Hovedmålet med de beste VPN-tjenestene er å lage en sikker, kryptert tunnel for all internettrafikken din, og beskytte den mot hackere og andre – for eksempel Internett-leverandøren din – som vil snoke rundt.
VPN-leverandører kan velge mellom mange protokoller – OpenVPN, IKEv2, L2TP, SSTP og mer – for å lage og administrere den krypterte tunnelen, som alle har sine fordeler og ulemper.
OpenVPN er det mest populære alternativet, men dets opprinnelige design dateres tilbake til 2001 og mye har endret seg i vår internettteknologi og bruk de siste 20 årene.
WireGuard er en nyere aktør i verden av VPN-protokoller og har allerede blitt et populært alternativ på innen mange fasetter av cybersikkerhet. I denne artikkelen ser vi nærmere på WireGuard, dets store fordeler og en potensiell ulempe eller to.
Lett VPN-protokoll
WireGuards utvikler, sikkerhetsforsker Jason A. Donenfeld, begynte arbeidet med protokollen i 2016. Den ble opprinnelig utviklet for Linux, men er nå også tilgjengelig som en stasjonær og mobil-VPN-app på Windows, Mac, Android og iOS.
En stor fordel med WireGuard er dens enkelhet. OpenVPN og IKEv2 krever hundretusenvis av linjer med kode, ettersom de er avhengige av flere krypterings- og autentiseringsordninger som I2P. Dette er fordi tradisjonelle VPN-protokoller har en tendens til å skille mellom lagene for «transport» og «sikkerhet" i data, noe som krever mye behandling.
WireGuard fungerer på sin side med under 5000 linjer med kode, noe som gir alle slags fordeler. Færre feil og sikkerhetsproblemer, for eksempel. Andre fordeler inkluderer redusert CPU-bruk og raskere tilkoblingstider.
Ettersom den bruker mye mindre kode, er den også mye mer egnet for rutere og mobile enheter som ikke har prosessorkraft på nivå med en stasjonær datamaskin.
Kryptering i toppklasse
Kryptografi er et annet fremtredende trekk ved WireGuard, som bruker toppmoderne teknologier som Curve25519, ChaCha20, Poly1305 og BLAKE2.
Du lurer kanskje på hvorfor WireGuard ikke bruker den tradisjonelle 256-bit AES for å kryptere data. Tross alt er det en bredt godkjent krypteringsprogramvare som brukes av militæret, og det er kanskje grunnen til at OpenVPN bruker en variant av den. Svaret handler egentlig om effektivitet:
ChaCha20 bruker også en 256-bits krypteringsnøkkel, men i motsetning til AES trenger den ikke en datamaskin med en spesiell AES-vennlig prosessor for å kjøre mer effektivt. Den kan kjøres perfekt i programvare med en vanlig CPU. Denne protokollen er også spesifikt designet som en «strømchiffer», i motsetning til AES, så den trenger ikke noe for å kommunisere sikkert.
WireGuard kombinerer imidlertid ChaCha20-chifferet med meldingsautentiseringskoden Poly1305. Kort fortalt gjør dette det mye vanskeligere for en angriper å sette inn falske meldinger i chifferstrømmen din for enten å omdirigere trafikken din eller gjøre det lettere for dem å finne ut krypteringsnøklene dine.
Ved å bruke ChaCha20-Poly1305 over en AES-chiffer som AES-GCM, er WireGuard mer motstandsdyktig mot 'timing-angrep'. Dette skjer når hackere prøver å finne ut hvilke krypteringsprotokoller du bruker ved å måle tiden det tar å utføre visse algoritmer.
Fordelene med ChaCha20 er åpenbare, ettersom det er markedets mest populære Stream Cipher, men de som kjenner til kan også tenke at WireGuards utvikleres beslutning om å bruke hashfunksjonen BLAKE2, i stedet for noe mer kjent som SHA256. I krypteringskretser er det generelt tryggere å holde seg til det kjente.
For det første er beslutningen om å bruke BLAKE2 over SHA et spørsmål om effektivitet. BLAKE2 fungerer rett og slett raskere enn andre velkjente hash-funksjoner som SHA eller MD5. BLAKE2 har også 'likegyldighet'. Dette er et konsept som er viktig for kryptografer. Enkelt fortalt er ideen at en chiffer- eller hash-funksjon skal være umulig å skille fra virkelig tilfeldige data. Dette er vanskelig å bevise i praksis, men sikkerhetsforskere er enige om at BLAKE2 stort sett lykkes med dette. Denne funksjonen, som omtales som et 'tilfeldig orakel', støttes heller ikke av SHA.
Curve25519 er et eksempel på elliptisk kurvekryptografi. I likhet med ChaCha20 er den spesielt designet for sikker dataoverføring. Den har eksistert siden 2005 og bruker en 256-bits nøkkel for å levere 128-bits kryptering. Det er en av de raskeste i sitt slag, så det er ikke rart at den er inkludert i den ultraeffektive WireGuard-protokollen, så vel som OpenSSH.
Fordelene med WireGuard
Avgjørelsen fra WireGuards utviklere om å benytte etablerte og effektive krypterings- og autentiseringsprotokoller er klok. I informasjonssikkerhetskretser foretrekker eksperter å holde seg til det kjente, og det er ingen tvil om at WireGuard er designet med sikkerhet i tankene.
En annen stor fordel med WireGuard er effektiviteten. I tillegg til å bruke en brøkdel av koden sammenlignet med andre implementeringer, kan WireGuard kjøres inne i Linux-kjernen, hjertet av operativsystemet som gjør alt det tunge løftet.
OpenVPN kjører utenfor kjernen. Dette betyr at Linux må gjøre ekstra arbeid (teknisk kjent som en «context switch») for å hjelpe OpenVPN med å jobbe med systemet hver gang det sender eller mottar pakker. Siden WireGuard er inne i kjernen, er det ikke behov for denne kontekstbryteren.
Dette kan potensielt resultere i en stor ytelsesforbedring. Men hvor stor, egentlig? I august 2021 rapporterte utvikleren Donenfeld en økning i WiFi-hastighet fra 95 Mbps til 600 Mbps med en ny kjernevennlig Windows-beta, selv om det ennå ikke er klart hvor karakteristiske disse hastighetene er.
WireGuard-nettstedet ytelsesside viser resultater fra noen tidlige benchmark-tester. Den første testen gjaldt datagjennomstrømning over gigabit Ethernet sammenlignet med bruk av IPSec med strømchiffrene ChaPoly og AES-GCM, samt OpenVPN.
I denne testen overførte WireGuard omtrent 20 % mer data enn IPSec-protokollene. Bruk av IPSec makset også datamaskinens CPU, i motsetning til WireGuard. OpenVPN kunne bare overføre omtrent 25 % av dataene som WireGuard gjorde, med CPU-en utnyttet til fulle, på samme måte som IPSec.
WireGuards «ping»-tid var litt raskere enn IPSec-protokollene, men omtrent tre ganger raskere enn OpenVPN.
Med disse åpenbare fordelene er det ikke rart at WireGuard nå støttes bredt i VPN-verdenen. Surfshark, Private Internet Access, VyprVPN, StrongVPN, TorGuard med flere inkluderer det i appene sine. NordVPN benyttet til og med WireGuard som grunnlag for sin NordLynx-protokoll.
Ulempene med WireGuard
WireGuard støttes ikke av alle, og det er flere problemer VPN-leverandører må løse før de kan implementere det effektivt. Faktisk har de selv publisert en side som viser kjente svakheter med protokollen.
WireGuard er designet for enkelhet og effektivitet og mangler dermed noen funksjoner som er felles for de fleste VPN-protokoller. For eksempel har den ingen mulighet til å tildele dynamiske IP-adresser. Dette betyr i teorien at VPN-IP-adressen din kan være den samme hver gang du kobler til, noe som muligens kan tillate sporing.
WireGuard sletter ikke automatisk IP-adressen din når du kobler fra. Den kan forbli i minnet i lang tid etter at økten er over. OpenVPN og andre protokoller jobber mer aktivt for å beskytte personvernet ditt ved å slette IP-adresser når de ikke lenger er nødvendige, noe som reduserer risikoen for at adressen din blir logget.
Det er heller ingen støtte for hemmelighold ved videresending – et system der VPN-data krypteres med en ny privat nøkkel for hver økt. WireGuard bruker den samme nøkkelen som standard, noe som betyr at hvis en hacker kommer inn på serveren og kan stjele nøkkelen din, kan de også dekryptere trafikken din.
Som standard gjør WireGuard ingenting for å skjule trafikken din, så den kan være sårbar for DPI (Deep Packet Inspection). Dette setter ikke dataene dine i fare, men det vil være åpenbart for noen med tilgang til din nettleverandørs lister at du bruker en betalt eller gratis VPN.
Mens de fleste VPN-leverandører tilbyr tilkoblinger via både TCP og UDP, støtter WireGuard kun UDP. Det kan være mer effektivt, men protokollen er ikke kodet for å bekrefte levering av datapakker, så det kan noen ganger ha problemer med dataoverføring/mottak.
Husk at hvis VPN-leverandøren din tilbyr WireGuard, vil du bare kunne bruke den med servere som bruker UDP, med mindre du eller de bruker et tredjepartsverktøy for å sende UDP-datapakker over TCP, for eksempel 'udptunnel' eller 'udp2raw'. Vær imidlertid oppmerksom på at dette nesten helt sikkert vil redusere tilkoblingen og databehandlingshastigheten.
Ettersom WireGuard fortsatt er under aktiv utvikling, erkjenner skaperne at det kan ha enkelte stabilitetsproblemer i overskuelig fremtid. Imidlertid har WireGuard kommet langt siden den rene Linux-tiden. Prosjektets nedlastingsside viser et imponerende antall støttede plattformer inkludert Windows og macOS, samtidig som det innrømmes at ytelsen likevel er best med Linux-kjernen.
Rust-implementeringen av WireGuard (wireguard-rs) er fortsatt under utvikling. Når det er ferdig, burde dette gjøre WireGuard raskere og sikrere på alle plattformer, ettersom Rust fungerer på tvers av plattformer, svært effektivt og fikser en rekke systemsvakheter. Bruk av Rust i stedet for programmeringsspråket 'Go' skulle også forbedre batteritiden når du bruker WireGuard på mobile enheter.
Ikke få panikk av protokollen
Selv om WireGuard gir enkelte bekymringer rundt personvern, knyttes ikke dette til feil eller designproblemer. Hele poenget med protokollen er å holde ting enkelt og fjerne mye av kompleksiteten, og dette er noen av funksjonene som er blitt utelatt.
Disse bekymringene betyr ikke at tilkobling via WireGuard er noe mindre sikker enn OpenVPN, ettersom de beste VPN-leverandørene har laget sine egne løsninger i appen og på serveren.
IVPN har for eksempel kommet med sin egen måte å tildele dynamiske IP-adresser og gi deg en ny privat nøkkel. De løser også problemet med at IP-adresser blir lagret for alltid ved å slette og rekonfigurere tilkoblingen din, når tjenesten oppdager at ingenting har skjedd på tilkoblingen på tre minutter.
NordVPN har også brukt en implementering av WireGuard i sin egen protokoll «Nordlynx», som bruker leverandørens egen doble NAT (Network Address Translation) for å autentisere brukere med en spesialisert database. Dette hindrer brukere i å avsløre den egentlige IP-adressen til VPN-serveren, pluss at NordVPN kan tildele nye «dynamiske» IP-adresser til brukere hver gang de kobler seg til tjenesten. Alt dette uten ekstra kostnad for NordVPN-abonnenter.
WireGuard er uten tvil både mer effektiv og sikrere enn noen annen gratis og åpen kildekode (FOSS) VPN-protokoll.
Imidlertid vil ikke alle VPN-leverandører være villige og i stand til å gjøre det ekstra arbeidet som IVPN og NordVPN har, for å gjøre protokollen egnet for bruk med VPN-er når det gjelder tildeling av IP-adresser og autentisering av brukere uten å lagre personlige data på deres servere.
Hvis du er interessert i WireGuard, sørg for å lese opp på hver VPN-leverandør for å finne ut om de støtter det og nøyaktig hvordan det er implementert på nettverket deres.
Skaff deg TechRadars topprangerte VPN-tjenester i dag
Nedenfor finner du våre tre topprangerte VPN-tjenester akkurat nå, sammen med deres priser for forskjellige abonnementer.
