WireGuard är ett prestandaeffektivt, snabbt och relativt nytt VPN-protokoll, som spås bli den nya branschstandarden inom VPN-världen. Men är WireGuard säkert, finns det några nackdelar med protokollet, och vilka VPN-tjänster erbjuder stöd för WireGuard? Dessa frågor, och fler, svarar vi på i den här guiden.
WireGuard är dagsläget inte hundra procent anonymt, om inte VPN-företaget ifråga inte konfigurerat protokollet på ett korrekt sätt. NordVPN har infört WireGuard på ett föredömligt sätt, så även OVPN och Cyberghost.
Läs mer: Vad är en VPN egentligen? Ett komplett svar för nybörjare!
De 3 bästa VPN-tjänsterna för WireGuard
1. Cyberghost
CyberghostMest VPN för pengarna!
Cyberghost är världens bästa VPN-tjänst, och det har infört ett perfekt stöd för WireGuard. Hos dem är WireGuard ett såväl snabbt som säkert protokoll.
2. OVPN
OVPN är ett helsvenskt VPN-företag som erbjuder en säker VPN-tjänst, med fullt fokus på WireGuard. De har en smart teknisk lösning på plats, och rullar ut WireGuard på fler servrar, och fler appar, undan för undan.
3. NordVPN
Panama-baserade NordVPN erbjuder ett bra stöd för WireGuard, tack vare deras NordLynx-protokoll med dubbel NAT. De har även låtit sig granskas av externa säkerhetsföretag, likt Versprite, PWC och Cure 53, och fått grönt ljus varenda gång.
WireGuard vs OpenVPN
OpenVPN är både säkert samt välbeprövat, och av många sett som dagens mest pålitliga VPN-protokoll. WireGuard har länge betraktats som en pigg uppstickare, som inte varit redo för att implementeras, då säkerhetsbristerna varit för många till antalet.
Men nu är det andra tider, WireGuard har säkerhetstestats av utomstående experter, och erbjuder mellan 50 till 70 % snabbare hastigheter i jämförelse med OpenVPN.
Utöver det består WireGuard endast av 4000 rader kod, medan ärkerivalen OpenVPN består av 100 000 rader kod. Linus Torvalds menar även att OpenVPN inte längre kan mäta sig med WireGuard:
”Koden är måhända inte perfekt, men jag har skummat igenom den, och jämfört med skräckupplevelserna OpenVPN och IPSec är koden ett konstverk.”
Mer specifikt kan WireGuard beskrivas som en oslipad diamant, medan OpenVPN bör betraktas som en stabil guldtacka.
Fördelar med WireGuard
Nedan listar vi de mest påfallande fördelarna som WireGuard erbjuder.
1. Koden är ren och minimalistisk
Då WireGuard innehåller omkring 96 000 färre linjer kod i jämförelse med OpenVPN, och 396 000 färre linjer kod än IPSec, vill vi påstå att WireGuards källkod är nätt.
Följande fördelar är aktuella för VPN-protokoll med en minimalistisk kod, likt den WireGuard tillämpar:
- Koden kan granskas på ett snabbare och enklare sätt, i jämförelse med tex. OpenVPN, vars granskningar är betydligt mer tidsödande. En tekniskt insatt person kan gå igenom och förstå WireGuards kod inom några timmar.
- När det är enkelt att granska koden, blir det även enklare att hitta sårbarheter, vilket bör innebära att WireGuard förblir säkert.
- Mindre kod = mindre tekniska sårbarheter.
- Hastighetsläget förbättras.
En liten och nätt kod kan dock leda till negativa konsekvenser, vilket vi pratar mer om under nackdelarna.
2. Krypteringen är säker
Koden är enkel, men de kryptografiska teknikerna är avancerade. WireGuard stödjer protokoll-ramverken Noice, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24 och HKD.
Koden har även testats av utomstående experter, och om du vill veta mer om den krypteringsteknik som används, läs gärna den transparensrapport som grundaren, Jason Donenfeld, har publicerat.
3. Prestandan är utmärkt
Många VPN-spekulanter letar efter en snabb VPN-tjänst, som inte begränsar uppkopplingshastigheten, och WireGuard är designad med det önskemålet i åtanke.
Rent teoretiskt ska WireGuard erbjuda följande prestandaförbättringar:
- Snabbare hastigheter
- Längre batteritid (med telefoner och surfplattor)
- Bättre stöd för roaming (med telefoner och surfplattor)
- En högre tillförlitlighet
- Snabbare uppkoppling och frånkoppling (handshake)
WireGuard-uppkopplingen avbryts inte heller om du exempelvis kopplar ner din WiFi-uppkoppling och ansluter din telefon/surfplatta mot det mobila nätet. VPN-klienten skyddar alltid din data, till och från VPN-servern, oavsett om du byter anslutningstyp eller inte.
Avslutningsvis bidrar WireGuard även till en lägre latens, vilket bör passa väl för alla som använder en VPN när de spelar.
4. WireGuard fungerar på alla plattformar
WireGuard fungerar på Mac, Windows, Android, iOS och Linux.
Protokollet använder sig av publika krypteringsnycklar, istället för de certifikat som OpenVPN tillämpar. Många VPN-företag har därför svårt att införa WireGuard i sina VPN-appar, då det kan vara utmanande att skapa nya nycklar, samt förfoga över de nycklar som redan skapats.
5. WireGuard är inbyggd i Linux-kärnan
Från och med den 29 mars, 2020, slipper Linux-användare använda en VPN-app ovanpå operativsystemet, då WireGuard numera är inbyggt i operativsystemets kärna. Mer specifikt ingår WireGuard-stöd i 5.6-versionen av Linux-kärnan, och framåt.
Nackdelar med WireGuard
WireGuard erbjuder tydliga prestanda- och säkerhetsfördelar, men anonymitetsmässigt existerar ett fåtal problem. Dessa går vi igenom nedan.
1. Din IP-adress sparas
Om VPN-företaget inte har infört specifika förändringar sparas din riktiga IP-adress på servern, tills det att servern startats om. Den problematiken har lett till att VPN-företag som inte sparar några loggar har blivit tvungna att omkonfigurera WireGuard.
Nedan nämner vi tre VPN-företag, som alla har modifierat WireGuard.
NordVPN
NordVPN påpekar tydligt att WireGuard ska användas med försiktighet:
”Please be aware that the WireGuard protocol is still under heavy development. While we are confident in our implementation, WireGuard itself may still contain some unresolved bugs, so use it with caution.”
VPN-företaget har skapat NordLynx, som fungerar som ett dubbelt NAT-system, som ska förbättra anonymiteten för deras WireGuard-implementation. NordVPN beskriver systemet enligt följande:
”Alla VPN-användare som kopplar upp sig mot en av våra servrar får en lokal IP-adress, men så fungerar det inte med WireGuard, där alla användare får dela på en IP-adress. Så fort en VPN-uppkoppling etablerats aktiverats det andra NAT-systemet, som ser till att varje VPN-användare får en unik IP-adress.
Tack vare det existerar inga förstoppningar i nätverket, då rätt information alltid kommer till rätt plats. Det dubbla NAT-systemet har kapacitet att skapa en säker VPN-anslutning, då ingen känslig information sparas på någon av våra servrar. Efter att uppkopplingen brutits rensas alla lokala IP-adresser.”
På bilden nedan ser du hur NordLynx fungerar i praktiken:
Läs gärna mer om hur NordLynx fungerar på NordVPN:s officiella webbsida.
OVPN
OVPN har som målsättning att alla VPN-servar, och samtliga VPN-appar ska fungera tillsammans med WireGuard. De är medvetna om de anonymitetsrisker som existerar, men anser samtidigt att WireGuard har framtiden för sig:
”WireGuard är inte byggt med anonymitet i åtanke. Men detsamma gäller för OpenVPN, vilket är anledningen till att OVPN genomfört flera ändringar för att säkerställa våra kunders integritet när de ansluter till våra OpenVPN-servrar.
I dagsläget är vi medvetna om tre problem när det kommer till WireGuard. Det kan finnas fler, eller nya kan tillkomma i framtiden, då WireGuard fortfarande är under aktiv utveckling.”
OVPN påpekar även att WireGuard inte tar bort din IP-adress när du inte längre är uppkopplad, och beskriver det som problematiskt. De har därför tagit fram en nyckelhanterings-daemon, som rensar all användarinformation från VPN-serverns minne i regelbundna intervaller.
Konfigurationsgeneratorn för WireGuard
OVPN har skapat en konfigurationsgenerator för WireGuard, som de menar löser den anonymitetsproblematik som precis nämnts:
”I samband med att nycklar genereras, eller en publik nyckel klistras in, så tilldelar konfigurationsgeneratorn automatisk en intern statisk IP-adress för nyckelparet. När konfigurationsfilerna laddas ned finns IP-adressen inlagd, och den reserveras och skickas tillsammans med den publika nyckeln automatiskt till samtliga VPN-servrar.”
Blockera WebRTC och rotera IP-adresser
OVPN påpekar även vikten av att blockera WebRTC, vilket deras webbläsartillägg gör per automatik.
VPN-företaget menar dessutom att ett stöd för roterbara nycklar, och i förlängningen IP-adresser, ska vara på plats inom kort i samtliga av OVPN:s VPN-klienter.
Mullvad VPN
Det svenska VPN-företaget Mullvad pratar också om den problematik som OVPN beskriver, och har infört en likvärdig lösning:
”We added our own solution in that if no handshake has occurred within 180 seconds, the peer is removed and reapplied. Doing so removes the public IP address and any info about when it last performed a handshake.”
2. WireGuard tilldelar inte dynamiska IP-adresser
Mullvad menar att detta bör beskrivas som problematiskt:
”We acknowledge that keeping a static IP for each device, even internally, is not ideal. ”Why? Because if a user experiences WebRTC leaks, that static internal IP address could leak externally.
As another example, applications running on your device can find out your internal IP, and if you’ve installed software that is malicious, it can also leak that information.”
OVPN säger i sin tur att problematiken är hanterbar, så länge IP-adresserna hanteras på rätt sätt:
”Vi håller med WireGuard-utvecklingsteamet att användningen av statiska IP-adresser inte är ett stort problem så länge det administreras väl”
De VPN-företag som nämns i artikeln löser (eller kommer att lösa) dessa utmaningar genom att återvinna nycklar samt genom att rotera IP-adresserna.
Övriga VPN-tjänster som stödjer WireGuard
Listan nedan är inte helt komplett, då det kan finnas fler VPN-företag som stödjer WireGuard. Men samtliga av de VPN-alternativ som nämns nedan har recenserats, och erbjuder pengar tillbaka-garantier om du skulle bli missnöjd.
OBS: Värt att notera är att vi inte rekommenderar de nedanstående VPN-tjänsterna. De fungerar bara som relevanta exempel på VPN-företag med stöd för WireGuard.
- VPN.ac – Har sitt huvudkontor i Rumänien, och ger fullt stöd för WireGuard med hjälp av de officiella WireGuard-apparna.
- AzireVPN – En svensk VPN-tjänst som var snabba med att införa ett bra stöd för WireGuard. Serverparken är dock något liten, och WireGuard är inte inbyggt i någon av deras egenutvecklade VPN-appar.
- TorGuard – En USA-baserad VPN-tjänst som erbjuder ett utmärkt stöd för WireGuard, men bara via de officiella WireGuard-apparna.
- Private Internet Access – Ytterligare en USA-baserad VPN-tjänst som byggt in ett bra stöd för WireGuard i samtliga VPN-appar.
VPN-företag som vägrar införa WireGuard
ExpressVPN menar att WireGuard inte är säkert nog för att införas i deras VPN-appar. De hjälper dock till med att förbättra källkoden tillsammans med WireGuards utvecklingsteam, men något bredare utrullning är inte aktuell i nuläget:
”On Android, Linux, Mac, and routers, WireGuard performs very well. ExpressVPN puts the security and privacy of its users first, though, so we will await further testing before we roll out WireGuard to our large customer base.”
Perfect Privacy erbjuder en fullfjädrad, men dyr VPN, med unika säkerhetsfunktioner. De håller sig dock avvaktande inför WireGuards framfart, och något införande är inte aktuellt just nu:
”We cannot yet offer the WireGuard protocol to our users. However, we are eagerly following further developments and hope that we will be able to offer WireGuard support in the future.”
Perfect Privacy menar även att IP-adresser inte kan återvinnas:
”WireGuard has no dynamic address management, the client addresses are fixed. That means we would have to register every active device of our customers and assign the static IP addresses on each of our VPN servers.
In addition, we would have to store the last login timestamp for each device in order to reclaim unused IP addresses. Our users would then not be able to connect your devices after a few weeks because the addresses would have been reassigned.”
Vilket OVPN har ställt sig frågande till:
”Vi allokerar en slumpmässig IP-adress i spannet 172.16.0.0/12 till våra kunder, vilket betyder att vi har ungefär en miljon möjliga IP-adresser som kan allokeras. Det är mer än nog för att täcka våra behov. Ingen tidsstämpel behöver överhuvudtaget skapas för att återvinna IP-adresser.”
AirVPN ställer sig till skeptikerna, och kritiserar WireGuard högljutt:
”WireGuard lacks dynamic IP address management. The client needs to be assigned in advance a pre-defined VPN IP address uniquely linked to its key on each VPN server. The impact on the anonymity layer is catastrophic.”
Ett webbläsartillägg som blockerar WebRTC, samt IP-rotering, motverkar den problematiken, menar OVPN.
Framtiden för WireGuard
WireGuards framtid ser ljus ut, då fler och fler VPN-företag väljer att integrera WireGuard i deras VPN-appar. Och det är logiskt då ett bättre hastighetsläge, en högre tillförlitlighet samt en mer effektiv kryptering har bidragit till att även VPN-kunderna öppnat ögonen för protokollet.
WireGuard är dock inte helt perfekt i skrivande stund. Anonymiteten bör förbättras ytterligare, och även om somliga VPN-aktörer erbjuder smarta säkerhetsmodifikationer är anonymiteten, eller bristen på densamma, fortfarande ett orosmoln.
Sammanfattningsvis anser vi att WireGuard är säkert nog för att användas, och det bör du göra, då fördelarna väger tyngre i jämförelse med de nackdelar som existerar.
Svar på vanligt ställda frågor
I denna sista kategori gör vi allt för att släta ut de sista frågetecknen.
Ökar WireGuard risken för säkerhetsläckor?
Nej, men du bör alltid kontrollera att din VPN-uppkoppling är fri från WebRTC-läckor. Detta kan du göra via exempelvis BrowserLeaks.com.
Loggar WireGuard min riktiga IP-adress?
Ja, i teorin, men samtliga av de VPN-aktörer som nämns i artikeln tar bort den informationen per automatik.
Vad är säkrast – WireGuard eller OpenVPN?
WireGuard bör ses som ett bra komplement till OpenVPN. WireGuard är säkert, men inte lika säkert som OpenVPN, som är betydligt mer beprövat, och slipat till perfektion.
Använder du dig av WireGuard? Och om så är fallet, är du nöjd? Prata gärna mer om saken i kommentarsfältet nedan.