Huvudmålet med de bästa VPN-tjänsterna är att skapa en säker, krypterad tunnel för all din internettrafik, vilket skyddar den från hackare och andra – som exempelvis din internetleverantör – som vill gärna vill snoka runt.
VPN-leverantörer kan välja mellan många protokoll – OpenVPN, IKEv2, L2TP, SSTP, med flera – för att skapa och hantera den krypterade tunneln, som alla har sina för- och nackdelar.
OpenVPN är det mest populära alternativet, men dess ursprungliga design går tillbaka till 2001 och mycket har förändrats i vår internetteknologi och användning under de senaste 20 åren.
WireGuard är en nyare aktör inom världen av VPN-protokoll och har redan blivit ett populärt alternativ över hela cybersäkerhetsområdet. I den här artikeln tar vi en närmare titt på WireGuard, dess stora fördelar och en eller två potentiella nackdelar.
Lätt VPN-protokoll
WireGuards utvecklare, säkerhetsforskaren Jason A. Donenfeld, påbörjade arbetet med protokollet 2016. Det utvecklades ursprungligen för Linux, men nu finns det även tillgängligt som en skrivbords- och mobil-VPN-app på Windows, Mac, Android och iOS.
En stor fördel med WireGuard är dess enkelhet. OpenVPN och IKEv2 kräver hundratusentals kodrader, eftersom de förlitar sig på flera krypterings- och autentiseringssystem som I2P. Detta beror på att traditionella VPN-protokoll tenderar att separera 'transport'- och 'säkerhets'-lager för data, vilket kräver mycket bearbetning.
WireGuard, å andra sidan, fungerar med under 5 000 kodrader, vilket medför alla möjliga fördelar. Färre buggar och säkerhetsproblem, till exempel. Andra fördelar inkluderar minskad CPU-användning och snabbare anslutningstider.
Eftersom det använder mycket mindre kod är det också mycket mer lämpligt för routrar och mobila enheter som inte har databehandlingskraft på desktop-nivå.
Krypto i toppklass
Kryptografi är ytterligare en framstående funktion hos WireGuard, som använder toppmodern teknik som Curve25519, ChaCha20, Poly1305 och BLAKE2.
Du kanske undrar varför WireGuard inte använder sig av den traditionella 256-bitars AES för att kryptera data. Trots allt är det en krypteringsmjukvara som är godkänd av regeringen och används inom militären, vilket kanske är anledningen till att OpenVPN använder en variant av den. Svaret handlar verkligen om effektivitet:
ChaCha20 använder också en 256-bitars krypteringsnyckel men till skillnad från AES behöver den inte en dator med en särskild AES-vänlig processor för att köras mer effektivt. Den kan köras perfekt i mjukvara med en vanlig CPU. Detta protokoll är också specifikt utformat som en 'stream cipher' till skillnad från AES, så den behöver inget för att kommunicera säkert.
WireGuard kombinerar dock ChaCha20-chiffret med Poly1305-meddelandeautentiseringskod. Kort sagt gör detta det mycket svårare för en angripare att infoga falska meddelanden i din chifferström för att antingen omdirigera din trafik eller göra det lättare för dem att räkna ut dina krypteringsnycklar.
Genom att använda ChaCha20-Poly1305 över ett AES-chiffer som AES-GCM är WireGuard mer motståndskraftigt mot 'timing-attacker'. Detta sker när hackare försöker lista ut vilka krypteringsprotokoll du använder genom att mäta tiden det tar att genomföra vissa algoritmer.
Fördelarna med ChaCha20 är tydliga, eftersom det är den mest populära strömkrypteraren som finns, men de insatta kan också fundera över beslutet från WireGuards utvecklare att använda hashfunktionen BLAKE2, snarare än något mer bekant som SHA256. Inom krypteringskretsar är det generellt säkrare att hålla sig till det som är bekant.
För det första är beslutet att använda BLAKE2 över SHA en fråga om effektivitet. BLAKE2 fungerar helt enkelt snabbare än andra välkända hashfunktioner som SHA eller MD5. BLAKE2 har också 'indifferentiability'. Detta är ett koncept som är viktigt för kryptografer – i enklaste termer är idén att en chiffer eller hashfunktion bör vara omöjlig att skilja från verkligt slumpmässiga data. Detta är svårt att bevisa i praktiken men säkerhetsforskare håller med om att BLAKE2 lyckas med detta till stor del. Denna funktion, ibland känd som en 'random oracle', stöds inte heller av SHA.
Curve25519 är ett exempel på elliptisk kurvkryptografi så, liksom ChaCha20, är den särskilt utformad för säker dataöverföring. Den har funnits sedan 2005 och använder en 256-bitars nyckel för att erbjuda 128-bitars kryptering. Det är en av de snabbaste i sitt slag, så det är inte konstigt att den ingår i det ultraeffektiva WireGuard-protokollet samt OpenSSH.
Fördelarna med WireGuard
Beslutet från WireGuards utvecklare att använda etablerade och effektiva krypterings- och autentiseringsprotokoll är klokt. Inom kretsar för informationssäkerhet föredrar experter att hålla sig till det bekanta, och det råder ingen tvekan om att WireGuard är designat med säkerhet i åtanke.
En annan stor fördel med WireGuard är dess effektivitet. Förutom att använda en bråkdel av koden jämfört med andra implementeringar kan WireGuard köras inuti Linux-kärnan, hjärtat av operativsystemet som utför allt det tunga grundläggande arbetet.
OpenVPN körs utanför kärnan. Det betyder att Linux måste utföra extra arbete (tekniskt känt som en "context switch") för att hjälpa OpenVPN att arbeta med systemet varje gång det skickar eller tar emot paket. Eftersom WireGuard finns inuti kärnan, finns det inget behov av denna context switch.
Detta kan potentiellt resultera i en stor prestandaförbättring. Hur stor? I augusti 2021 rapporterade utvecklaren Donenfeld en ökning av WiFi-hastigheten från 95Mbps till 600Mbps med en ny kärnvänlig Windows-beta, även om det ännu inte är klart hur typiska dessa hastigheter kan vara.
WireGuard-hemsidans prestandasida visar resultat från några tidiga benchmarktester. Det första testet gällde datagenomströmning över gigabit Ethernet i jämförelse med att använda IPSec med strömchiffrerna ChaPoly och AES-GCM, samt OpenVPN.
I detta test kunde WireGuard överföra cirka 20% mer data än IPSec-protokollen. Att använda IPSec maxade också ut datorns CPU till skillnad från med WireGuard. OpenVPN kunde endast överföra cirka 25% av datan som WireGuard gjorde, med CPU:n helt maxad, likt med IPSec.
WireGuards "ping"-tid var något snabbare än IPSec-protokollen men ungefär tre gånger snabbare än OpenVPN.
Med dessa uppenbara fördelar är det inte konstigt att WireGuard nu stöds brett i VPN-världen. Surfshark, Private Internet Access, VyprVPN, StrongVPN, TorGuard och andra inkluderar det i sina appar. NordVPN använde till och med WireGuard som grund för sitt NordLynx-protokoll.
Nackdelarna med WireGuard
WireGuard stöds inte av alla, och det finns flera problem som VPN-leverantörer måste lösa innan de kan implementera det effektivt. För att vara rättvis mot utvecklingsteamet har de faktiskt publicerat en sida som listar kända svagheter med protokollet.
WireGuard är designat för enkelhet och effektivitet och saknar därför vissa funktioner som är vanliga i de flesta VPN-protokoll. Till exempel har det ingen möjlighet att tilldela dynamiska IP-adresser. Det innebär i teorin att din VPN-IP-adress kan vara densamma varje gång du ansluter, vilket potentiellt kan tillåta spårning online.
WireGuard raderar inte automatiskt din IP-adress när du kopplar från. Den kan stanna i minnet hur länge som helst efter att sessionen avslutats. OpenVPN och andra protokoll arbetar mer aktivt för att skydda din integritet genom att radera IP-adresser när de inte längre behövs, vilket minskar risken för att din adress loggas.
Det finns inte heller någon support för framåtsekretess – ett system där VPN-data krypteras med en ny privat nyckel varje session. WireGuard använder samma nyckel som standard, vilket betyder att om en hacker tar sig in på servern och kan stjäla din nyckel, kan de också kunna dekryptera din trafik.
Som standard gör WireGuard ingenting för att dölja din trafik, så det kan vara sårbart för DPI (Deep Packet Inspection). Detta sätter inte din data i riskzonen men det skulle vara uppenbart för någon med tillgång till din internetleverantörs listor att du använder en betald eller gratis VPN.
Medan de flesta VPN-leverantörer erbjuder anslutningar både via TCP och UDP, stöder WireGuard endast UDP, vilket kan vara mer effektivt men protokollet är inte kodat för att bekräfta leverans av datapaket, så det kan ibland ha problem med dataöverföring/mottagning.
Kom ihåg att om din VPN-leverantör erbjuder WireGuard, kommer du endast att kunna använda det med servrar som använder UDP, om inte du eller de använder ett tredjepartsverktyg för att skicka UDP-datapaket via TCP, såsom 'udptunnel' eller 'udp2raw'. Var dock medveten om att detta nästan säkert kommer att sänka din anslutnings- och databehandlingshastighet.
Eftersom WireGuard fortfarande är under aktiv utveckling, erkänner dess skapare att det kan ha vissa stabilitetsproblem under en överskådlig framtid. WireGuard har dock kommit långt sedan sina dagar för endast Linux. Projektets nedladdningssida listar ett imponerande antal plattformar med stöd inklusive Windows och macOS, samtidigt som de medger att prestandan är bäst med Linux-kärnan.
Rust-implementationen av WireGuard (wireguard-rs) är fortfarande under utveckling. När den är klar bör detta göra WireGuard snabbare och säkrare på alla plattformar, eftersom Rust är cross-platform, mycket effektiv och åtgärdar ett antal systemsvagheter. Att använda Rust istället för programmeringsspråket 'Go' bör också förbättra batteritiden när WireGuard används på mobila enheter.
Få inte panik över protokoll
Även om WireGuard har integritetsbekymmer är dessa inte buggar eller problem med designen. Hela poängen med protokollet är att hålla saker enkla och skala bort mycket av komplexiteten, och dessa är några av de funktioner som utelämnats.
Dessa bekymmer betyder inte att anslutning via WireGuard är mindre säker än OpenVPN, eftersom de främsta VPN-leverantörerna har skapat egna lösningar i appen och på servern.
IVPN har kommit på ett eget sätt att tilldela dynamiska IP-adresser och ge dig en ny privat nyckel, till exempel. De löser dessutom problemet med att IP-adresser lagras för alltid genom att radera och konfigurera om din anslutning, när tjänsten upptäcker att ingenting har hänt på anslutningen under tre minuter.
NordVPN har också använt en implementering av WireGuard i sitt eget protokoll "Nordlynx", som använder leverantörens eget dubbla NAT (Network Address Translation) för att autentisera användare med en specialiserad databas. Detta hindrar användare från att avslöja sin hem-IP-adress till VPN-servern, plus att NordVPN kan tilldela nya "dynamiska" IP-adresser till användarna varje gång de ansluter till tjänsten. Allt detta utan extra kostnad för NordVPN-prenumeranter.
WireGuard är utan tvekan både effektivare och säkrare än något annat gratis VPN-protokoll med öppenkällkod (FOSS).
Dock kommer inte alla VPN-leverantörer vara villiga och kapabla att göra det extra arbete som IVPN och NordVPN har, för att göra protokollet lämpligt för användning med VPN när det gäller att tilldela IP-adresser och autentisera användare utan att lagra personliga data på deras servrar.
Om du är intresserad av WireGuard, se till att läsa på lite om varje VPN-leverantör för att ta reda på om de stöder det och exakt hur det implementeras på deras nätverk.
Skaffa TechRadars topprankade VPN-tjänster idag
Här nedanför hittar du våra tre topprankade VPN-tjänster just nu, tillsammans med deras priser på olika abonnemang.
