Apakah WireGuard lebih aman dibandingkan OpenVPN?

Keduanya aman bila dikonfigurasi dengan benar. Basis kode WireGuard yang jauh lebih kecil membuat audit lebih mudah dilakukan dan mengurangi permukaan serangan, serta mendapat manfaat dari bukti keamanan formal yang diperiksa mesin yang tidak dimiliki OpenVPN. OpenVPN mendapat manfaat dari pengawasan mendalam selama lebih dari 20 tahun dan ekosistem TLS yang matang. Tidak ada kerusakan kriptografi yang diketahui pada konfigurasi modern kedua protokol.

Mengapa WireGuard hanya menggunakan UDP?

Karena penerowongan TCP melalui TCP menyebabkan masalah kehancuran TCP yang terkenal — ketika koneksi dalam melakukan transmisi ulang, koneksi luar juga melakukan transmisi ulang, dan kedua pengatur waktu percobaan ulang saling menginjak satu sama lain. UDP menghindari hal itu sepenuhnya. Kerugiannya adalah WireGuard tidak bisa menyamar sebagai HTTPS pada TCP/443, itulah sebabnya OpenVPN-TCP masih berguna dalam jaringan yang sangat terfilter.

Apakah WireGuard mencatat IP saya?

Protokol telanjang mengaitkan rekan penghubung dengan kunci publiknya, yang merupakan semacam log. Penyedia VPN komersial terkemuka membungkus WireGuard dengan IP internal yang berputar dan server khusus RAM untuk menghilangkan permukaan ini. Jika Anda menjalankan server WireGuard Anda sendiri, tanggung jawab ada di tangan Anda.

Bisakah WireGuard berfungsi di Tiongkok atau Iran?

Jabat tangan WireGuard standar memiliki bentuk yang khas dan mudah diambil sidik jarinya melalui pemeriksaan paket yang mendalam, sehingga jabat tangan tersebut secara rutin diblokir di negara-negara yang sangat disaring. Garpu seperti AmneziaWG menambahkan kebingungan yang menyamarkan jabat tangan; OpenVPN-over-TCP/443 dengan kebingungan TLS adalah alternatif lain yang dapat diandalkan.

Akankah WireGuard mematikan baterai ponsel saya?

Tidak — biasanya ini lebih baik daripada OpenVPN. Basis kode WireGuard yang kecil dan kurangnya loop keepalive yang konstan berarti aktivitas CPU dan radio yang lebih rendah. IKEv2 dengan implementasi kernel juga sama efisiennya di perangkat seluler.

Penjelasan WireGuard: Protokol VPN Modern yang Sebenarnya Mengubah Banyak Hal

WireGuard adalah perangkat lunak sumber terbuka langka yang menjadi default dalam lima tahun. Jalur utama kernel Linux sejak tahun 2020, mesin di belakang NordLynx dan Mullvad, dan basis kode yang cukup kecil sehingga satu orang dapat mengauditnya dalam satu sore. Ini adalah penjelasan mendalam — apa itu, cara kerjanya, mengapa semua orang beralih, dan apa kekurangannya.

Badan artikel selengkapnya disediakan dalam bahasa Inggris di bawah ini.

Apa sebenarnya WireGuard itu

WireGuard adalah protokol VPN Lapisan 3 yang dirancang oleh Jason A. Donenfeld dan pertama kali dirilis pada tahun 2015. Pilihan desain yang menentukan adalah minimalis: sekitar 4.000 baris kode kernel C, dibandingkan dengan sekitar 70.000 untuk OpenVPN dan sekitar 400.000 untuk berbagai implementasi IPsec. Lebih sedikit kode berarti permukaan serangan yang lebih kecil dan basis kode yang dapat diingat oleh seorang insinyur — keduanya berarti audit yang lebih mudah dan bug keamanan yang lebih sedikit.

Protokol melakukan satu pekerjaan dan menolak untuk memasang fitur kecuali jika diperlukan. Tidak ada fase negosiasi TLS untuk sidik jari, tidak ada pilihan cipher suite saat runtime, tidak ada rantai fallback yang cerdas. Anda mendapatkan satu set primitif modern. Anda menggunakannya atau Anda menggunakan protokol yang berbeda.

Tumpukan kriptografi

WireGuard menggunakan sekumpulan primitif modern yang kecil dan berpendirian, alih-alih membiarkan pengguna memilih:

Curve25519 untuk pertukaran kunci Diffie–Hellman kurva elips (keduanya bersifat sementara dan jangka panjang).
ChaCha20 untuk enkripsi simetris.
Poly1305 untuk otentikasi pesan.
BLAKE2s untuk hashing (lebih cepat dari SHA-3 dan lebih ringan dari SHA-2).
HKDF untuk derivasi kunci.
SipHash24 untuk tabel hash internal yang menolak penolakan layanan melalui serangan kompleksitas algoritmik.

Jabat tangan dibangun berdasarkan pola IK dari Kerangka Protokol Noise. Ini diselesaikan dalam dua pesan, dengan kunci pra-berbagi opsional untuk lapisan perlindungan simetris tambahan — berguna sebagai perlindungan terhadap serangan komputasi kuantum di masa depan pada Curve25519.

UDP-only by design

WireGuard hanya berbicara UDP, pada port 51820 secara default. Ini disengaja. Membawa TCP melalui TCP (cara kerja OpenVPN-TCP) menyebabkan masalah kehancuran TCP yang terkenal: ketika koneksi TCP bagian dalam melakukan transmisi ulang, koneksi luar juga melakukan transmisi ulang, dan kedua pengatur waktu saling menginjak satu sama lain. UDP menghindari hal itu sepenuhnya.

Pengorbanannya nyata: dalam jaringan terbatas di mana hanya TCP/443 yang diperbolehkan keluar, WireGuard tidak berfungsi. Tidak ada OpenVPN-over-TCP-443 yang bisa disamarkan sebagai lalu lintas HTTPS. Jika Anda menggunakan jaringan bergaya Great Firewall, Anda memerlukan protokol atau pembungkus berbeda seperti AmneziaWG yang mengaburkan jabat tangan WireGuard. Adopsi kernel

Linux Status

WireGuard sebagai modul kernel — bukan daemon ruang pengguna seperti OpenVPN — adalah alasan terbesar mengapa jaringan ini begitu cepat. Paket tidak pernah melewati batas kernel/userspace di jalur hot.

9 Desember 2019: David Miller menerima patch WireGuard ke dalam pohon Linux net-next.
28 Januari 2020: Linus Torvalds menggabungkan net-next, menempatkan WireGuard ke jalur utama.
20 Maret 2020: Linux 5.6 dikirimkan dengan WireGuard bawaan.
30 Maret 2020: Android menambahkan dukungan kernel asli di Kernel Generik Image.
22 Juni 2020: OpenBSD mengimpornya.
29 November 2020: FreeBSD 13 menyusul.

Torvalds yang terkenal pelit dengan pujian disebut kode "sebuah karya seni" dibandingkan dengan OpenVPN dan IPsec. Dia tidak melebih-lebihkan.

Analisis keamanan independen

Pada bulan Mei 2019, para peneliti di INRIA menerbitkan bukti jabat tangan WireGuard yang diperiksa mesin menggunakan alat CryptoVerif. Mereka menunjukkan bahwa protokol tersebut menjamin autentikasi timbal balik, kerahasiaan kunci sesi IND-CCA, kerahasiaan penerusan, dan keamanan pasca-kompromi — bahkan di seluruh sesi paralel tanpa batas, meskipun kunci jangka panjang bocor. Itu adalah hasil formal yang luar biasa kuat untuk sebuah protokol VPN.

Bagaimana hal ini dibandingkan dengan OpenVPN dan IPsec

Pada koneksi kabel biasa 1 Gbps dengan latensi 50 ms ke pintu keluar terdekat:

Langsung (tanpa VPN): kecepatan saluran penuh, ~5 ms menambahkan latensi.
WireGuard: 800–950 Mbps, +10–25 ms.
IKEv2/IPsec: 600–800 Mbps, serupa latensi.
OpenVPN UDP: 250–400 Mbps, +30–60 mdtk.
OpenVPN TCP: 100–250 Mbps, +50–100 ms.

Anda dapat memverifikasi sendiri kesenjangannya dengan menjalankan speed test dengan VPN nonaktif, lalu menjalankan kembali setiap protokol yang didukung penyedia Anda.

Jika WireGuard lebih lemah

Tidak ada status koneksi. WireGuard mengikat peer ke alokasi IP statis. Tanpa bantuan, hal itu akan menciptakan permukaan logging - setiap IP klien yang terhubung dikaitkan dengan kunci publik mereka di server. VPN komersial mengatasi masalah ini dengan merotasi IP internal, namun memerlukan pipa tambahan yang tidak disediakan oleh protokol itu sendiri.
UDP-only. Tidak berfungsi jika hanya TCP/443 yang diizinkan.
Tidak ada traversal NAT bawaan. Rekan di belakang NAT simetris memerlukan eksternal koordinator.
Mudah untuk sidik jari. Jabat tangan memiliki bentuk yang khas dan mudah dikenali dengan pemeriksaan paket mendalam, yang merupakan salah satu alasan pemblokirannya di Tiongkok, Iran, dan Rusia.

Implementasi untuk know

wireguard-go: implementasi userspace lintas platform resmi di Go.
BoringTun: implementasi userspace Rust Cloudflare, digunakan dalam produksi di scale.
wireguard-nt: driver kernel Windows, tersedia sejak Agustus 2021.
AmneziaWG: fork yang menambahkan kebingungan protokol untuk lolos dari pemeriksaan paket mendalam.

Siapa yang menggunakannya secara komersial

Mullvad mengirimkan dukungan WireGuard sebelum hampir semua orang lain. NordVPN membungkusnya sebagai NordLynx dengan lapisan NAT khusus untuk mengatasi masalah alokasi IP statis. ProtonVPN mendukungnya di seluruh paket. IVPN dan TunnelBear mengirimkannya. Tailscale dan Cloudflare WARP keduanya menggunakannya secara internal. Jika penyedia Anda modern, hampir pasti ia menggunakan WireGuard.

Haruskah Anda memilih WireGuard?

Untuk 95% pengguna, ya. Ini lebih cepat, lebih efisien pada baterai ponsel, lebih mudah diatur, dan memiliki tingkat keamanan formal yang jauh lebih kuat dibandingkan pendahulunya. Satu-satunya alasan untuk memilih yang berbeda adalah:

Anda berada di negara yang memblokir jabat tangan WireGuard melalui DPI — pilih OpenVPN melalui TCP/443 dengan kebingungan TLS, atau AmneziaWG.
Anda memerlukan terowongan perusahaan yang selalu aktif ke konsentrator IPsec lama — tetaplah di sana IKEv2.
Anda menggunakan layanan yang belum mengirimkan WireGuard (jarang terjadi pada tahun 2026).

Setelah Anda terhubung, konfirmasikan bahwa terowongan benar-benar berfungsi dengan uji kebocoran VPN kami. Protokol yang berfungsi dengan klien yang salah dikonfigurasi tidak lebih baik daripada tidak ada VPN sama sekali.

Pertanyaan yang sering diajukan

Apakah WireGuard lebih aman dibandingkan OpenVPN?: Keduanya aman bila dikonfigurasi dengan benar. Basis kode WireGuard yang jauh lebih kecil membuat audit lebih mudah dilakukan dan mengurangi permukaan serangan, serta mendapat manfaat dari bukti keamanan formal yang diperiksa mesin yang tidak dimiliki OpenVPN. OpenVPN mendapat manfaat dari pengawasan mendalam selama lebih dari 20 tahun dan ekosistem TLS yang matang. Tidak ada kerusakan kriptografi yang diketahui pada konfigurasi modern kedua protokol.
Mengapa WireGuard hanya menggunakan UDP?: Karena penerowongan TCP melalui TCP menyebabkan masalah kehancuran TCP yang terkenal — ketika koneksi dalam melakukan transmisi ulang, koneksi luar juga melakukan transmisi ulang, dan kedua pengatur waktu percobaan ulang saling menginjak satu sama lain. UDP menghindari hal itu sepenuhnya. Kerugiannya adalah WireGuard tidak bisa menyamar sebagai HTTPS pada TCP/443, itulah sebabnya OpenVPN-TCP masih berguna dalam jaringan yang sangat terfilter.
Apakah WireGuard mencatat IP saya?: Protokol telanjang mengaitkan rekan penghubung dengan kunci publiknya, yang merupakan semacam log. Penyedia VPN komersial terkemuka membungkus WireGuard dengan IP internal yang berputar dan server khusus RAM untuk menghilangkan permukaan ini. Jika Anda menjalankan server WireGuard Anda sendiri, tanggung jawab ada di tangan Anda.
Bisakah WireGuard berfungsi di Tiongkok atau Iran?: Jabat tangan WireGuard standar memiliki bentuk yang khas dan mudah diambil sidik jarinya melalui pemeriksaan paket yang mendalam, sehingga jabat tangan tersebut secara rutin diblokir di negara-negara yang sangat disaring. Garpu seperti AmneziaWG menambahkan kebingungan yang menyamarkan jabat tangan; OpenVPN-over-TCP/443 dengan kebingungan TLS adalah alternatif lain yang dapat diandalkan.
Akankah WireGuard mematikan baterai ponsel saya?: Tidak — biasanya ini lebih baik daripada OpenVPN. Basis kode WireGuard yang kecil dan kurangnya loop keepalive yang konstan berarti aktivitas CPU dan radio yang lebih rendah. IKEv2 dengan implementasi kernel juga sama efisiennya di perangkat seluler.