WireGuard so với OpenVPN năm 2026: Các nguyên hàm mật mã, kích thước mã nguồn và khi nào mỗi loại là lựa chọn mặc định đúng
WireGuard mới hơn, nhỏ gọn hơn và dùng các nguyên hàm hiện đại. OpenVPN cũ hơn, lớn hơn và chạy trên TCP 443 để vượt qua các mạng hạn chế. Cả hai đều là chuẩn mở. Đây là khung lựa chọn giao thức trung thực.
WireGuard và OpenVPN là gì, một cách ngắn gọn
WireGuard là một giao thức VPN do Jason A. Donenfeld thiết kế và được hợp nhất vào nhân Linux năm 2020. Bản whitepaper tại wireguard.com/papers/wireguard.pdf đặc tả các nguyên hàm mật mã của nó: Curve25519 cho trao đổi khóa, ChaCha20 cho mã hóa đối xứng, Poly1305 cho xác thực, BLAKE2s cho băm, HKDF cho dẫn xuất khóa, SipHash24 cho khóa bảng băm. Bản triển khai trong nhân Linux có khoảng 4.000 dòng mã. OpenVPN cũ hơn (phát hành lần đầu năm 2001), được cấp phép GPL, chạy ở không gian người dùng (user space, không phải nhân) và dùng OpenSSL hoặc mbedTLS cho mật mã. Sổ tay tham khảo OpenVPN 2.6 được công bố tại openvpn.net.
Kích thước mã nguồn và bề mặt kiểm toán
Mã nguồn nhỏ gọn của WireGuard (~4.000 dòng trong bản triển khai nhân Linux) là một lựa chọn thiết kế có chủ đích — mã nguồn càng nhỏ thì bề mặt kiểm toán càng nhỏ và càng ít chỗ cho lỗi ẩn náu. Mã nguồn của OpenVPN lớn hơn (toàn bộ dự án bao gồm tệp nhị phân openvpn, các plugin và thư viện hỗ trợ trải dài hơn nhiều) — sự đánh đổi là hơn hai thập kỷ lịch sử CVE, nghĩa là mọi trường hợp biên thông thường đều đã được tìm ra, vá lại và giờ là một phần của bộ kiểm thử. Không loại nào an toàn hơn một cách rõ ràng; mã nguồn nhỏ hơn có ít con mắt soi xét hơn trong khoảng thời gian ngắn hơn.
Tầng vận chuyển: UDP so với TCP
WireGuard chỉ dùng UDP. OpenVPN hỗ trợ cả UDP lẫn TCP. Hệ quả: những mạng chặn UDP — Wi-Fi doanh nghiệp với quy tắc kiểm soát luồng ra hạn chế, một số mạng khách sạn, các mạng có kiểm tra gói sâu (DPI) gắn cờ UDP không phải HTTPS — sẽ chặn WireGuard. Chế độ TCP của OpenVPN chạy trên cổng TCP 443, cùng cổng mà HTTPS dùng, và do đó khó bị chặn hơn mà không làm hỏng lưu lượng web thông thường. Nếu bạn thường xuyên kết nối từ các mạng có kiểm soát luồng ra hạn chế, OpenVPN-TCP là lựa chọn đáng tin cậy hơn dù chậm hơn. Hầu hết các ứng dụng khách VPN lớn cho phép bạn đổi giao thức mà không cần đổi tài khoản.
Khác biệt hiệu năng đến từ không gian nhân
Lợi thế hiệu năng lớn nhất của WireGuard trên Linux là nó chạy trong không gian nhân — các gói tin không phải vượt qua ranh giới người dùng/nhân trong mỗi thao tác mã hóa hay giải mã. OpenVPN chạy ở không gian người dùng, vốn trong lịch sử là một chi phí phụ trội đáng kể. OpenVPN 2.6 với Data Channel Offload (DCO) chuyển công việc của thuật toán mã hóa đối xứng vào nhân và thu hẹp phần lớn khoảng cách. Chúng tôi không công bố các con số thông lượng thô vì chúng thay đổi rất nhiều theo điều kiện mạng, tải máy chủ và thời điểm trong ngày; bản whitepaper WireGuard đã công bố ghi lại thiết kế giao thức và đo điểm chuẩn bản nguyên mẫu, nhưng thông lượng VPN tiêu dùng trong thực tế phụ thuộc vào hạ tầng của nhà cung cấp nhiều như phụ thuộc vào giao thức.
Những VPN được kiểm toán nào triển khai giao thức nào
Cả năm VPN trả phí lớn được kiểm toán đều hỗ trợ cả WireGuard lẫn OpenVPN: Mullvad trang bị bản triển khai WireGuard riêng của mình bên cạnh OpenVPN (Cure53 đã kiểm toán cấu hình của cả hai máy chủ vào tháng 6 năm 2024). Proton VPN hỗ trợ WireGuard, OpenVPN và một giao thức Stealth (một biến thể OpenVPN-trên-TLS cho các mạng hạn chế). NordLynx của NordVPN là một bản triển khai WireGuard được tùy chỉnh. Lightway của ExpressVPN là một giao thức riêng với lịch sử kiểm toán riêng (Cure53 + Praetorian năm 2024 đã xem xét bản viết lại bằng Rust của Lightway). Surfshark hỗ trợ WireGuard và OpenVPN.
Khuyến nghị
Mặc định dùng WireGuard hoặc giao thức tùy chỉnh dựa trên WireGuard của nhà cung cấp (NordLynx, Lightway của ExpressVPN). Chuyển sang OpenVPN-TCP khi mạng chặn UDP — Wi-Fi doanh nghiệp, Wi-Fi đại học có kiểm soát luồng ra hạn chế, mạng khách sạn có DPI. Lựa chọn giao thức hiếm khi là nút thắt cổ chai cho hiệu năng VPN tiêu dùng; việc chọn máy chủ và tải hiện tại của nhà cung cấp quan trọng hơn. Riêng về quyền riêng tư, giao thức không quan trọng — thuộc tính no-logs độc lập với giao thức và đó là điều mà các cuộc kiểm toán tồn tại để xác minh.
Nguồn
Whitepaper WireGuard: wireguard.com/papers/wireguard.pdf. Sổ tay tham khảo OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Kiểm toán hạ tầng Mullvad (Cure53 tháng 6 năm 2024, bao gồm cấu hình cả máy chủ OpenVPN lẫn WireGuard): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Kiểm toán Lightway của ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Tất cả URL được truy cập ngày 2026-04-30.