Ist WireGuard sicherer als OpenVPN?

Bei richtiger Konfiguration sind beide sicher. Die viel kleinere Codebasis von WireGuard macht die Prüfung nachvollziehbar, verringert die Angriffsfläche und profitiert von einem formalen, maschinengeprüften Sicherheitsnachweis, über den OpenVPN nicht verfügt. OpenVPN profitiert von mehr als 20 Jahren praktischer Prüfung und einem ausgereiften TLS-Ökosystem. In den modernen Konfigurationen beider Protokolle ist kein kryptografischer Bruch bekannt.

Warum verwendet WireGuard nur UDP?

Weil das Tunneln von TCP über TCP das bekannte TCP-Meltdown-Problem verursacht: Wenn die innere Verbindung erneut überträgt, überträgt auch die äußere Verbindung erneut und die beiden Wiederholungs-Timer treten aufeinander ein. UDP umgeht dies vollständig. Der Nachteil besteht darin, dass WireGuard sich nicht als HTTPS auf TCP/443 tarnen kann, weshalb OpenVPN-TCP in stark gefilterten Netzwerken immer noch nützlich ist.

Protokolliert WireGuard meine IP?

Das bloße Protokoll ordnet einem verbindenden Peer seinen öffentlichen Schlüssel zu, der eine Art Protokoll darstellt. Seriöse kommerzielle VPN-Anbieter umgeben WireGuard mit rotierenden internen IPs und reinen RAM-Servern, um diese Oberfläche zu entfernen. Wenn Sie Ihren eigenen WireGuard-Server betreiben, liegt die Verantwortung bei Ihnen.

Kann WireGuard in China oder im Iran funktionieren?

Standardmäßige WireGuard-Handshakes haben eine charakteristische Form und können durch Deep Packet Inspection leicht per Fingerabdruck erfasst werden, sodass sie in stark gefilterten Ländern routinemäßig blockiert werden. Forks wie AmneziaWG sorgen für eine Verschleierung, die den Handschlag verschleiert. OpenVPN-over-TCP/443 mit TLS-Verschleierung ist eine weitere zuverlässige Alternative.

Wird WireGuard den Akku meines Mobilgeräts zerstören?

Nein – es ist normalerweise besser als OpenVPN. Die kleine Codebasis von WireGuard und das Fehlen einer ständigen Keepalive-Schleife führen zu einer geringeren CPU- und Funkaktivität. IKEv2 mit einer Kernel-Implementierung ist auf Mobilgeräten ähnlich effizient.

WireGuard erklärt: Das moderne VPN-Protokoll, das tatsächlich Dinge verändert hat

WireGuard ist die seltene Open-Source-Software, die innerhalb von fünf Jahren zum Standard wurde. Linux-Kernel-Mainline seit 2020, die Engine hinter NordLynx und Mullvad und eine Codebasis, die klein genug ist, dass eine Person sie an einem Nachmittag prüfen kann. Dies ist die ausführliche Erklärung – was es ist, wie es funktioniert, warum alle gewechselt haben und wo es immer noch Mängel aufweist.

Der vollständige Artikeltext ist unten in englischer Sprache aufgeführt.

Was WireGuard eigentlich ist

WireGuard ist ein Layer-3-VPN-Protokoll, das von Jason A. Donenfeld entwickelt und erstmals 2015 veröffentlicht wurde. Die entscheidende Designwahl war Minimalismus: etwa 4.000 Zeilen Kernel-C-Code, verglichen mit etwa 70.000 für OpenVPN und irgendwo über 400.000 für die verschiedenen IPsec-Implementierungen. Weniger Code bedeutet eine kleinere Angriffsfläche und eine Codebasis, die ein Ingenieur im Kopf behalten kann – beides führt direkt zu einfacheren Audits und weniger Sicherheitslücken. Es gibt keine TLS-Aushandlungsphase für den Fingerabdruck, keine Auswahl an Verschlüsselungssammlungen zur Laufzeit, keine cleveren Fallback-Ketten. Sie erhalten einen Satz moderner Grundelemente. Sie verwenden sie oder Sie verwenden ein anderes Protokoll.

Der kryptografische Stapel

XPLZ8 langfristig). SHA-2). Framework. Der Abschluss erfolgt in zwei Nachrichten mit einem optionalen Pre-Shared Key für eine zusätzliche Ebene symmetrischen Schutzes – nützlich als Absicherung gegen zukünftige Quantencomputer-Angriffe auf Curve25519. Das ist Absicht. Die Übertragung von TCP über TCP (die Art und Weise, wie OpenVPN-TCP funktioniert) verursacht das bekannte TCP-Meltdown-Problem: Wenn die innere TCP-Verbindung erneut überträgt, sendet auch die äußere erneut, und die beiden Timer treten aufeinander ein. UDP vermeidet dies vollständig.

Der Kompromiss ist real: In restriktiven Netzwerken, in denen nur TCP/443 zugelassen ist, funktioniert WireGuard einfach nicht. Es gibt kein Äquivalent zu OpenVPN-over-TCP-443, das als HTTPS-Verkehr getarnt werden kann. Wenn Sie sich hinter einem Netzwerk im Great-Firewall-Stil befinden, benötigen Sie ein anderes Protokoll oder einen Wrapper wie AmneziaWG, der den WireGuard-Handshake verschleiert. Pakete überschreiten niemals die Kernel-/Userspace-Grenze auf dem Hot Path.

9 Dezember 2019 fusionierte net-next und fügte WireGuard in die Hauptlinie ein.
20. März 2020 Bild.
XPLZ70 „ein Kunstwerk“ im Vergleich zu OpenVPN und IPsec. Er hat nicht übertrieben.
Unabhängige Sicherheitsanalyse
Im Mai 2019 veröffentlichten Forscher von INRIA einen maschinell überprüften Beweis für WireGuards Handshake mit dem Tool CryptoVerif. Sie zeigten, dass das Protokoll gegenseitige Authentifizierung, IND-CCA-Sitzungsschlüsselgeheimnis, Vorwärtsgeheimnis und Post-Compromise-Sicherheit garantiert – selbst über unbegrenzte parallele Sitzungen hinweg, selbst wenn Langzeitschlüssel verloren gehen. Das ist ein ungewöhnlich starkes formales Ergebnis für ein VPN-Protokoll.
Vergleich mit OpenVPN und IPsec
XPLZ88 Latenz.
WireGuard: 800–950 Mbit/s, +10–25 ms.
IKEv2/IPsec: 600–800 Mbit/s, ähnlich Latenz.
OpenVPN UDP: 250–400 Mbit/s, +30–60 ms ms.

Sie können die Lücke selbst überprüfen, indem Sie unseren -Geschwindigkeitstest bei ausgeschaltetem VPN ausführen und dann jedes von Ihrem Anbieter unterstützte Protokoll erneut ausführen.

Wo WireGuard schwächer ist

Kein Verbindungsstatus. WireGuard bindet einen Peer an eine statische IP-Zuweisung. Ohne Hilfe entsteht dadurch eine Protokollierungsoberfläche – die IP jedes verbindenden Clients wird mit seinem öffentlichen Schlüssel auf dem Server verknüpft. Kommerzielle VPNs lösen dieses Problem mit rotierenden internen IPs, erfordern jedoch zusätzliche Installationen, die das Protokoll selbst nicht bietet.
UDP-only. Funktioniert nicht, wenn nur TCP/443 zulässig ist Koordinator.
Einfach per Fingerabdruck zu erfassen. Der Handshake hat eine charakteristische Form und ist durch Deep Packet Inspection problemlos identifizierbar, was einer der Gründe dafür ist, dass er in China, Iran und Russland blockiert ist.

Implementierungen für know

wireguard-go: die offizielle plattformübergreifende Userspace-Implementierung in Go Treiber, verfügbar seit August 2021. NordVPN verpackt es als NordLynx mit einer benutzerdefinierten NAT-Schicht, um das Problem der statischen IP-Zuweisung zu beheben. ProtonVPN unterstützt es in allen Plänen. IVPN und TunnelBear versenden es. Tailscale und Cloudflare WARP verwenden es beide intern. Wenn Ihr Anbieter modern ist, spricht er mit ziemlicher Sicherheit WireGuard.
Sollten Sie WireGuard wählen?
Für 95 % der Benutzer, ja. Es ist schneller, effizienter im mobilen Akkubetrieb, einfacher einzurichten und verfügt über eine weitaus stärkere formale Sicherheitsgeschichte als seine Vorgänger. Die einzigen Gründe für eine andere Wahl sind:
Sie befinden sich in einem Land, das WireGuard-Handshakes über DPI blockiert – wählen Sie OpenVPN über TCP/443 mit TLS-Verschleierung oder AmneziaWG Dienst, der WireGuard noch nicht ausgeliefert hat (selten im Jahr 2026). Ein funktionierendes Protokoll mit einem falsch konfigurierten Client ist nicht besser als gar kein VPN.

Häufig gestellte Fragen

Ist WireGuard sicherer als OpenVPN?: Bei richtiger Konfiguration sind beide sicher. Die viel kleinere Codebasis von WireGuard macht die Prüfung nachvollziehbar, verringert die Angriffsfläche und profitiert von einem formalen, maschinengeprüften Sicherheitsnachweis, über den OpenVPN nicht verfügt. OpenVPN profitiert von mehr als 20 Jahren praktischer Prüfung und einem ausgereiften TLS-Ökosystem. In den modernen Konfigurationen beider Protokolle ist kein kryptografischer Bruch bekannt.
Warum verwendet WireGuard nur UDP?: Weil das Tunneln von TCP über TCP das bekannte TCP-Meltdown-Problem verursacht: Wenn die innere Verbindung erneut überträgt, überträgt auch die äußere Verbindung erneut und die beiden Wiederholungs-Timer treten aufeinander ein. UDP umgeht dies vollständig. Der Nachteil besteht darin, dass WireGuard sich nicht als HTTPS auf TCP/443 tarnen kann, weshalb OpenVPN-TCP in stark gefilterten Netzwerken immer noch nützlich ist.
Protokolliert WireGuard meine IP?: Das bloße Protokoll ordnet einem verbindenden Peer seinen öffentlichen Schlüssel zu, der eine Art Protokoll darstellt. Seriöse kommerzielle VPN-Anbieter umgeben WireGuard mit rotierenden internen IPs und reinen RAM-Servern, um diese Oberfläche zu entfernen. Wenn Sie Ihren eigenen WireGuard-Server betreiben, liegt die Verantwortung bei Ihnen.
Kann WireGuard in China oder im Iran funktionieren?: Standardmäßige WireGuard-Handshakes haben eine charakteristische Form und können durch Deep Packet Inspection leicht per Fingerabdruck erfasst werden, sodass sie in stark gefilterten Ländern routinemäßig blockiert werden. Forks wie AmneziaWG sorgen für eine Verschleierung, die den Handschlag verschleiert. OpenVPN-over-TCP/443 mit TLS-Verschleierung ist eine weitere zuverlässige Alternative.
Wird WireGuard den Akku meines Mobilgeräts zerstören?: Nein – es ist normalerweise besser als OpenVPN. Die kleine Codebasis von WireGuard und das Fehlen einer ständigen Keepalive-Schleife führen zu einer geringeren CPU- und Funkaktivität. IKEv2 mit einer Kernel-Implementierung ist auf Mobilgeräten ähnlich effizient.

Was WireGuard eigentlich ist

Der kryptografische Stapel

Unabhängige Sicherheitsanalyse

Vergleich mit OpenVPN und IPsec

Wo WireGuard schwächer ist

Implementierungen für know

Sollten Sie WireGuard wählen?

Häufig gestellte Fragen