Fexyn
Fexyn

Глоссарий

Что такое WireGuard

Современный протокол VPN с маленькой кодовой базой, быстрым handshake и отличной производительностью — стандарт для большинства потребительских VPN с 2020 года.

WireGuard — это протокол VPN, спроектированный Джейсоном Доненфельдом и влитый в ядро Linux в 2020 году. Он стал стандартом для большинства потребительских VPN, потому что делает три вещи лучше старых протоколов: он быстрее, он гораздо меньше (то есть его проще аудировать) и он переживает смену сети без обрыва туннеля.

Три числа рассказывают большую часть истории:

  • ~4 000 строк основного кода (против сотен тысяч у стека OpenVPN).
  • Два round-trip для handshake.
  • ~5% накладных расходов на throughput на типичном домашнем соединении.

Как WireGuard работает

WireGuard использует фиксированный современный набор криптопримитивов:

  • ChaCha20-Poly1305 для симметричного шифрования (AEAD).
  • Curve25519 для обмена ключами на эллиптической кривой.
  • BLAKE2s для хеширования.
  • HKDF для деривации ключей.

Шага согласования нет — обе стороны заранее знают алгоритмы. Это сокращает поверхность атаки (никаких downgrade-атак) и убирает один round-trip из handshake. Сравни с TLS-handshake OpenVPN, который гибкий, но медленнее.

WireGuard также stateless на data-path. Нет таблицы сессий, нет TCP-style состояния соединения. Пакеты маршрутизируются по криптографической идентичности (публичному ключу пира), а не по установленной сессии. Именно поэтому работает роуминг — твой ноут может переключиться с Wi-Fi на LTE, и туннель продолжит работу, пока ты можешь дотянуться до пира.

В чём WireGuard выигрывает

Скорость и батарея. Шифрование быстрое, handshake быстрый, data-path короткий. На мобильных это превращается в меньший расход батареи. На десктопе на оптике — в throughput, который фактически такой же, как без VPN.

Аудируемость. 4 000 строк — достаточно мало, чтобы один исследователь безопасности прочитал всю кодовую базу за неделю. OpenVPN формально аудировали несколько раз; WireGuard формально проанализирован как протокол, не только как реализация — это более сильная гарантия.

В чём WireGuard проигрывает

WireGuard не пытается себя скрыть. У пакетов характерная форма — UDP, фиксированная структура заголовка, типы сообщений 1-4. Система DPI, которая хочет распознать WireGuard, делает это дёшево. В Иране, России и Турции точки WireGuard блокируют по сигнатуре регулярно.

Если твоя сеть подвергается цензуре, один WireGuard не пройдёт. Нужен протокол, спроектированный быть невидимым — это VLESS Reality.

Как Fexyn использует WireGuard

Fexyn поставляет WireGuard как Fexyn Bolt — протокол по умолчанию на чистых сетях. Реализация использует userspace boringtun на Windows, что упрощает интеграцию kill switch и DNS-блокировки с helper-сервисом.

Подробнее на странице протокола WireGuard и в сравнении протоколов VPN.

Попробуй Fexyn бесплатно 7 дней — Bolt по умолчанию; rotation engine разберётся с переключением на Stealth или Secure, если сеть его блокирует.

Связанные термины

Попробуй Fexyn бесплатно 7 дней

Приложение для Windows доступно сейчас в бета-версии. WireGuard, VLESS Reality и OpenVPN — без логов истории просмотров, DNS-запросов и содержимого трафика.

Цены
Что такое WireGuard | Fexyn VPN