ワイヤーガードとは何ですか? (最新の VPN プロトコルの詳細) (2024)

開発したのはジェイソン・ドーネンフェルド氏で、エッジセキュリティ。

WireGuard プロトコルはいかに「若い」ものであるにもかかわらず、オンライン ユーザーにすぐに受け入れられ、主要な Linux 開発者である Linus Torvalds の注目を集めることに成功し、これを「芸術作品」と呼びました。

数か月前までは開発段階にありました。しかし、それは数多くの監査を受けました（そして彼らを追い越して）そして最終的にはLinux カーネル バージョン 5.6 ツリーに含まれる(つまり、Linux ユーザーは 5.6 アップデートを実行すると、WireGuard の使用を開始できるようになります)。

WireGuard は Linux を念頭に置いて開発されましたが、他のプラットフォームでは使用できないという意味ではありません。使用している VPN がプロトコルを適切に構成している限り、さまざまなオペレーティング システム (Windows や Android など) で使用できます。

WireGuard プロトコルはどのように機能しますか?

他の VPN プロトコルと同様に、Wireguard は、VPN 間の安全な接続 (「VPN トンネル」とも呼ばれます) を作成する責任があります。VPN アプリそしてVPNサーバー。

ただし、これがどのように際立っているかは次のとおりです。ほとんどのプロトコルとは異なり、SSH (Secure Shell) と非常によく似た動作をします。基本的には公開鍵を交換します。それらが交換され、アプリとサーバーのトンネルが確立されると、接続を管理し続ける必要はありません。また、WireGuard が VPN トンネルを確立したら、サーバーは少なくとも 1 つの VPN トンネルを受信する必要があります。暗号化された実際にセッションを使用する前に、クライアントからのデータ パケットを受信します。これにより、適切なキー確認が保証されます。

WireGuard VPN に関する一般的な技術詳細

• WireGuard は次の最新の暗号を使用します。
  • チャチャ20対称暗号化の場合 (ポリ1305認証と使用のためにRFC7539のAEAD構築。
  • カーブ25519ECDH (楕円曲線ディフィーヘルマン – 鍵合意プロトコル) 用
  • ブレイク2ハッシュおよびキー付きハッシュの場合
  • シップハッシュ24ハッシュテーブルキーの場合
  • 香港防衛軍キー導出用
• WireGuard は、対称暗号化キーに加えて、公開キー暗号化に混合できるオプションの事前共有キーもサポートしています。
• WireGuard を使用する場合、VPN サーバーは、リスクを軽減するために承認されていないクライアントには応答しません。DoS攻撃。サーバーに送信される最初のハンドシェイク メッセージには、防止のため TAI64N タイムスタンプも含まれています。リプレイ攻撃。
• WireGuard は UDP でのみ動作し、TCP を正式にサポートしていません (ただし、回避策はあります)GitHub プログラマーによって作成されましたおよびサードパーティのサービス）。上位ポート範囲の任意のポートを自由に使用できます。デフォルトの UDP ポートは次のとおりです。51820。
• WireGuard はノンス (暗号化通信で使用できる数値) を再利用しません。代わりに、逆巻きできない 64 ビット カウンターに依存します。こうすることで、リプレイ攻撃のリスクが軽減され、UDP パケットが順序どおりに送信されなくなります (UDP で発生する可能性のある現象)。
• WireGuard は、ほとんどの VPN プロトコル、少なくともコード全体が表示されるオープンソース プロトコル (OpenVPN、SoftEther、IKEv2) よりも軽量なビルドを特徴としています。全体として、WireGuard で使用されるコード行の総数4,000くらいです。

WireGuard は安全に使用できますか?

はい、数多くの監査を経て、WireGuard が優れたセキュリティを提供していることが最終的に明らかになりました。

まず、導入に問題が生じる可能性があるため、暗号化の俊敏性 (たとえば、さまざまな暗号化オプションから選択できること) に終止符が打たれます。代わりに、ピアレビューを受け、徹底的にテストされた最新の暗号アルゴリズムを使用します。そうすれば、誰かが暗号化の構成を誤ってユーザーデータを危険にさらすことはなくなります。

これらのアルゴリズムのいずれかに脆弱性がある場合、新しいプロトコル バージョンをリリースすることで問題は簡単に解決されます。

また、WireGuard のコード ベースが小さいため、プロトコルのセキュリティ監査の実行がはるかに簡単になり、時間もかからなくなります。たとえば、コード ベース全体を読むのに、1 人で数時間しかかかりません (何をしているのかを理解している場合)。

そのため、その方法で脆弱性をより迅速に発見して修正できます。さらに、サイバー犯罪者が悪用できる攻撃対象領域ははるかに小さくなります。

以前は、WireGuard プロトコルでは再起動されるまでユーザー IP がサーバーに保存されるため、WireGuard を使用する VPN プロバイダーは完全なプライバシーを提供できないのではないかという大きな懸念がありました。しかし、この問題はすぐに解決されました。プロバイダーは二重 NAT システムを使用するか、VPN セッションが終了したら IP ログを消去しました。

WireGuard VPN プロトコルは高速ですか?

はい。オリジナルのベンチマークこのプロトコルは OpenVPN や IPSec よりもはるかに高速であると推定されています。それ以来、数多くの VPN レビュー サイトや技術ブロックが WireGuard の速度を他のプロトコルと比較してテストしました。

例えば、このサイトでは 114 台の VPN サーバーをテストしました、ダウンロード テストの 58.8% で WireGuard が 1 位になったことがわかりました。また、平均速度低下はわずか約 19.1% でした。したがって、元の速度が 100 Mbps 付近であれば、WireGuard を使用すると、VPN 速度は約 80 Mbps になります。

WireGuard プロトコルは、コード ベースが小さいため、高速な速度を実現できます。また、接続とハンドシェイクをより速く確立できると同時に、信頼性も向上します。さらに、CPU コアを非常に効率的に使用します。

WireGuard はリソースの消費量が少なく (バッテリーをあまり消費しないように)、改善されたローミング サポートを提供するように設計されているため、モバイル ユーザーにもメリットがあります。

Linux ユーザーは、WireGuard VPN 接続で最高の速度が得られる可能性があります。このプロトコルは Linux カーネル (オペレーティング システムの主要コンポーネント) 内に存在するため、高速で安全なネットワーキングを提供できます。

ただし、他のプラットフォームでの WireGuard 実装はユーザー空間で実行されます (そのため、プロトコルは限られたシステム メモリにアクセスできます)。それでも、このプロトコルは依然として一部の競合他社 (OpenVPN など) よりも優れた速度を提供します。

WireGuard VPN のセットアップは難しいですか?

Linux を使用する場合は非常に簡単です。これはオペレーティング システムの一部であるため、いくつかのコマンドを入力するだけで準備完了です。

他のオペレーティング システムではそれほど簡単ではないかもしれませんが、決して難しいことではありません。WireGuard がダウンロード可能なクライアントを提供するようになりましたWindows、macOS、iOS、Android 用。慣れるのにそれほど時間はかかりません。

幸いなことに、多くの VPN がサービスに WireGuard を組み込み始めています (例:カクタスVPN）。そして、それをアプリに直接組み込みました。つまり、リストから選択してサーバーに接続するだけで、他のプロトコルと同じように使用できます。

WireGuard はファイアウォールをバイパスできますか?

他の VPN プロトコルと同様に、WireGuard はバイパスできる必要があります。ファイアウォール。結局のところ、ファイアウォールによってブロックされない新しい IP を介してトラフィックをルーティングします。

ただし、ネットワーク管理者がすべての UDP ポートをブロックすると、WireGuard トラフィックはすべてブロックされます。これは、WireGuard トラフィックは UDP 上でのみ実行され、TCP ポート 443 (HTTPS ポート) を使用できないためです。

前に述べたように、TCP 経由で UDP パケットをトンネリングし、ポート 443 を使用するように接続をプログラムする方法があります。そのためのチュートリアルは次のとおりですただし、これは Linux 専用であることに注意してください。ただし、一部の VPN ユーザーは、その方法は機能しなかったと述べています。代わりにこれを勧めました(注意してください。これは時間がかかるプロセスであり、Linux でのみ機能します)。

Reddit では、ファイアウォールが WireGuard をブロックするのを防ぐことができると言っている人もいます。UDPポート53(DNS 解決に必要です)。

確かに少し不便ですが、ネットワーク管理者がファイアウォールで VPN の IP アドレスをブロックすると、VPN の使用が自動的に停止されることに注意してください。また、WireGuard、OpenVPN、SoftEther、SSTP など、どのプロトコルを使用しているかは関係ありません。

WireGuard VPN とは何ですか?

これはVPNプロバイダーサービスを通じて、手動またはアプリを通じて自動で WireGuard VPN 接続を提供します。

このプロトコルがいかに新しいかにもかかわらず、多くのプロバイダーがすでにそれをサービスに組み込んでいます。カクタスVPN。

WireGuard の長所と短所

WireGuard プロトコルは他の VPN プロトコルと比較してどの程度優れていますか?

WireGuard と別のプロトコルのどちらを使用するべきかわからない場合は、以下にそれらを比較してみましょう。

WireGuard と PPTP の比較

安全 -WireGuard は、セキュリティの点で PPTP よりもはるかに優れています。 PPTP の暗号化は非常に弱いですが、最新の暗号化が使用されています。実際、とても弱いので、NSAは実際にそれを解読できる。また、PPTP は WireGuard のようなオープンソースではないため、コードを自分でチェックして、バックグラウンドで何か怪しいことが起こっていないかどうかを確認することはできません。

安定性 -NAT ファイアウォールは PPTP を簡単にブロックできるため、WireGuard が再びトップになります。確かに、ネットワーク管理者は WireGuard をブロックすることもできますが、これは UDP ポートのほとんど (すべてではないにしても) をブロックする場合に限ります。これは少し非現実的です。

スピード -PPTP は非常に高速ですが、WireGuard も同様です。テストしたところ、両方のプロトコルで Ultra HD で Netflix をストリーミングする際にスムーズな速度が得られました。

可用性 -どちらのプロトコルも、最も一般的なプラットフォームで利用できます。ただし、一部の新しいバージョンでは、PPTP のサポートが非常に危険であるため、サポートが終了しました (macOS SierraやiOS 10など）。

結論 –WireGuard が最良の選択肢であることは明らかです。 PPTP とほぼ同じ速度を提供しますが、セキュリティも強化されています。

続きを読む：PPTPとは何ですか? (知っておくべきことすべて)

WireGuard と L2TP/IPSec の比較

安全 -WireGuard と L2TP/IPSec はどちらも適切なレベルのセキュリティを提供しますが、WireGuard は改ざんできない新しいアルゴリズムを使用しています (ユーザーは誤ってデータを危険にさらす可能性のある変更を行うことができません)。また、WireGuard はオープンソースであるため、透明性が高く、監査が容易になります。

安定性 -どちらのプロトコルでも安定性の問題は発生していません。それでも、L2TP/IPSec は 3 つのポート (UDP 500、UDP 4500、および ESP IP プロトコル 50) しか使用しないため、ネットワーク管理者にとって L2TP/IPSec をブロックするのは簡単です。 L2TP を単独で使用する場合は、UDP 1701 という 1 つのポートのみを使用します。一方、WireGuard は大量の UDP ポートを使用します。

スピード -WireGuard は L2TP/IPSec よりも明らかに高速です。後者はデータを 2 回カプセル化し、より多くのリソースを消費します。

可用性 -ほとんどのオペレーティング システムでは両方のプロトコルを使用できます。

結論 –どちらのプロトコルでも安全であるはずですが、可能な限り WireGuard を使用することをお勧めします。より速く、よりプライバシーが保護されます。

関連している：L2TP (レイヤー 2 トンネリング プロトコル) とは何ですか?

WireGuard と IKEv2/IPSec

安全 -IKEv2 はセキュリティに IPSec を使用するため、上で述べたことがここにも当てはまります。つまり、データは両方のプロトコルで安全である必要があります。ただし、暗号化に対するより最新のアプローチが必要な場合は、WireGuard を使用する必要があります。また、IKEv2 にはオープンソース実装がいくつかありますが、ほとんどのプロバイダーはそれらを使用していません。

安定性 -L2TP/IPSec と同様、IKEv2/IPSec は使用するポートが少ないため、ブロックが容易です (UDP 500、ESP IP プロトコル 50、UDP 4500)。利点として、IKEv2 は、プロトコルがネットワークの変更に耐えられる機能である MOBIKE を提供します。そのため、モバイルで WiFi からモバイル データに切り替えても、VPN が切断されることはありません。

スピード -どちらのプロトコルも非常に高速です。 WireGuard を使用すると速度が速くなる場合もありますが、それほどではありません。

可用性 -どちらもほとんどのオペレーティング システムで動作します。唯一の違いは、IKEv2/IPSec が BlackBerry デバイスでネイティブに利用できることです。

結論 –速度かセキュリティ (あるいはその両方) が必要かどうかにかかわらず、どちらのプロトコルも優れた選択肢です。 MOBIKE 機能は非常に便利なので、スマートフォンを使用している場合は、IKEv2/IPSec を使用することをお勧めします。

もっと詳しく知る：IKEv2とは何ですか?

WireGuard と IPSec の比較

安全 -IPSec は適切なセキュリティを提供しますが、WireGuard の最新の最先端の暗号化が間違いなく上位にあります。言うまでもなく、オープンソースなので監査も簡単です。

安定性 -ネットワーク管理者にとって、WireGuard の代わりに IPSec をブロックする方が簡単かもしれません。これは、使用するポート (正確には 1 つ – ESP IP プロトコル 50) が少ないためです。

スピード -WireGuard のコード ベースは IPSec よりもはるかに小さいため、高速です。オンラインベンチマークもそれを裏付けています。

可用性 -IPSec は多くのプラットフォームでネイティブに利用できますが、ほとんどの VPN プロバイダーはこのプロトコルをスタンドアロン形式で提供しておらず、L2TP または IKEv2 と組み合わせてのみ提供しています。

結論 –IPSec の代わりに WireGuard を使用しない理由はありません。セキュリティ、速度、可用性がさらに向上します。

さらに詳しく:IPSec とは何ですか?またその仕組みは何ですか?

WireGuard と SSTP の比較

安全 -私たちは、どちらのプロトコルでもデータを保護できると信じています。ただし、プライバシーにこだわりがある場合は、WireGuard を使い続けてください。オープンソースであり、Microsoft が所有するものではありません (NSAとデータを共有した会社）。

安定性 -どちらのプロトコルでもランダムな切断が発生することはありません。ただし、SSTP はネットワーク管理者が簡単にブロックできないため、追加のポイントを獲得します。このプロトコルは、HTTPS ポートである TCP ポート 443 を使用します。 WireGuard は UDP ポートのみを使用します (ただし、多数のポートが使用されます)。

スピード -WireGuard は SSTP よりもリソースの消費が少ないため、常にスムーズな速度が得られます。

可用性 -macOS と iOS はそのままでは SSTP をサポートしていないため、WireGuard は実際にはより多くのプラットフォームで動作します。

結論 –セキュリティが必要な場合は、どちらのプロトコルも適切なオプションです。ただし、セキュリティ、プライバシーの保証、および速度が必要な場合は、WireGuard を使用してください。

こちらもチェックしてください:SSTPとは何ですか? (SSTP VPN プロトコルのガイド)

ワイヤーガードとソフトイーサの比較

安全 -どちらのプロトコルでも強力なセキュリティが得られます。どちらもオープンソースなので信頼しやすいです。

安定性 -WireGuard と SoftEther はどちらも安定していますが、SoftEther は TCP ポート 443 を使用できるため、ネットワーク管理者は WireGuard ほど簡単にブロックできません。

スピード -どちらのプロトコルでも高速な速度が得られるはずです。実際にそう主張する研究がありますSoftEther は PPTP より 4 倍高速です（2006年の話ですが）。

可用性 -SoftEther クライアントは Windows、macOS、および Linux でのみ動作するため、WireGuard はより多くのクロスプラットフォーム互換性を提供します。また、SoftEther を提供する VPN プロバイダーは実際には多くありません (ただし、私たちは提供しています)。ただし、SoftEther が利用可能であっても、VPN アプリ内でそれを使用することはできません。代わりに、SoftEther クライアントをインストールして使用する必要があります。

結論 –どちらのプロトコルでも優れたセキュリティと速度が得られます。ただし、使いやすいプロトコルを探している場合は、WireGuard を選択する必要があります。 SoftEther は、より上級のユーザーに適しています。

関連している：ソフトイーサとは何ですか? (完全ガイド)

WireGuard と OpenVPN の比較

安全 -OpenVPN は、OpenSSL ライブラリを使用して、あらゆる種類の暗号化アルゴリズム (最も一般的なのは AES-256) を実装します。 WireGuard は最新の固定アルゴリズム (変更不可) を使用して、セキュリティの脆弱性を引き起こす構成ミスを回避していると言われています。全体として、どちらも優れたセキュリティを提供します。

安定性 -非常にリモートのサーバーを使用していて、ISP の速度が遅い場合、OpenVPN 接続が TCP 経由でドロップする可能性が高くなります。利点としては、TCP ポート 443 (HTTPS トラフィック用) が使用されるため、ネットワーク管理者がこれをブロックできないことです。 WireGuard は UDP ポートに制限されているため、使用しているネットワークによってポートの多くがブロックされている場合は使用が難しくなる可能性があります。

スピード -WireGuard は間違いなく OpenVPN よりも高速です。コードベースははるかに軽量です (約 4,000 行)70,000 ～ 600,000 行と比較)、CPU コアをより効率的に使用します。私たちのテストでは、OpenVPN over UDP を使用した場合でも、WireGuard の方が高速でした。

可用性 -どちらのプロトコルもほとんどのオペレーティング システムで動作しますが、OpenVPN を提供する VPN プロバイダーはさらに多くあります。

結論 –危機一髪です。決断はあなた次第です。デフォルトのセキュリティ標準が必要な場合は、OpenVPN を使用してください。 VPN 暗号化に対する新しいアプローチが必要な場合は、WireGuard を使用してください。ハイエンドのセキュリティと超高速の速度が必要な場合は、常に WireGuard を使用してください。

続きを読む：

それでは、WireGuard プロトコルを使用する必要がありますか?

選択肢があるなら、はい、もちろんです。これは、スムーズな速度と素晴らしいレベルのプライバシーを提供する非常に安全なプロトコルです。ただし、不愉快な事態 (IP ログ記録) を避けるために、VPN プロバイダーがプロトコルを適切に実装していることを確認してください。

結論 – WireGuard とは何ですか?

WireGuard は、VPN プロトコル「ファミリー」に新しく追加されたものです。これは大規模な開発、テスト、監査を経て、最新の暗号化を使用した非常に安全なプロトコルになりました。また、軽量のコードベースを持ち、速度が最適化されているため、起動も非常に高速です。

全体として、セキュリティとスムーズな速度が必要な場合は、ためらわずに WireGuard を使用してください。

それについてどう思いますか？安全性の高さに満足していますか? それともまだ改善の余地があると思いますか?

以下のコメント欄でお知らせください。

「WireGuard」は、Jason A. Donenfeld の登録商標です。

Vectorjuice によって作成されたコンピューター ベクター – www.freepik.com