WireGuard vs OpenVPN：どちらのプロトコルを使うべきか？

WireGuard vs OpenVPN: 簡単な概要

OpenVPNは2001年に市場に登場し、以来、プライバシーとセキュリティに関して業界標準と見なされてきました。

しかし、2019年に追加されたWireGuardは、その高速な速度と比較的印象的なセキュリティ基準のおかげで、商業VPN業界を席巻しています。

WireGuardとOpenVPNの両方がオープンソースであり、最高のVPNプロバイダーの一部、例えばNordVPN、Surfshark、Private Internet Access、CyberGhostなどは、これらのプロトコルをVPNアプリで提供しています。

一部のVPNプロバイダーは、WireGuard VPNまたはOpenVPNのコードに基づいた独自のプロトコルを作成しています。

WireGuardの主な目的は、既存のVPNプロトコルを、シンプルさ、速度、使いやすさ、攻撃面の範囲の縮小などで改善することです。これは最先端の暗号化技術を使用しています。

したがって、あらゆるVPN（仮想プライベートネットワーク）の側面に対するソリューションを提供します。

OpenVPNは複数のVPN暗号化技術を使用し、6,000万回以上ダウンロードされています。長年業界に存在しているため、OpenVPNは市場のあらゆるVPNクライアント、商業用および企業用にほぼ使用されています。

新しいプロトコルの出現や激しい競争にもかかわらず、OpenVPNは引き続きVPNセキュリティの中心的存在です。

2つのプロトコルの違いがあるにもかかわらず、それらは速い、安全で、安定的で、信頼性があるという共通の目標を持っています。

特徴のハイライト

WireGuardプロトコルは以下の点で最も知られています：

• 超高速な接続速度。

css

• 複数のネットワーク間でのスイッチが可能。
• 自分でVPNネットワークを手動で設定できます。
• 帯域幅の消費が少ない。

OpenVPNは以下の点で最も知られています：

• 中国、ロシアなどの厳しく検閲された地域へのアクセス。

css

• 業界最高水準のセキュリティプロトコル。
• 暗号化に広範なOpenSSLライブラリを使用。
• 徹底的にテストされ、時代を超えた耐久性。

以下は、機能の簡単な比較です：

コードサイズ

WireGuardは約4,000行のコードで構成されています。一方、OpenVPNは70,000行以上のコードを有しています。

さらに、OpenVPNの改良版は最大で600,000行に達することが知られています。

少ない行数のコードを使用することにより、WireGuardは攻撃面を減らし、サイバー攻撃の可能性を減らします。

小さなコードベースでは、開発者は脆弱性を簡単に特定でき、単一の監査人が迅速にコードを監査できます。したがって、ハッカーがWireGuardのセキュリティ上の欠陥を特定する可能性は低いです。

大規模なコードベースであっても、OpenVPNは攻撃に対して脆弱ではありません。以前はそうであったかもしれません。

業界でほぼ二十年間存在することの利点の一つは徹底的な精査です。

さらに、OpenVPNは様々な利害関係者を持つ大規模なコミュニティを持っており、常にバグのない状態を保証しています。

WireGuardとOpenVPNはどちらもオープンソースです。これにより、誰でもソースコードやその他の側面にアクセスし、監査することが容易になります。

WireGuardのコードはOpenVPNのコードに比べて大きくないため、WireGuardは迅速に監査できます。しかし、コードが大きくないにもかかわらず、WireGuardはセキュリティ監査者の信頼をまだ得ていません。

WireGuardとは異なり、OpenVPNは時の試練に耐え、いくつかの監査を受けています。

70,000行以上のコードと大規模なチームが必要であるにもかかわらず、OpenVPNはよく監査されたプロトコルであり、様々なセキュリティ専門家によってよく認識されています。

これは、OpenVPNが長年存在し、ほとんどのVPNトンネル接続がそれに依存しているためです。

セキュリティと暗号化

WireGuardとOpenVPNは、特に暗号に関して、幅広い安全な暗号化技術と暗号化アルゴリズムをサポートしています。

しかし、最先端の暗号化技術であっても、WireGuardはOpenVPNと比べて柔軟性に欠けます。WireGuardには、特定のソフトウェアリリースに対する固定された暗号化技術セットがあります。

セット内にバグやセキュリティの脆弱性が見つかった場合、次のアップデートで対称暗号化技術と暗号化アルゴリズムの別のセットによって脆弱性が対処されます。

しかし、これは変わる可能性があります。OpenVPNの場合、動作する暗号化にすばやく切り替えることができます。これが、WireGuardがOpenVPNよりも大きくない理由の一部でもあります。

WireGuardで一般的に使用される暗号と暗号化技術には、ChaCha20とPoly1305が含まれます。ChaCha20は暗号化に、Poly1305は認証に使用されます。

また、Noiseプロトコルフレームワーク、Curve25519、BLAKE2、SipHash24、HKDFなどの他の暗号化技術も使用できます。

一方、OpenVPNは一般的にAES、Blowfish、Camelliaを使用します。さらに、OpenVPNはOpenSSLライブラリに依存しているため、ChaCha20、Poly1305、SEED、CAST-128、DES、SHA-2、SHA-3、BLAKE2、RSA、DSA、ディフィー・ヘルマンキー交換、楕円曲線など、他の暗号化技術も使用できます。

OpenVPNは、より信頼性の高い、最もテストされた暗号化技術を使用していますが、WireGuardの新しいアルゴリズムとは異なります。この技術は18年以上前のもので、10年前のAES暗号を使用しています。

WireGuardはChaCha20やPoly1035など、より新しい技術を使用しています。

それにもかかわらず、2つのプロトコルを実際に使用した場合、議論は変わります。例えば、WireGuardの新しい暗号化技術は、ほとんどまたは全くセキュリティ脅威をもたらさず、その理由は以下の通りです：

• ChaCha20は時間とともに進化し、現在20以上のセキュリティレベルを持っているため、非常に安全です。
• コードサイズが最小限であるため、WireGuardの監査にかかる時間が短縮されます。
• Googleやより安全なオペレーティングシステムであるLinuxからの認識。

暗号アジリティと攻撃面

暗号アジリティは、セキュリティシステムがアルゴリズム、プロトコル、およびその他の暗号化技術間で自動的に切り替える能力を指します。

WireGuardには暗号アジリティがありません。これは、各バージョンごとに固定された単一の暗号スイートのセットを使用するためです。この暗号アジリティのトレードオフにより、攻撃の複雑さや脆弱性（中間者攻撃を含む）が減少します。

したがって、攻撃の観点からはより安全ですが、保護の観点からはそうではありません。

一方、OpenVPNは暗号アジャイルプロトコルです。複数の暗号スイートを使用できるため、より堅牢な保護が実現されます。

しかし、より多くのスイートを使用すると、複雑さが増し、攻撃面が広がり、ダウングレード攻撃が発生する可能性が高まります。ただし、攻撃が発生した場合、OpenVPNはWireGuardのようにアップグレードを強制しません。

WireGuardでは、「バージョニング」と呼ばれるシステムを使用して、脆弱性がある場合に暗号スイートを変更します。このWireGuardシステムにより、サーバーは新しいバージョンでの接続を要求し、古いパッケージを無視するようになります。

このおかげで、WireGuardは通常の非暗号アジャイルシステムの攻撃の犠牲になることを避けています。

Privacy and Logging

If you’re keen on privacy, settling on a VPN service with a zero logs policy that guarantees absolute privacy is crucial. This should also apply to the VPN protocol the service uses.

OpenVPN has a complete zero logs policy. But this isn’t the case with WireGuard, which is designed to store permitted IP addresses until the next server reboot.

In this regard, WireGuard poses a security risk. This is because if a VPN server is compromised, all IP addresses stored in it will be used to link back to your online activity.

Your IP address will likely be logged if you’re using a standard WireGuard protocol. This is why some VPN solution providers are creating proprietary protocols based on WireGuard to mitigate this privacy issue.

Other building upon WireGuard, there’s a workaround that other top Android VPNs use to mitigate this privacy risk. Here are some of the tricks used:

• Using double Network Address Translation (NAT): This NAT assigns you a dynamic IP address to every VPN connection you make. This implies that every session has a unique IP address that only works until you disconnect from a VPN server.
• Using a multihop (double VPN) feature: This feature routes your online traffic via multiple servers using WireGuard. This technique also deletes your IP address from the server after a certain period of inactivity.

Additionally, if you’re concerned about privacy, you must confirm with your VPN provider the mitigation solutions they have for WireGuard.

Overcoming Censorship

OpenVPN excels at overcoming internet censorship because it can use TCP instead of UDP with port 433, which is also used by HTTPS.

This trick makes it hard for all firewalls to differentiate between OpenVPN traffic and normal, secure web traffic.

Thanks to this trick, OpenVPN is very efficient in highly censored countries like China, Russia, and Turkey.

Under normal circumstances, we recommend using UDP for improved speeds, but TCP is a much safer bet if you want to bypass highly censored regions.

The only trade-off, TCP is much slower than UDP but highly reliable.

WireGuard barely bypasses censorship and is susceptible to Deep Packet inspection. This is because of WireGuard trades-off obfuscation for speed. Thus, WireGuard does not support tunneling over TCP.

Its UDP connections are easily spotted and blocked by various censorship techniques.

WireGuard is not that great for unblocking websites.

Network Switching Mobility

Generally, when it comes to network mobility, the IKEv2 protocol is preferred by many VPN providers since it supports the Mobility and Multihoming Protocol.

However, there are concerns regarding the protocol’s closed source approach. Also, IKEv2 is offered out-of-the-box by many mobile devices; hence you can configure your VPN connection.

In comparison between WireGuard and OpenVPN, WireGuard offers better mobility.

With WireGuard, you can seamlessly switch between Wi-Fi and mobile networks, better than OpenVPN.

Many internet users tend to disconnect and reconnect OpenVPN when they switch networks and thus have connection drops.

If you’re constantly switching networks, it is recommendable to use a VPN that supports WireGuard for an improved internet experience.

Therefore, WireGuard offers an excellent solution to both IKEv2 and OpenVPN problems; it is an open-source solution and eliminates the OpenVPN mobility issue.

Bandwidth Usage, Performance, and Speed

WireGuard uses less bandwidth than OpenVPN. WireGuard uses fewer encryption techniques than its competitor, hence a low encryption overhead.

Therefore, encryption time is fast and requires fewer data to achieve security when using a VPN.

Less encryption overhead is essential when you are using pay-as-you-go mobile bandwidth. With OpenVPN, you will use more data due to its huge encryption overhead during tunneling.

Regarding speed and performance, WireGuard is faster as it mainly relies on UDP connections.

Additionally, it uses fewer CPU resources in mobile devices, embedded systems, and routers because it lives inside the Linux kernel. Additionally, WireGuard also establishes connections quickly.

On the other hand, Open VPN is fast but not as WireGuard when using UDP. However, when you opt for reliability and bypassing restrictions, you will get slower speeds since you must use the TCP connection.

TCP connection prioritizes reliability over speed.

Also, since OpenVPN has a higher encryption overhead, it uses more CPU resources, which can be problematic to devices that don’t have high-performance CPUs, such as routers and embedded systems.

You will also realize battery drainage due to high CPU usage.

Additionally, performance-wise, OpenVPN has never been the best option since even other outdated protocols yield better results.

The WireGuard uses multi-threading better in modern CPUs, which OpenVPN hasn’t utilized fully.

WireGuard conducted a high-performance benchmark with the same parameters on IPSec, WireGuard, and OpenVPN protocol.

Here are the results:

From the above chart, WireGuard has better throughput and lower ping time than its counterpart.

You can also conduct speed tests to confirm which protocol yields excellent speeds.

Close all programs and launch a VPN that supports WireGuard, maybe Surfshark or NordVPN.

Connect to various servers and measure the speeds using Speedtest by ookla. You can use open VPN UDP and TCP against WireGuard.

Compatibility and Ease of Use

Virtually every VPN in the industry uses OpenVPN. You can also get OpenVPN on most routers, consoles, and other devices.

However, WireGuard doesn’t enjoy this popularity yet, but it’ll soon have a similar presence to OpenVPN with mass adoption.

Due to the lean code, it is easy for developers to tweak WireGuard to work or support more devices, excluding legacy systems that won’t support new protocols. Additionally, WireGuard has excellent usability and cross-platform support.

Most VPNs still use the OpenVPN protocol on the router level. But you’ll be pleased to know that a select few VPNs now allow you to use WireGuard at the router level.

On mobile devices, most popular VPNs offer the WireGuard protocol.

Regarding ease of use, WireGuard is straightforward as compared to OpenVPN. This can also be attributed to its less bulky codebase, making it a better option for embedded systems.

OpenVPN has been and is still hard to configure manually. Nonetheless, the process is more straightforward with a third-party client.

Wrap Up

WireGuard is a recent entry into the industry but has already created a name for itself. This is evident in the number of top VPNs incorporating the protocol in their service.

The best part is that WireGuard is now available in the Linux kernel.

OpenVPN is a much older and more respectable protocol in the industry. This is always going to command trust and more loyalty to technical users.

However, there’s no denying how fast WireGuard matches and arguably does better than OpenVPN in various aspects, including speed, codebase, performance, and usability.

Concisely, WireGuard and OpenVPN protocols are pretty matched in this head-to-head comparison. Thus, it’s not easy deciding on the better of the two VPN protocols.

To determine which protocol you should use, you must decide what aspect to trade off. Nonetheless, both protocols are great for day-to-day use.