Одним из основных факторов, определяющих выбор VPN является поддерживаемый протокол. Под протоколами VPN понимает правила и инструкции, которые отвечают на передачи данных между вашим устройством и сервером VPN.
Протоколы играют ключевую роль в стабильности и безопасности вашего соединения, поскольку каждый протокол имеет свои сильные и слабые стороны.
Существует довольно большое количество протоколов VPN, но два из них выделяются на фоне остальных — это OpenVPN и Wireguard.
Долгое время OpenVPN был стандартным протоколом для VPN. Протокол с открытым исходным кодом был разработан Джеймсом Йонаном и был впервые выпущен в 2001 году под Стандартной общественной лицензией GNU. С тех пор OpenVPN стал отраслевым стандартом благодаря своей надежности и гибкости.
Гибкие криптографические алгоритмыOpenVPN поддерживает несколько криптографических алгоритмов за счет использования библиотеки OpenSSL для обеспечения шифрования.
- Варианты шифрования и аутентификации включают AES, Blowfish, Camellia, ChaCha20, DES, Triple DES, ГОСТ 28147-89, Poly1305 и SM4.
- Варианты хеширования включают BLAKE2, MD4, MD5, MDC-2, SHA-1 и SHA-2.
- Ключевые параметры наследования и соглашения включают DSA, Ed25519, RSA, SM2 и X25519.
- Варианты протокола транспортного уровня включают TCP или UDP.
- Пользовательские данные защищены Perfect Forward Secrecy.
Возможность использования различных алгоритм дает OpenVPN большую гибкость настройки в зависимости от конкретных сценариев использования. Недостатком такого подхода является увеличением сложности кода, что может замедлить выполнение.
Тщательная проверкаOpenVPN хорошо зарекомендовал себя по итогам многочисленных аудитов. Ни одна проверка не смогла найти каких-либо уязвимостей в системе безопасности протокола. OpenVPN — это отраслевой стандарт, поддерживаемый многими экспертами безопасности.
OpenVPN не имеет фундаментальной структуры, нарушающей конфиденциальность, и не требует хранения информации о пользователе на стороне VPN.
Кодовая база протокола насчитывает сотни тысяч строк кода, что делает аудит непростой задачей. Будущие аудиты, вероятно, будут проходить реже.
Wireguard — относительный новичок в мире VPN, но быстро становится новым золотым стандартом благодаря более компактному коду и значительному увеличению скорости.
Когда протокол Wireguard только был выпущен, многие отнеслись к нему скептически из-за того, что инфраструктура позволяет хранить IP-адрес пользователя в течение длительного времени на стороне VPN. Естественно, заботящиеся о конфиденциальности пользователи сочли это неприятным моментом.
С тех пор его значительно возросшие скорости и значительно уменьшенный код (что значительно упрощает аудит), наряду с разработками VPN, направленными на смягчение или устранение недостатков конфиденциальности, сделали Wireguard предпочтительным протоколом для VPN. При нынешних темпах не пройдет много времени, прежде чем OpenVPN будет превзойден и, по сути, прекратит свое существование.
Высокая скоростьВо всех тестах Wireguard успешно превосходит своих конкурентов, когда речь идет о скорости. По сравнению с OpenVPN, Wireguard обычно более чем на 50% быстрее при обмене данными между географически близкими VPN-серверами.
Конечно, протокол VPN — не единственный фактор, определяющий скорости ваших VPN-сервисов. Многое зависит от провайдеров. Однако, Wireguard VPN значительно опережает OpenVPN при прочих равных условиях.
Современная криптографияВ отличие от OpenVPN, Wireguard использует только один криптографический алгоритм для каждой функции. Wireguard жертвует гибкостью в пользу меньшей поверхности атаки и иммунитета к downgrade-атакам.
- Симметричное шифрование: ChaCha20.
- Аутентификация: Poly1305 с конструкцией AEAD RFC7539.
- В соглашениях об анонимных ключах ECDH используется Curve25519.
- Хэширование: BLAKE2.
- Ключи хэш-таблицы: SipHash24.
- Вывод ключа: HKDF.
- Протокол транспортного уровня: UDP.
- Пользовательские данные защищены Perfect Forward Secrecy.
Использование фиксированного списка значительно усложняет хакерам поиск точек атаки, повышая безопасность сетей Wireguard по сравнению с OpenVPN. Недостатком является то, что любые обнаруженные проблемы с шифрами или протоколами заставят всех конечных пользователей перейти на новую версию Wireguard.
Несложный аудитОдной из основных целей создания Wireguard была простота анализа, чтобы всего один инженер мог выполнить задачу за разумное время. По сравнению с длительным временем, которое требуется для аудита OpenVPN, это была высокая цель.
Исходный код Wireguard насчитывает около 4000 строк кода. Для сравнения OpenVPN имеет около 70 000 строк только в своем открытом исходном коде. Эта изящная структура очень привлекательна для постоянного аудита ПО.
Уровень ядра, а не пользовательского пространстваWireguard разработан для использования в ядрах Linux и Windows а не в пользовательском пространстве операционных систем. Это позволяет значительно повысить эффективность и скорость работы протокола.
Проблемы конфиденциальностиПосле появления Wireguard, протокол подвергался критике из-за того, что инфраструктура хранила IP-адрес пользователя на сервере VPN. Это результат работы алгоритма маршрутизации криптографического ключа, который упрощает элементы Wireguard, но оставляет большой знак вопроса в отношении конфиденциальности пользователей.
VPN-сервисы предлагают различные решения этой проблемы, такие как система NordVPN с двойным NAT «NordLynx» или автоматическое стирание записей от Mullvad после короткого периода отсутствия связи между VPN-клиентом и сервером.
WindScribe VPN использует две основные меры обеспечения конфиденциальности. Первая из них — автоматическое стирание записи вскоре после закрытия соединения. Это значит, что IP-адрес пользователей никогда не сохраняется. Во-вторых сервис применяет немного измененную реализацию Wireguard, которая не печатает конечную точку (IP-адрес) при использовании инструмента проверки состояния одноранговых узлов. Этот небольшой дополнительный штрих снижает вероятность того, что персонал случайно увидит эту информацию (например, во время отладки).
Есть и другие вариантыWireguard и OpenVPN являются наиболее широко используемыми протоколами для VPN, но не единственными. На рынке можно встретить решения на базе следующих протоколов:
IKEv2
Stealth
WSTunnel
Какой протокол VPN лучше?В современных реалиях Wireguard считается более предпочтительным протоколом, чем OpenVPN. Конечно, у OpenVPN есть свои преимущества, в том числе гибкость шифрования и отсутствие проблемы конфиденциальности, как у Wireguard. Проблема заключается в том, что это не слишком значительные преимущества, поэтому единственная реальная причина использовать OpenVPN — это если вы особо заботитесь о конфиденциальности и предпочитаете надежные и проверенные временем решения.
Источник