VPNWG
Начать
EN | RU
Технический обзор

WireGuard и Amnezia:
Будущее конфиденциальности

Подробный обзор протоколов и криптографических примитивов, которые делают VPNWG самым продвинутым сервисом туннелирования.

science Рецензируемые протоколы
code Открытый исходный код
verified Формально верифицирован

Сравнение протоколов

Как WireGuard выглядит на фоне устаревших VPN-протоколов по ключевым показателям производительности и безопасности.

Показатель
star WireGuard
OpenVPN IPSec/IKEv2
speed Задержка рукопожатия
1 RTT (~100 мс) 6-8 RTT (~800 мс) 2-4 RTT (~400 мс)
trending_up Пропускная способность
~1000 Мбит/с ~250 Мбит/с ~500 Мбит/с
code Сложность кода
~4 000 строк ~400 000 строк ~200 000 строк
encrypted Шифрование
ChaCha20-Poly1305 AES-256-GCM AES-256-GCM
key Обмен ключами
Curve25519 (ECDH) RSA / ECDH Diffie-Hellman / ECDH
fingerprint Хеширование / MAC
BLAKE2s SHA-256 / SHA-384 SHA-256 / SHA-384
visibility_off Устойчивость к DPI
Обнаруживается* Частично (через TLS) Обнаруживается

* WireGuard сам по себе обнаруживается DPI. В сочетании с обфускацией Amnezia трафик становится неотличим от обычного HTTPS.

Преимущество стелс-режима Amnezia

Deep Packet Inspection (DPI) может распознавать и блокировать стандартные VPN-протоколы. Amnezia решает эту проблему, делая VPN-трафик невидимым.

block Без Amnezia

laptop
WG-ПАКЕТ
gpp_bad DPI
ЗАБЛОКИРОВАН
dns

Стандартные пакеты WireGuard имеют узнаваемую сигнатуру, которую файрволы с DPI легко распознают и блокируют.

check_circle С Amnezia

laptop
ОБФУСЦИРОВАН
gpp_good DPI
ПРОПУЩЕН
dns

Amnezia оборачивает пакеты WireGuard в слой обфускации, делая их неотличимыми от обычного HTTPS-трафика.

shuffle

Инъекция мусорных пакетов

Amnezia внедряет мусорные данные случайной длины (управляемые параметрами JC, JMIN, JMAX) в процесс рукопожатия. Это разрушает предсказуемый отпечаток размера пакетов, на который полагаются системы DPI.

transform

Обфускация заголовков

4-байтовый заголовок типа сообщения WireGuard — явный маркер. Amnezia перезаписывает эти заголовки, чтобы они больше не совпадали со стандартной сигнатурой WireGuard.

pattern

Маскировка паттернов трафика

Рандомизируя размеры пакетов и временные интервалы, Amnezia предотвращает атаки статистического анализа, которые иначе могли бы выявить паттерны VPN-трафика со временем.

Спецификации протоколов

Подробнее о криптографических примитивах и механике протоколов, лежащих в основе нашего стека туннелирования.

bolt

Ядро WireGuard

Высокопроизводительный туннель на уровне ядра

Криптографические примитивы

ШИФРОВАНИЕ

ChaCha20-Poly1305

ОБМЕН КЛЮЧАМИ

Curve25519 ECDH

ХЕШИРОВАНИЕ

BLAKE2s

ДЕРИВАЦИЯ КЛЮЧЕЙ

HKDF

Ключевые свойства

  • check Совершенная прямая секретность — Каждая сессия использует уникальные эфемерные ключи, защищая прошлые сессии даже при компрометации долгосрочных ключей.
  • check Рукопожатие за 1-RTT — Соединение устанавливается за один обмен данными с использованием фреймворка Noise Protocol (паттерн IK).
  • check Производительность на уровне ядра — Работает в ядре Linux с минимальными накладными расходами и максимальной пропускной способностью.
  • check Минимальная поверхность атаки — Менее 4 000 строк кода обеспечивают полную возможность аудита и меньше потенциальных уязвимостей.
visibility_off

Amnezia Cloak

Антицензурный слой обфускации

Параметры обфускации

JC

Количество мусорных пакетов

JMIN

Мин. размер мусорных данных

JMAX

Макс. размер мусорных данных

S1 / S2

Перезапись заголовка инициализации

Ключевые свойства

  • check Обход DPI — Обходит глубокую инспекцию пакетов ограничительных файрволов (GFW, Роскомнадзор и др.).
  • check Нулевая сигнатура — Трафик выглядит как случайные байты, неотличимые от обычного HTTPS-трафика.
  • check Адаптивное дополнение — Рандомизированные размеры пакетов предотвращают статистическое профилирование паттернов VPN-трафика.
  • check Совместимость с WireGuard — Оборачивает стандартный WireGuard без модификации основного протокола, сохраняя все гарантии безопасности.

Технические вопросы

Частые вопросы о нашем стеке протоколов и инфраструктуре.

Почему WireGuard, а не OpenVPN?

expand_more

WireGuard фундаментально превосходит OpenVPN практически по всем показателям. Его кодовая база в 4 000 строк (против 400 000+ у OpenVPN) значительно упрощает аудит. Он использует современные криптографические примитивы (ChaCha20, Curve25519, BLAKE2s) вместо OpenSSL. Производительность в 3-4 раза выше, так как он работает в ядре Linux, а не в пользовательском пространстве. Рукопожатие за 1-RTT означает, что соединение устанавливается за миллисекунды, а не секунды.

Как работает обфускация Amnezia?

expand_more

Amnezia использует три техники: (1) Инъекция мусорных пакетов во время рукопожатия, управляемая параметрами JC/JMIN/JMAX, рандомизирующая отпечаток размера пакетов. (2) Перезапись заголовков через параметры S1/S2, изменяющая идентификаторы типа сообщений WireGuard. (3) Дополнение трафика, делающее статистический профиль соединения неотличимым от обычного HTTPS. Вместе эти методы обходят все известные техники DPI.

Влияет ли обфускация на производительность?

expand_more

Влияние минимально. Мусорные пакеты внедряются только на этапе рукопожатия, а не при передаче данных. Перезапись заголовков практически не добавляет нагрузки. Небольшое увеличение размера пакетов из-за дополнения незначительно на современных каналах. На практике можно ожидать менее 5% накладных расходов по сравнению с чистым WireGuard при полной устойчивости к DPI.

В чём разница между тарифами «Общий» и «Выделенный»?

expand_more

На общем тарифе до 10 пользователей размещаются на одном сервере WireGuard с равномерным распределением пропускной способности. Выделенный тариф предоставляет отдельный сервер для одного пользователя, гарантируя полную пропускную способность и полную изоляцию. Пользователи выделенного тарифа также получают несколько конфигураций для разных устройств (ПК, телефон, роутер, планшет).

Какое шифрование использует VPNWG?

expand_more

VPNWG использует криптографический набор WireGuard: ChaCha20-Poly1305 для симметричного шифрования и аутентификации, Curve25519 для обмена ключами по протоколу Диффи-Хеллмана на эллиптических кривых, BLAKE2s для хеширования и HKDF для деривации ключей. Все примитивы выбраны за сочетание безопасности и производительности, и все они формально верифицированы. Этот стек обеспечивает эквивалент 256-битной защиты.

Может ли мой провайдер или государство обнаружить, что я использую VPN?

expand_more

С включённой обфускацией Amnezia ваш трафик спроектирован так, чтобы быть необнаружимым для современных систем DPI. Слой обфускации удаляет все известные сигнатуры протокола WireGuard, а дополнение трафика делает статистический анализ неэффективным. Хотя ни одно решение не может гарантировать 100% необнаружимость перед будущими методами анализа, Amnezia активно поддерживается и обновляется для противодействия новым техникам обнаружения.

security

Готовы начать?

Попробуйте WireGuard + Amnezia уже сегодня. Настройка менее чем за 60 секунд.

Начать сейчас Смотреть тарифы