WireGuard VPN: Was Du darüber wissen solltest.

Ist WireGuard das VPN Protokoll der Zukunft?

WireGuard ist ein interessantes neues VPN-Protokoll, das die VPN-Branche grundlegend verändern kann. Im Vergleich zu bestehenden VPN-Protokollen wie OpenVPN und IPSec kann WireGuard mit neuen und verbesserten Verschlüsselungsstandards schnellere Geschwindigkeiten und eine höhere Zuverlässigkeit aufwarten.

Obwohl WireGuard® einige vielversprechende Funktionen in Bezug auf Einfachheit, Geschwindigkeit und Kryptografie bietet, weist es auch einige bemerkenswerte Nachteile auf, auf die im Folgenden ausführlich eingegangen wird.

Was ist ein VPN-Protokoll?

Ein VPN-Protokoll besteht aus einer Reihe von Regeln, mit denen eine Verbindung zwischen dem VPN-Client und dem VPN-Server ausgehandelt wird. Im Moment sind die VPN-Protokolle, die von VPN-Anbietern am häufigsten verwendet werden: PPTP, SSTP, L2TP/IPSec und OpenVPN. Es handelt sich dabei sozusagen um die gemeinsame und geregelte Sprache, einer verschlüsselten Verbindung, die zwischen zwei Geräten (VPN-Client und dem VPN-Server) benutzt wird.

Ich möchte in 5 Themenbereichen die Vor- und Nachteile erläutern:

  1. Was ist WireGuard?
  2. WireGuard Vorteile
  3. WireGuard Nachteile (Warum es noch nicht empfohlen wird)
  4. Welche VPN-Anbieter unterstützen WireGuard?
  5. Die Zukunft von WireGuard

Was ist WireGuard?

WireGuard VPN Logo
WireGuard VPN Logo

WireGuard ist ein neues, experimentelles VPN-Protokoll, das eine einfachere, schnellere und sicherere Lösung für das VPN-Tunneling als die vorhandenen VPN-Protokolle bieten soll. WireGuard weist im Vergleich zu OpenVPN und IPSec einige wesentliche Unterschiede auf, z. B. die Codegröße (unter 4.000 Code-Zeilen!),

Es vereinfacht die Anwendung auf Geräten, bietet eine bessere Geschwindigkeit und verwendet die neuesten Verschlüsselungsstandards.

Der Entwickler hinter WireGuard ist Jason Donenfeld, der Gründer von Edge Security. (Der Begriff „WireGuard“ ist auch ein eingetragenes Warenzeichen von Dönfeld.) In einem Interview, das ich mir angesehen habe, sagte Dönfeld, dass die Idee für WireGuard kam, als er im Ausland lebte und ein VPN für Netflix benötigte .

Warum ist WireGuard bereits so populär?

Nun, es bietet einige potenzielle Vorteile gegenüber bestehenden VPN-Protokollen, wie wir weiter unten diskutieren werden. Es hat sogar die Aufmerksamkeit von Linus Torvalds, dem Entwickler von Linux, auf sich gezogen, der Folgendes in der Linux-Kernel-Mailingliste zu sagen hatte:

Kann ich noch einmal meine Liebe zu [WireGuard] ausdrücken und hoffen, dass sie bald verschmilzt? Vielleicht ist der Code nicht perfekt, aber ich habe ihn überflogen, und im Vergleich zu den Horrors, die OpenVPN und IPSec sind, ist er ein Kunstwerk.

Untersuchen wir zunächst die Vorteile von WireGuard.

WireGuard Vorteile

Hier sind einige der Vorteile, die WireGuard bietet:

1. Aktualisierte Verschlüsselung

Wie in verschiedenen Interviews erläutert, wollte Jason Donenfeld die seiner Meinung nach „veralteten“ Protokolle mit OpenVPN und IPSec aktualisieren . WireGuard verwendet die folgenden Protokolle und Grundelemente, wie auf seiner Website beschrieben :

  • ChaCha20 für symmetrische Verschlüsselung, authentifiziert mit Poly1305 , unter Verwendung der AEAD-Konstruktion von RFC7539
  • Curve 25519 für ECDH
  • BLAKE2s für Hashing und Keyed Hashing, beschrieben in RFC7693
  • SipHash24 für Hashtable-Schlüssel
  • HKDF für die Schlüsselableitung, wie in RFC5869 beschrieben

Weitere Informationen zur modernen Kryptografie von WireGuard findest Du auf der offiziellen Website oder im technischen Whitepaper .

2. Einfache und minimale Codebasis

WireGuard zeichnet sich durch eine Codebasis von derzeit rund 3.800 Zeilen aus.

  • Dies steht in krassem Gegensatz zu OpenVPN und OpenSSL , die zusammen rund 600.000 Codezeilen haben.
  • IPSec ist mit XFRM und StrongSwan insgesamt rund 400.000 Codezeilen relativ gesehen auch umfangreich.

Was sind die Vorteile einer kleineren Codebasis?

Es ist viel einfacher zu überprüfen!

OpenVPN würde viele Tage für die Prüfung durch ein großes Teams benötigen. Eine einzelne Person kann aber in wenigen Stunden die Codebasis von WireGuard durchlesen.

  • Einfachere Prüfung = einfachere Suche nach Sicherheitslücken, wodurch WireGuard sicherer bleibt.
  • Viel kleinere Angriffsfläche im Vergleich zu OpenVPN und IPSec
  • Bessere Leistung

Die kleinere Codebasis ist in der Tat ein Vorteil, spiegelt aber auch einige Einschränkungen wider, wie wir weiter unten diskutieren werden.

3. Leistungsverbesserungen

Geschwindigkeiten können bei VPNs ein begrenzender Faktor sein – aus vielen verschiedenen Gründen. WireGuard wurde entwickelt , um signifikante Verbesserungen im Bereich der Leistung zu bieten:

Eine Kombination aus extrem schnellen kryptografischen Anwendungen und der Tatsache, dass WireGuard sich im Linux-Kernel befindet, bedeutet, dass ein sicheres Netzwerk sehr schnell sein kann. Es eignet sich sowohl für kleine eingebettete Geräte wie Smartphones als auch für vollständig geladene Backbone-Router.

Theoretisch sollte WireGuard eine verbesserte Leistung bieten:

  • Schnellere Geschwindigkeiten
  • Bessere Akkulaufzeit mit Handys / Tablets
  • Bessere Roaming-Unterstützung (mobile Geräte)
  • Mehr Zuverlässigkeit
  • Schnelleres Herstellen von Verbindungen / Wiederverbindungen (schnellerer Handshake)
  • WireGuard sollte für mobile VPN-Benutzer von Vorteil sein. Bei WireGuard bleibt die Verbindung bestehen, wenn Ihr Mobilgerät die Netzwerkschnittstellen ändert, z. B. das Umschalten von WiFi auf Mobil- / Zellendaten, solange der VPN-Client authentifizierte Daten an den VPN-Server sendet.

4. Plattformübergreifende Benutzerfreundlichkeit

Obwohl WireGuard noch nicht für die Hauptsendezeit bereit ist, sollte es auf verschiedenen Plattformen sehr gut funktionieren. WireGuard unterstützt Mac OS, Android, iOS und Linux. Die Windows-Unterstützung befindet sich noch in der Entwicklung.

Ein weiteres interessantes Feature ist, dass öffentliche Schlüssel zur Identifizierung und Verschlüsselung verwendet werden, während OpenVPN Zertifikate verwendet. Dies führt jedoch zu Problemen bei der Verwendung von WireGuard in einem VPN-Client, z. B. bei der Schlüsselgenerierung und -verwaltung.

WireGuard Nachteile

Während WireGuard viele aufregende Vorteile bietet, weist es derzeit einige bemerkenswerte Nachteile auf.

1. Noch in “umfangreicher” Entwicklung, nicht fertig, nicht abgenommen.

Trotz der Tatsache, dass WireGuard sich noch in der “intensiven Entwicklung” befindet und noch nicht für den allgemeinen Gebrauch bereit ist, gibt es viele Menschen, die es sofort als primäres VPN-Protokoll verwenden möchten. Sie finden jede Menge WireGuard-Werbung auf reddit und in verschiedenen Foren – also auf der Suche nach dem neuesten VPN-Trend.

Es muss darauf hingewiesen werden, dass WireGuard nicht vollständig ist, keine Sicherheitsüberprüfung bestanden hat und die Entwickler ausdrücklich davor warnen, dem aktuellen Code zu vertrauen:

WireGuard ist noch nicht vollständig. Sie sollten sich nicht auf diesen Code verlassen . Es hat keine ordnungsgemäßen Sicherheitsüberprüfungen durchgeführt, und das Protokoll kann noch geändert werden. Wir arbeiten an einer stabilen Version 1.0, aber diese Zeit ist noch nicht gekommen.

Dennoch bereiten sich derzeit eine Handvoll VPNs auf WireGuard vor. Zu diesem Zeitpunkt solltest Du diese Angebote der VPN-Services jedoch nur zu Testzwecken verwenden!

2. WireGuard-Datenschutzbedenken und -Protokolle

Während WireGuard Vorteile in Bezug auf Leistung und Sicherheit bietet, ist es konstruktionsbedingt nicht gut für die Privatsphäre.

Eine Reihe von VPN-Anbietern äußerte Bedenken hinsichtlich der Fähigkeit, ohne Protokolle verwendet zu werden, und hinsichtlich der möglichen Auswirkungen auf die Privatsphäre der Benutzer.

Was VPN-Anbieter derzeit zu Wireguard sagen:

AzireVPN, eines der ersten VPNs, die WireGuard implementierten, hatte im vergangenen Jahr Folgendes zu sagen:

Bei AzireVPN kümmern wir uns um unsere No-Logging-Richtlinie. Aus diesem Grund werden alle unsere Server auf festplattenloser Hardware ausgeführt und alle Protokolldateien werden an dev/null weitergeleitet.

Wenn es jedoch um WireGuard geht, werden standardmäßig Endpunkt und erlaubte IP-Adresse in der Serveroberfläche angezeigt, was mit unseren Datenschutzrichtlinien nicht wirklich vereinbar ist. Wir sollten Ihre Quell-IP nicht kennen und können nicht akzeptieren, dass sie auf unseren Servern angezeigt wird.

AzireVPN hat versucht, diese Probleme zu umgehen , indem Jason Donenfeld beauftragt wurde, “ein Rootkit-ähnliches Modul zu schreiben, mit dem ein gewöhnlicher Systemadministrator keine Endpunkt- oder IP-Zulassungsinformationen zu WireGuard-Peers abfragen und die Ausführung von tcpdump deaktivieren kann” ( siehe hier) ).

Perfect Privacy argumentierte, in einem interessanten Blogbeitrag, dassWireGuard “ohne Protokolle nicht verwendbar” sei :

WireGuard hat keine dynamische Adressverwaltung, die Client-Adressen sind fest. Das heißt, wir müssten jedes aktive Gerät unserer Kunden registrieren und die statischen IP-Adressen auf jedem unserer VPN-Server vergeben. Außerdem müssten wir den letzten Login-Zeitstempel für jedes Gerät speichern, um nicht verwendete IP-Adressen zurückzugewinnen. Unsere Benutzer könnten Ihre Geräte dann nach einigen Wochen nicht mehr verbinden, da die Adressen neu vergeben worden wären.

Es ist uns besonders wichtig, dass wir überhaupt keine Verbindungsprotokolle erstellen oder speichern. Aus diesem Grund können wir die oben genannten Registrierungs- und Anmeldedaten nicht speichern, die derzeit für den Betrieb von WireGuard erforderlich sind.

Hinweis: Perfect-Privacy kann man auch kostenlos testen!

VPN.ac äußerte ähnliche Bedenken hinsichtlich der Sicherheitslücken von WireGuard:

Überlegungen zum Datenschutz: WireGuard eignet sich aufgrund seines Designs nicht für Richtlinien für die uneingeschränkte Protokollierung. Insbesondere wird die letzte öffentliche IP-Adresse des Benutzers auf dem Server gespeichert, mit dem die Verbindung hergestellt wurde, und kann gemäß unserer aktuellen Datenschutzrichtlinie nicht innerhalb eines Tages entfernt werden. Zu einem späteren Zeitpunkt werden wir wahrscheinlich einige Änderungen am Quellcode vornehmen, um die zuletzt verwendete öffentliche IP zu bereinigen oder zu entfernen.

ExpressVPN ist ein weiterer VPN-Dienst, der Bedenken hinsichtlich des Designs von WireGuard hinsichtlich seiner Auswirkungen auf die Privatsphäre geäußert hat:

Eine der Herausforderungen für WireGuard besteht darin, die Anonymität von VPNs zu gewährleisten. Keinem einzelnen Benutzer sollte statisch eine einzelne IP-Adresse zugewiesen werden, weder in einem öffentlichen noch in einem virtuellen Netzwerk. Die interne IP-Adresse eines Benutzers wird möglicherweise von einem Angreifer (z. B. über WebRTC) entdeckt, der sie dann möglicherweise mit Datensätzen abgleichen kann, die von einem VPN-Anbieter (durch Diebstahl, Verkauf oder rechtliche Beschlagnahme) erworben wurden. Ein gutes VPN muss nicht in der Lage sein, eine solche Kennung einem einzelnen Benutzer zuzuordnen. Derzeit ist dieses Setup mit WireGuard nicht einfach zu realisieren.

ExpressVPN wird die Bemühungen zur Überprüfung und Prüfung des WireGuard-Codes unterstützen, wie wir es in der Vergangenheit mit OpenVPN getan haben. Wir werden Code beisteuern und Fehler melden, wann immer wir können, und Sicherheits- und Datenschutzbedenken direkt mit dem Entwicklungsteam besprechen.

AirVPN hat sich auch für die Auswirkungen von WireGuard auf die Anonymität eingesetzt, wie in ihrem Forum erläutert:

Wireguard ist in seinem aktuellen Zustand nicht nur gefährlich, weil ihm grundlegende Funktionen fehlen und es sich um eine experimentelle Software handelt, sondern es schwächt auch in gefährlicher Weise die Anonymitätsebene. Unser Service zielt darauf ab, eine gewisse Anonymitätsebene bereitzustellen, daher können wir etwas nicht berücksichtigen, das diese so stark schwächt.

Wir werden Wireguard gerne in Betracht ziehen, wenn es ein stabiles Release erreicht UND zumindest die grundlegendsten Optionen anbietet, die OpenVPN seit 15 Jahren anbieten kann. Die Infrastruktur kann angepasst werden, unsere Mission nicht.

In ihren Foren erklärte AirVPN weiter, warum WireGuard ihre Anforderungen einfach nicht erfüllt:

Wireguard verfügt nicht über eine dynamische IP-Adressverwaltung.
Dem Client muss im Voraus eine vordefinierte VPN-IP-Adresse zugewiesen werden, die auf jedem VPN-Server eindeutig mit seinem Schlüssel verknüpft ist. Die Auswirkungen auf die Anonymitätsebene sind katastrophal.

Der Wireguard-Client überprüft die Serveridentität nicht (eine Funktion, die so wichtig ist, dass sie sicher implementiert wird, wenn Wireguard keine experimentelle Software mehr ist). Die durch diesen Fehler verursachten Auswirkungen auf die Sicherheit sind sehr hoch.

TCP-Unterstützung fehlt (für die Verwendung von TCP als Tunneling-Protokoll ist, wie Sie vermuten, ein zusätzlicher Code von Drittanbietern erforderlich, und das ist im Vergleich zu OpenVPN eine schreckliche Regression).

Es gibt keine Unterstützung für die Verbindung von Wireguard mit einem VPN-Server über einen Proxy mit einer Vielzahl von Authentifizierungsmethoden.

Trotz dieser Bedenken führen viele VPN-Dienste bereits die vollständige WireGuard-Unterstützung ein. Andere VPNs verfolgen das Projekt und sind an der Implementierung von WireGuard interessiert, nachdem es gründlich geprüft und verbessert wurde.

In der Zwischenzeit erklärte zum Beispiel AirVPN jedoch in ihrem Forum:

“Wir werden unsere Kunden nicht als Tester einsetzen.”

3. Neu und ungetestet

Sicher, OpenVPN hat seine Probleme, aber es hat auch eine lange Erfolgsgeschichte und ist ein bewährtes VPN-Protokoll mit umfangreichen Audits. Während “Dönfeld” OpenVPN in verschiedenen Interviews als „veraltet“ bezeichnet, wird es von anderen möglicherweise als erwiesen und vertrauenswürdig eingestuft – Eigenschaften, die das Protokoll derzeit nicht bietet.

OpenVPN wurde ursprünglich im Jahr 2001 veröffentlicht und hat eine sehr lange Geschichte. OpenVPN profitiert auch von einer großen Benutzerbasis und einer aktiven Entwicklung mit regelmäßigen Updates. Im Mai 2017 wurde es von OSTIF , dem Open Source Technology Improvement Fund, einer umfassenden Prüfung unterzogen .

Zu diesem Zeitpunkt scheint WireGuard eher ein Nischenprojekt zu sein – aber eines mit Potenzial für die Branche. Es ist sehr neu und befindet sich noch nicht in der Phase der „schweren Entwicklung“, obwohl es einer formalen Überprüfung unterzogen wurde . Auch nach der offiziellen Veröffentlichung  sollten Benutzer jedoch mit Vorsicht vorgehen.

4. Eingeschränkte Adoption (vorerst)

Wie wir oben beschrieben haben, gibt es einige große Hürden bei der branchenweiten Einführung von WireGuard:

Das Problem mit der Schlüsselverwaltung und -verteilung (anstatt Zertifikate zu verwenden).
WireGuard benötigt eine eigene Infrastruktur, die von vorhandenen OpenVPN-Servern getrennt ist.
Kompatibilität mit bestehenden Operationen. Für Anbieter, die ihre Dienste und Funktionen auf OpenVPN aufbauen, ist möglicherweise nicht in Kürze verfügbar.
Perfect Privacy erklärte auch, dass WireGuard nicht mit den vorhandenen serverseitigen Funktionen wie Multi-Hop-VPN-Kaskaden , TrackStop und NeuroRouting kompatibel ist. Trotzdem habe ich mich an Perfect Privacy gewandt und sie haben bestätigt, dass sie WireGuard zu einem späteren Zeitpunkt als eigenständige Option unterstützen können.

In ähnlicher Weise erklärte AirVPN auch, dass das VPN-Protokoll mit seiner Infrastruktur “völlig unbrauchbar” sei:

Momentan ist es in unserer Infrastruktur völlig unbrauchbar, da es keine TCP-Unterstützung gibt, keine dynamische VPN-IP-Zuweisung gibt und (zumindest in dem Build, den wir gesehen haben) kein unbedingt erforderliches Sicherheitsmerkmal (Überprüfung des vom Server bereitgestellten CA-Zertifikats) vorliegt Der Client kann nicht sicher sein, dass eine feindliche Entität sich nicht als VPN-Server ausgibt.

Fazit: nicht zu empfehlen

In Anbetracht des aktuellen Status von WireGuard, der Auswirkungen auf den Datenschutz und der Tatsache, dass es nicht geprüft wurde, wird WireGuard nicht für die regelmäßige Verwendung empfohlen.

Darüber hinaus sind die Datenschutzbedenken, die WireGuard (von Natur aus!) Innewohnt, ein großer Nachteil.

Dies wird sich wahrscheinlich nicht verbessern und zwingt die VPN-Dienste dazu, eine einzigartige, sofort einsatzbereite Lösung zu erstellen, damit sie mit ihren No-Logs-Richtlinien funktionieren, wie wir oben bei AzireVPN gesehen haben. Dieser Nachteil trifft aber auf das alleseits verfügbare  “OpenVPN Protokoll” nicht zu weshalb dies derzeit die sicherere und praktikablere Lösung darstellt.

Trotzdem kann WireGuard für einige Benutzer ideal sein, je nach Bedrohungsmodell und spezifischen Anforderungen. Gegenwärtig ist es jedoch ratsam, bei OpenVPN oder vielleicht IPSec zu bleiben, um es regelmäßig zu verwenden.

Welche VPN-Dienste unterstützen WireGuard?

Hier sind die VPNs, die derzeit WireGuard unterstützen oder bestätigt haben, dass sie testen, um das Protokoll zu unterstützen, wenn es fertig ist:

VPN-Services die aktuell Wireguard verwenden:

Natürlich werden wir uns in Zukunft noch weitere VPNs ansehen, die WireGuard einsetzen.

Derzeit ist aber die Verwendung mit den eigentlichen Aufgaben eines VPN Services, nämlich auch keine Aktivitäten der Nutzer protokollieren zu müssen, nicht vereinbar.

Die Zukunft von WireGuard

Viele der Probleme die es derzeit noch mit dem Protokoll gibt, können vermutlich ausgeräumt werden. Allerdings hat sich in der Entwicklung dazu auch gezeigt, dass sich eben eine Einfachheit des Programmiercodes nicht unbedingt mit der Vielfältigkeit der Anwendungen vertragen.

Da das Protokoll eigentlich nur dazu gedacht war einen einzelnen PC über einen VPN-Server zu verbinden, stellt sich in der Praxis heraus, das die Anforderungen für VPN-Services nicht dazu passen. Diese versuchen keine Daten über die Nutzer zu erhalten, dies ist aber im Grunde bei der Entwicklung nie berücksichtig gewesen. Eigene Entwicklungen der VPN Anbieter wird es aber aus verschiedenen gründen nicht geben. Da die Verwaltung und auch Kontrolle von properitären VPN-Protokollen eine enorme Herausforderung darstellt und es derzeit auch genügend verwendbare Alternativen gibt.

Es bleibt daher spannend, ob das Protokoll dennoch einen Durchbruch schaffen wird und aus der Testphase auch allgemeine Anwendung bei VPN Services finden kann.

(Quelle: Wir haben diesen Artikel von der Seite “Restoreprivacy” übernommen und auf deutschsprachige Weise ergänzt.)


Erstellt am:6. Juli 2019


Sicherheit im Internet Hilfe

Sicherheit mit VPN - Hilfe zur Auswahl!


Weitere interessante Artikel

Shadowsocks Logo

Erklärung: Shadowsocks (SOCKS5 Protokoll) – Was Du darüber wissen solltest!

"Shadowsocks ist ein sicherer SOCKS5 Proxy, welcher entworfen wurde um Deinen Internet Datenverkehr zu schützen." Shadowsocks ist ein offenes Projekt ...

Facebook Datenskandal: Britische Datenschutzbehörde will – trotzdem geringe – Höchststrafe

Glück im Unglück heißt es für Facebook: Großbritannien hat angekündigt, dem Konzern die Höchststrafe für den Cambridge Analytica Datenskandal aufzubrummen ...

Prozess am Europäischen Gerichtshof: „Recht auf Vergessen“ soll weltweit gelten – Stärkung des Datenschutzes?

Das Internet vergisst (fast) nichts. Eine Tatsache, die nicht unbedingt zum Thema Privatsphäre passt. Das sieht auch die französische Datenregulationsbehörde ...

4 Gedanken zu “WireGuard VPN: Was Du darüber wissen solltest.”

  1. Die Liste der kommerziellen Anbieter ist nicht ganz vollständig. Im Buch “Wireguard im Einsatz” gibt es noch WireVPN und TunSafe (kostenlos).

  2. Danke für den Artikel, besonders pro und kontra. Allerdings sind die Angaben einiger Anbieter komplett falsch bezüglich IP-Adressen für Clients wie auch zum logging und der verifizierung des Servers. Für ein Roadwarrior Setup muss auf dem Server keine erlaubte IP-Adresse hinterlegt werden, es handelt sich hier wohl um eine Verwechslung mit der “inner ip“ welche innerhalb des Tunnels verwendet wird (hier kann man auch Netzblöcke verwenden u.a. 0.0.0.0/0). Wenn der Key vom Server nicht passt, baut der Client keine Verbindung auf – oder was ist hier gemeint wenn gesagt wird das hier nichts geprüft wird? Das logging kann auch bei wireguard in /dev/null laufen hier wird gar nichts gespeichert, wer etwas anderes behauptet soll das bitte mal begründen.
    Gruß

    • Naja, wir haben ja auch darauf hingewiesen, und wir haben den Artikel nicht nur übersetzt sondern auch auf den neuesten Stand gebracht um unseren Lesern diese Informationen zugänglich zu machen.

Schreibe einen Kommentar

×
Fehler bei
der Übermittlung.
×
Erfolgreich.

Coupon wurde erfolgreich gesendet.

Nimm Dein Telefon zu Hand.