelutbyte, ChaCha20 för symmetrisk kryptering, Poly1305 för autentisering, BLAKE2s för hashning, HKDF för nyckelhärledning och SipHash24 för hashtabellnyckeln. Linux-kärnimplementeringen omfattar cirka 4 000 kodrader. OpenVPN är äldre (släpptes första gången 2001), GPL-licensierat, körs i användarutrymmet (inte i kärnan) och använder OpenSSL eller mbedTLS för kryptografin. Referenshandboken för OpenVPN 2.6 är publicerad på openvpn.net.
Kodbasstorlek och granskningsangreppsyta
WireGuards lilla kodbas (~4 000 rader i Linux-kärnimplementeringen) är ett medvetet designval — ju mindre kodbas, desto mindre granskningsangreppsyta och desto färre ställen där buggar kan gömma sig. OpenVPN:s kodbas är större (hela projektet inklusive openvpn-binären, plugin-program och stödbibliotek omfattar betydligt mer) — avvägningen är över två decenniers CVE-historik, vilket innebär att varje vanligt specialfall har hittats, åtgärdats och nu ingår i testsviten. Inget av dem är entydigt säkrare; den mindre kodbasen har granskats av färre ögon under en kortare tid.
Transport: UDP vs TCP
WireGuard använder uteslutande UDP. OpenVPN stöder både UDP och TCP. Konsekvensen: nätverk som blockerar UDP — företags-Wi-Fi med restriktiva utgångsregler, vissa hotellnätverk, nätverk med deep packet inspection som flaggar icke-HTTPS-UDP — blockerar WireGuard. OpenVPN:s TCP-läge körs på TCP-port 443, samma port som HTTPS använder, och är därför svårare att blockera utan att störa normal webbtrafik. Om du regelbundet ansluter från nätverk med restriktiva utgångsregler är OpenVPN-TCP det mer pålitliga valet, även om det är långsammare. De flesta stora VPN-klienter låter dig byta protokoll utan att ändra konto.
Prestandaskillnader kommer från kärnutrymmet
WireGuards största prestandafördel på Linux är att det körs i kärnutrymmet — paket behöver inte korsa gränsen mellan användarutrymme och kärna vid varje krypterings- eller dekrypteringsoperation. OpenVPN körs i användarutrymmet, vilket historiskt har inneburit en märkbar overhead. OpenVPN 2.6 med Data Channel Offload (DCO) flyttar det symmetriska chifferarbetet till kärnan och täpper till en stor del av luckan. Vi publicerar inga råa genomströmningssiffror eftersom de varierar kraftigt med nätverksförhållanden, serverbelastning och tid på dygnet; den publicerade WireGuard-vitboken dokumenterar protokolldesignen och prestandatestar prototypen, men den verkliga genomströmningen för ett konsument-VPN beror lika mycket på leverantörens infrastruktur som på protokollet.
Vilka granskade VPN som implementerar vilket protokoll
Alla fem stora granskade betal-VPN stöder både WireGuard och OpenVPN: Mullvad levererar sin egen WireGuard-implementering vid sidan av OpenVPN (Cure53 granskade båda serverkonfigurationerna i juni 2024). Proton VPN stöder WireGuard, OpenVPN och ett Stealth-protokoll (en OpenVPN-över-TLS-variant för restriktiva nätverk). NordVPN:s NordLynx är en anpassad WireGuard-implementering. ExpressVPN:s Lightway är ett eget protokoll med sin egen granskningshistorik (Cure53 + Praetorian granskade 2024 omskrivningen av Lightway i Rust). Surfshark stöder WireGuard och OpenVPN.
Rekommendation
Använd WireGuard som standard, eller leverantörens WireGuard-härledda egna protokoll (NordLynx, ExpressVPN:s Lightway). Byt till OpenVPN-TCP när nätverket blockerar UDP — företags-Wi-Fi, universitets-Wi-Fi med restriktiva utgångsregler, hotellnätverk med DPI. Protokollvalet är sällan flaskhalsen för ett konsument-VPN:s prestanda; leverantörens serverurval och aktuella belastning spelar större roll. Specifikt för integriteten spelar protokollet ingen roll — no-logs-egenskapen är oberoende av protokoll och är det granskningar finns till för att kontrollera.
Källor
WireGuard-vitbok: wireguard.com/papers/wireguard.pdf. OpenVPN 2.6 referenshandbok: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Mullvad-infrastrukturgranskning (Cure53 juni 2024, täckte både OpenVPN- och WireGuard-serverkonfigurationer): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. ExpressVPN Lightway-granskningar: expressvpn.com/blog/lightway-audits-cure53-praetorian. Alla webbadresser hämtade 2026-04-30.