Fexyn
Fexyn

Glossário

O que é WireGuard

Um protocolo VPN moderno com base de código pequena, handshake rápido e ótima performance — o default pra maioria das VPNs consumidor desde 2020.

WireGuard é um protocolo VPN projetado por Jason Donenfeld e mergeado no kernel Linux em 2020. Virou o default pra maioria das VPNs consumidor porque faz três coisas melhor que os protocolos mais antigos: é mais rápido, é muito menor (mais fácil de auditar) e roaming entre redes sem quebrar o túnel.

Três números contam a maior parte da história:

  • ~4.000 linhas de código central (vs centenas de milhares pro stack do OpenVPN).
  • Dois round-trips pro handshake.
  • ~5% de custo de throughput numa conexão doméstica típica.

Como WireGuard funciona

WireGuard usa um conjunto fixo e moderno de primitivas criptográficas:

  • ChaCha20-Poly1305 pra encriptação simétrica (AEAD).
  • Curve25519 pra troca de chave em curva elíptica.
  • BLAKE2s pra hashing.
  • HKDF pra derivação de chave.

Não tem passo de negociação — os dois lados sabem os algoritmos com antecedência. Isso corta superfície de ataque (sem ataques de downgrade) e remove um round-trip do handshake. Compare com o TLS handshake negociado do OpenVPN, que é flexível mas mais lento.

WireGuard também é stateless no data path. Não tem tabela de sessão, nem estado de conexão estilo TCP. Pacotes são roteados pela identidade criptográfica deles (chave pública do peer) em vez de por uma sessão estabelecida. É por isso que roaming funciona — seu laptop pode trocar de Wi-Fi pra LTE e o túnel continua enquanto você ainda alcança o peer.

Onde WireGuard ganha

Velocidade e bateria. A criptografia é rápida, o handshake é rápido, o data path é curto. No mobile, isso traduz em menos consumo de bateria. Num desktop em fibra, traduz em throughput que é efetivamente o mesmo de não ter VPN.

Auditabilidade. 4.000 linhas é pequeno o suficiente pra um único pesquisador de segurança ler a base toda numa semana. OpenVPN foi auditado formalmente várias vezes; WireGuard foi formalmente analisado como protocolo, não só como implementação, o que é uma garantia mais forte.

Onde WireGuard falha

WireGuard não tenta se esconder. Pacotes têm formato distintivo — UDP, estrutura de header fixa, tipos de mensagem 1 a 4. Um sistema de DPI que quer reconhecer WireGuard pode fazer isso barato. Irã, Rússia e Turquia bloqueiam endpoints WireGuard regularmente por assinatura.

Se sua rede é censurada, WireGuard sozinho não passa. Você precisa de um protocolo projetado pra ser invisível — esse é VLESS Reality.

Como o Fexyn usa WireGuard

Fexyn entrega WireGuard como Fexyn Bolt — o default em redes não ativamente hostis. A implementação usa boringtun em userspace no Windows, o que facilita integrar o kill switch e o lock de DNS com o helper service.

Leia mais na página do protocolo WireGuard e na comparação de protocolos VPN.

Experimente o Fexyn grátis por 7 dias — Bolt é o default; o motor de rotação cuida do fallback pra Stealth ou Secure se sua rede bloqueia.

Termos relacionados

Experimente o Fexyn grátis por 7 dias

App para Windows disponível agora em Beta. WireGuard, VLESS Reality e OpenVPN — sem logs de histórico de navegação, consultas DNS ou conteúdo de tráfego.

Ver preços
O que é WireGuard | Fexyn VPN