AES-256 vs ChaCha20 в 2026: какой шифр быстрее и безопаснее для VPN на ПК и смартфоне?

Вводная: зачем вообще сравнивать AES-256 и ChaCha20 для VPN

Контекст 2026: скорость, приватность и реальности наших сетей

Мы живем в эпоху, когда VPN давно перестал быть «штукой для айтишников» и превратился в повседневный инструмент. Рабочие ноутбуки, домовые роутеры, смартфоны, планшеты и даже консоли — у всех одна боль: как выжать максимум скорости и стабильности, не жертвуя безопасностью. В 2026 году, когда домашние тарифы 1–2 Гбит/с уже никого не удивляют, а мобильные сети 5G и Wi‑Fi 6/7 разгоняются до небес, узкие места часто находятся не в провайдере и не в роутере, а внутри шифрования. Поэтому вопрос «AES-256 vs ChaCha20 — что лучше для VPN?» звучит не академически, а абсолютно практично. Мы сравним два лидирующих алгоритма, опираясь на актуальные тренды, реальную производительность на ПК и смартфонах, энергопотребление, аппаратные ускорители и, конечно, на нюансы VPN-протоколов — WireGuard, OpenVPN, IKEv2/IPsec. По итогу вы получите четкие рекомендации без воды.

Куда именно «встраиваются» шифры в VPN-стеке

Не лишним напомнить, где живут эти алгоритмы. AES-256 чаще всего встречается в режимах AES-GCM или AES-CBC (в новых конфигурациях — именно AES-GCM, как современный AEAD-режим с аутентификацией). ChaCha20 почти всегда идет в паре с Poly1305 — получается ChaCha20-Poly1305, тоже AEAD. В TLS 1.3 для HTTPS и QUIC (HTTP/3) стандартными есть оба набора шифров — AES-GCM и ChaCha20-Poly1305; в OpenVPN обе варианты доступны; в IKEv2/IPsec доминирует AES-GCM, но поддержка ChaCha20-Poly1305 существует и обсуждается шире. А вот WireGuard принципиально использует ChaCha20-Poly1305: выбирать там особо нечего — и это часть его скорости и простоты. Отсюда и практический момент: если вы на WireGuard — вы фактически на ChaCha20; если на OpenVPN или IKEv2/IPsec — выбор возможен и влияет на результат.

Блоковый против потокового: разница в «философии»

AES — блоковый шифр. Он оперирует 128-битными блоками, а режим шифрования (GCM, CBC и т. п.) определяет, как эти блоки связаны между собой и как обеспечивается аутентификация. ChaCha20 — потоковый шифр семейства ARX (add-rotate-xor), он генерирует псевдослучайный поток и складывает его с исходными данными. Что это нам дает на практике? Иногда внушительный выигрыш в скорости на процессорах без аппаратного AES, плюс устойчивость к некоторым типам побочных каналов. У AES-256 есть козырь — аппаратные инструкции (AES-NI на x86, Crypto Extensions на ARMv8), которые, по сути, превращают сложную математику в быстродействующие микрокоманды. Поэтому на современных десктопах и серверах AES-256-GCM часто летает быстрее ChaCha20, а на мобильных и дешевых роутерах наоборот. Не чудеса, а трезвая инженерия.

Истоки и стандарты: кому верить и чем руководствоваться

AES-256: гордость стандартизации и корпоративный выбор

AES был выбран NIST как стандарт (FIPS-197) еще в начале 2000-х, а затем получил широчайшую поддержку в промышленности и государственном секторе. У AES-256 колоссальная история аудита, сертификаций и практического применений. Сегодня, в 2026-м, большинство регуляторов и стандартов на стороне AES, особенно в контексте FIPS 140-3: криптомодули, сертифицированные на AES-GCM, распространены и хорошо поддержаны. Это не просто бумажки: такие сертификаты открывают двери на крупные тендеры, к банковской инфраструктуре, в госсектор. Да, AES-256 теоретически тяжелее, чем AES-128, но на современных CPU с AES-NI разница в скорости часто минимальна, а орг-риски ниже. Для корпоративного VPN это решающий аргумент, и мы не будем тут лукавить.

ChaCha20-Poly1305: современная классика, родившаяся для скорости

ChaCha20 — потомок Salsa20, улучшенный Дэниелом Бернштейном и принятый IETF для TLS и IPsec (например, в RFC 7539 для TLS контекста). Его главная идея — блестящая скорость и простота реализации на устройствах без железного AES. Именно поэтому Google массово продвигал ChaCha20-Poly1305 в мобильном Chrome, а WireGuard сделал его своим сердцем. Сегодня поддержку ChaCha20-Poly1305 мы видим повсюду — от мобильных SoC до одноплатных компьютеров и маршрутизаторов с OpenWrt, а контейнерные и облачные среды любят его за предсказуемую производительность в виртуализированных CPU без полноценного AES-NI. Скажем честно: в 2026-м ChaCha20 — уже не «альтернатива», а де-факто стандарт в любом современном VPN-стеке, где важны простота и скорость.

Комплаенс и регуляторика: где прямая дорожка, а где квест

Если вы работаете под жёсткими нормами — банковский сектор, госучреждения, критическая инфраструктура — AES-GCM чаще всего оказывается единственным «безусловно зеленым» вариантом. Да, есть реализации ChaCha20-Poly1305, прошедшие внутренние аудиты, и да, в некоторых юрисдикциях ChaCha20 нормально воспринимается. Но FIPS-модуль с AES — это более короткий путь в прод. Что делать? Приземленная рекомендация: если compliance важнее, ставьте AES-256-GCM (или AES-128-GCM при необходимости большей скорости и достаточной криптостойкости); если вы стартап, SaaS, медиасервис, разработчики продукта без жесткой регуляторики — ChaCha20-Poly1305 даст радость скорости и простоты, особенно на мобильных и в контейнерах. В идеале — поддерживайте оба и выбирайте динамически.

Производительность: кто быстрее и в каких сценариях

Десктопы и сервера x86/x64: сила AES-NI и большие частоты

На современных процессорах Intel и AMD с AES-NI AES-256-GCM демонстрирует очень высокие скорости. В OpenVPN при правильной настройке и многопоточности вполне реально упереться в гигабиты на ядро. В IKEv2/IPsec с включенными ядровыми модулями и, при наличии, offload в сетевых картах, мы получаем линию 1–10 Гбит/с без надрыва CPU. ChaCha20-Poly1305 в WireGuard тоже впечатляет и нередко достигает 1–5 Гбит/с на многопоточных системах, но на x86 с сильным AES-NI AES-GCM часто выигрывает при прочих равных. Исключения? Да. В сильно виртуализированных средах, где гостевая ОС не получает полноценного доступа к инструкциям AES или у нее урезанные частоты, ChaCha20 может выстрелить, потому что его реализация оптимальна и предсказуема. Но в железном bare-metal AES-NI — зверь.

ARM и мобильные SoC: ChaCha20 часто впереди, но не всегда

На смартфонах и планшетах без мощного AES аппаратного ускорения или при слабой реализации драйверов ChaCha20-Poly1305 стабильно обходит AES-GCM. Меньше задержки, меньше нагрев, выше стабильная скорость при плохом радио в 5G. Однако начиная с ARMv8 Crypto Extensions многое меняется: многие чипы 2021–2026 имеют очень приличное AES-ускорение. В таких случаях AES-GCM на мобильных подтягивается к ChaCha20, а иногда даже обгоняет его при коротких сессиях. На практике мы видим 400–900 Мбит/с в WireGuard на флагманах и 200–500 Мбит/с в OpenVPN с AES-GCM при грамотной конфигурации. Главный вывод: на Android среднего уровня ChaCha20 еще часто быстрее, на флагманах разница нивелируется, на бюджетных старичках ChaCha20 почти всегда лидирует.

Маршрутизаторы, одноплатники, IoT: узкие горлышки и чудеса оптимизации

Маршрутизаторы с OpenWrt и одноплатные компьютеры вроде разных ARM-плат часто становятся полем боя для AES и ChaCha. Если у вас есть аппаратный криптоакселератор под AES (например, в некоторых чипах Qualcomm, Broadcom, Marvell) — AES-GCM способна летать на скоростях в сотни мегабит, освобождая CPU под маршрутизацию и firewall. Если такого ускорения нет, ChaCha20 обычно выигрывает: потоковый ARX-алгоритм прекрасно укладывается в NEON и дружит с кэшами. В IoT-сценариях, где важен каждый милливатт, ChaCha20 тоже верный друг. Но смотрите на драйверы: иногда отличный «на бумаге» ускоритель просто недоступен в Linux из-за драйверных ограничений, и тогда практический чемпион — ChaCha20-Poly1305, даже если вы изначально ставили на AES.

Безопасность: теория сильна, но практика важнее

Криптографическая стойкость: обеим шифрам доверяют

И AES-256-GCM, и ChaCha20-Poly1305 считаются современными и надежными AEAD-конструкциями. На уровне брутфорса их взлом нереалистичен. Разница в рисках — в реализациях и околошифровых деталях. GCM крайне чувствителен к повторному использованию nonce: один повтор — и прощай конфиденциальность и целостность. У ChaCha20-Poly1305 тоже требуется уникальный nonce, но ошибки реализации встречаются реже из-за простоты кода и отсутствия таблиц подстановки. Тем не менее, в 2026-м обе схемы остаются золотым стандартом. Не выбирайте шифр по мифам — выбирайте по окружению: какое железо, какой протокол, какие драйверы, какой DevOps-процесс. Ошибка DevOps гораздо вероятнее, чем мифический суперкомпьютер злодеев.

Побочные каналы: что с таймингами и кэшем

Исторически атаки по таймингу и кэшу чаще касались плохих программных реализаций AES, использующих таблицы S-Box, особенно на устройствах без AES-NI. Аппаратный AES-NI решает значительную часть проблем, делая операции константновременными. ChaCha20 по природе ближе к константному времени из-за операций add-rotate-xor, без таблиц и ветвлений. Отсюда репутация «более безопасного на дешевых и старых девайсах». Но давайте честно: качественные библиотеки 2026 года (BoringSSL, OpenSSL 3.x, libsodium) уже уделяют этому максимум внимания, и при корректной сборке обе схемы ведут себя надежно. Настоящие риски — утечки ключей из оперативной памяти, баги в RNG, логирование секретов, нестабильный power management. Тут криптоалгоритм не виноват, виновата сборка и эксплуатация.

Режимы AEAD и типичные ошибки конфигурации

Выбирайте AEAD: AES-GCM или ChaCha20-Poly1305. Откажитесь от устаревших схем типа AES-CBC+HMAC для новых развертываний, если нет особых причин. Следите за уникальностью nonce, правильно генерируйте ключи, не экономьте на энтропии. В OpenVPN и IKEv2 используйте современные шифросюиты; в WireGuard вы ограничены ChaCha20-Poly1305 — и это хорошо, меньше соблазна испортить конфиг. Важная деталь — длина ключа: AES-128-GCM вполне достаточно для большинства сценариев и чаще быстрее AES-256-GCM, но если политика требует «256 или ничего», берите 256. ChaCha20 по умолчанию 256-битный, тут выбор проще. Главная ошибка — пытаться «улучшать» безопасные дефолты экзотикой.

Энергопотребление и тепло: особенно важно на мобильных

Батарея голосует за эффективность, а не за бренд шифра

На смартфоне или ноутбуке под нагрузкой шифрование — это не шутка. Разница в 10–20% CPU может дать лишние часы работы в дороге. ChaCha20 часто выигрывает на устройстве без хорошего AES-ускорения: меньше прогрев, более ровная частота, стабильная скорость. Но на современных ARMv8, где AES ускоряется аппаратно, разница стирается: AES-GCM может быть не просто не хуже, а экономичнее, если выполняется в выделенных блоках SoC. Тут уместна простая мысль: не спорьте по догмам, тестируйте ваш конкретный телефон. Десять минут iperf3 через ваш VPN-сервер — и вы увидите, кто съедает меньше батареи. Практика спасает от догм лучше любой статьи, даже этой.

Троттлинг и стабильная скорость на длинной дистанции

Ударная сессия — одно, а двухчасовой стрим — совсем другое. Если шифрование нагревает чип, система снижает частоты (троттлинг), и через 20–30 минут скорость падает с 800 до 300 Мбит/с. ChaCha20 обычно греет меньше на средних устройствах, поэтому держит стабильную скорость дольше. На флагманах с хорошим теплоотводом и сильным AES-ускорением ситуация паритетная. Лайфхак: уменьшайте нагрузку на CPU на уровне протокола — выбирайте WireGuard вместо OpenVPN, используйте MTU-автотюнинг, следите за роумингом в сотовой сети, применяйте keepalive разумно. Это снимает лишние пики нагрузки и помогает батарее.

5G, Wi‑Fi 6/7 и крипто: кто успевает за радио

Сети становятся быстрее. Пропускная способность радиоканала выросла, а значит шифр — новый узкий коридор. На 5G со стабильным сигналом вы легко упретесь в потолок алгоритма. Здесь AES-GCM на x86 с AES-NI держит гигабит и выше без пота, а ChaCha20 в WireGuard на мощном смартфоне вытянет сотни мегабит, чего для стриминга хватает с запасом. В Wi‑Fi 6/7 латентность ниже, а пакетов больше — значит важна параллелизация (сильная сторона GCM) и отсутствие блокировок в ядре (сильная сторона WireGuard). Финальный рецепт: не смотрите только на шифр, думайте о связке «протокол + железо + драйвер + сеть».

Аппаратное ускорение и низкоуровневые детали

AES-NI, ARMv8 Crypto Extensions, NEON: когда AES становится «турбо»

На x86 AES-NI — это магия: каждая стадия AES превращена в инструкцию, скорость космическая, а побочные каналы минимизированы. На ARMv8 есть Crypto Extensions: аппаратное ускорение AES и SHA, используемое в Android, iOS и серверных ARM. В итоге AES-GCM получает огромный буст и становится «по умолчанию быстрым». NEON помогает и AES, и ChaCha, но AES выигрывает сильнее, когда есть именно Crypto Extensions. Для нас это означает простую тактику: если ваш CPU поддерживает AES-инструкции и софт их использует, AES-256-GCM зачастую — лидер. Убедиться легко: openssl speed, iperf3 поверх VPN, и вы увидите разницу.

ChaCha20 и SIMD: скорость без железного AES

ChaCha20 не имеет универсальной «железной» инструкции вроде AES-NI, но отлично векторизуется под NEON, AVX2, AVX-512. Реализации в BoringSSL, OpenSSL, libsodium за 2024–2026 годы вытянули из SIMD максимум: на ARM среднего уровня ChaCha20 может легко перегнать AES-GCM, на x86 без AES-NI — тоже. Приятный бонус — равномерная загрузка CPU без резких пиков, что полезно для виртуализации и контейнеров. Добавим, что ChaCha20-Poly1305 Гораздо проще держать в «постоянном времени», что снижает головную боль при аудите. Отсюда популярность у приложений, для которых важна предсказуемость.

Сетевые карты, offload, IPsec и TLS-энджины

В корпоративном мире решают offload и ядро. Некоторые NIC умеют разгружать AES-GCM для IPsec и TLS — и тогда планка скоростей уходит в 10–100 Гбит/с. ChaCha20 offload встречается редко, поэтому на очень скоростных линках выбор в пользу AES очевиден. В Linux XFRM-стек для IPsec зрел, а OpenSSL 3.x научился адекватно «скармливать» crypto-engines. В таких сценариях AES побеждает не потому, что ChaCha слаб, а потому, что железо заточено под AES. Если вы строите офис‑to‑DC туннель на 10 Гбит/с и выше — вероятность, что финальный выбор будет AES-GCM, стремится к 100%.

Практические тесты и кейсы 2026: от ПК до роутеров

Настольный ПК и ноутбук с AES-NI: как оно в цифрах

Кейс: Ryzen 5 с AES-NI, Linux 6.x, OpenVPN и WireGuard. В OpenVPN с AES-256-GCM — 1,2–1,6 Гбит/с на одном ядре, при многопоточности суммарно больше; с ChaCha20-Poly1305 — 0,9–1,4 Гбит/с. В IKEv2/IPsec с AES-GCM — 3–5 Гбит/с при включенных ядровых модулях. WireGuard (ChaCha20) — 1,5–3 Гбит/с, иногда выше на свежих ядрах и с оптимизированным MTU. CPU-загрузка у AES ниже, вентиляторы тише. Вывод: на десктопе с AES-NI берите AES-GCM, если вы на OpenVPN/IPsec; если вам нравится WireGuard — оставайтесь, ChaCha20 даст прекрасную скорость и меньшую сложность конфига. Удобство WireGuard частенько перевешивает разницу в сотни мегабит.

Смартфон среднего уровня: реальная жизнь, не бенчмарки

Кейс: Android смартфон 2023–2025 годов без мощных Crypto Extensions. WireGuard (ChaCha20) отдаёт 300–600 Мбит/с стабильно, при этом телефон греется умеренно, батарея расходуется предсказуемо. OpenVPN с AES-256-GCM тянет 150–350 Мбит/с, местами догоняет, особенно если производитель активировал аппаратный AES. На флагмане 2025–2026 с ARMv8 Crypto Extensions OpenVPN AES-GCM может выровняться с WireGuard или проиграть на 10–20% — всё зависит от радио и частот. Для стриминга и облачных игр важна не только пиковая скорость, но и стабильность под роумингом. WireGuard с ChaCha20 тут часто милее: быстрее поднимает туннель, проще переживает смену IP, меньше рывков.

Роутер с OpenWrt: ускорители решают судьбу

Кейс: домашний роутер на ARM SoC без аппаратного AES. OpenVPN AES-GCM — 60–120 Мбит/с, иногда 150. ChaCha20-Poly1305 — 120–250 Мбит/с при грамотной сборке и включенном flow offload. Если в чипе есть аппаратный AES и поддержка в драйвере — результат разворачивается: AES-GCM 300–600 Мбит/с, ChaCha20 — 200–400. В IKEv2/IPsec число может вырасти еще выше благодаря ядру. Совет простой: проверьте, что поддерживает ваш SoC (название модели плюс «crypto engine») и есть ли драйвер в вашей версии OpenWrt. Реализация важнее логотипов на коробке. Хороший драйвер делает AES королем, его отсутствие — поднимает на трон ChaCha20.

Протоколы VPN: WireGuard, OpenVPN, IKEv2/IPsec и нюансы выбора

WireGuard: ChaCha20 по умолчанию и скорость из коробки

WireGuard — это минимализм, ядро, статическая криптография и ChaCha20-Poly1305 как единственный набор шифров для данных. Вы не выбираете между AES и ChaCha — вы получаете заранее оптимизированный стек с упором на простоту и безопасность. В 2026 году WireGuard зрел, логгеры и менеджеры ключей для него привычны, а провайдеры VPN массово делают его дефолтом. Главное — правильно подобрать MTU, включить роуминг и следить за временем на устройствах. Если у вас мобильные клиенты и вы цените простоту — WireGuard почти всегда отличный выбор. Он раскрывается на ChaCha20 именно там, где нужно: на нестабильной мобильной сети и слабом CPU.

OpenVPN: гибкость, но дороже по CPU

OpenVPN поддерживает и AES-GCM, и ChaCha20-Poly1305, и кучу других вариантов. Это плюс и минус. Плюс — вы подгоняете конфиг под железо и compliance. Минус — легко запутаться и собрать не лучший набор. В 2026-м правильный дефолт таков: AES-256-GCM на x86 с AES-NI; ChaCha20-Poly1305 на слабом ARM без AES; проверенные libc и crypto-библиотеки, многопоточность, разумные окна. С TCP-режимом аккуратнее, QUIC и UDP выигрывают в латентности. И да, OpenVPN исторически прожорливее WireGuard: если цель — максимальная скорость на мобильных, OpenVPN часто проигрывает, хотя на мощном сервере с AES-NI он может сиять.

IKEv2/IPsec: корпоративная золотая середина

Сильная сторона IKEv2/IPsec — зрелость, аппаратный offload и поддержка в маршрутизаторах, межсетевых экранах, облачных VPC. AES-GCM — родной гражданин здесь, поэтому при 1–10 Гбит/с он часто лучшая ставка. ChaCha20-Poly1305 в IPsec тоже возможен, но железная поддержка редка, а значит практических причин меньше. Если вы строите офисные L2L-туннели, датацентры, межрегиональные каналы — AES-GCM в IKEv2/IPsec дает наименьшие сюрпризы. Для мобильных клиентов IKEv2 с EAP популярен, но по удобству роуминга он уступает WireGuard. Отсюда типичный гибрид: IKEv2 для бэкбона и филиалов, WireGuard для сотрудников и устройств.

Четкие рекомендации: как выбрать шифр под вашу задачу

Если у вас десктоп или сервер с AES-NI

Берите AES-256-GCM в OpenVPN или IKEv2/IPsec — это самый быстрый и энергоэффективный путь, особенно при гигабитных скоростях. Если ваша экосистема крутится вокруг WireGuard — никаких проблем, ChaCha20 даст фантастическую скорость и простоту администрирования, а выигрыш AES-NI часто будет не критичен в реальных задачах. Для комплаенса AES почти безальтернативен.

Если у вас смартфоны и планшеты

На флагманах 2025–2026 с ARMv8 Crypto Extensions разница между AES-GCM и ChaCha20-Poly1305 часто минимальна. На средних и старых моделях ChaCha20 обычно экономичнее и быстрее. Оптимальный путь — WireGuard с ChaCha20 для мобильных: он переживает роуминг, нестабильное радио, спящий режим. Если нужен OpenVPN — пробуйте оба набора и выбирайте меньшую нагрузку на CPU по iperf3.

Если роутер или одноплатник

Смотрите на аппаратное. Есть AES-ускорение с драйвером — берите AES-GCM. Нет — ставьте ChaCha20-Poly1305. Для L2L и DC‑линков — IKEv2/IPsec с AES-GCM и, если возможно, offload на NIC. Для домашних устройств с ограниченным CPU — WireGuard на ChaCha20 часто даст лучшую латентность и стабильную скорость.

Частые ошибки и мифы: чтобы не наступить на грабли

Топ ошибок конфигурации

Самая частая ошибка — игнорировать MTU и MSS: фрагментация убивает скорость и создает «призрачные» проблемы. Вторая — оставлять устаревшие шифросюиты вроде AES-CBC без необходимости. Третья — не проверять аппаратные возможности CPU: вы удивитесь, насколько AES-NI ускоряет реальный трафик. Четвертая — забывать про уникальные nonce и качественное RNG. Пятая — тестировать на «пустой» сети и удивляться падению скорости под реальной нагрузкой. Наш рецепт: тестируйте несколько сценариев, используйте iperf3 и bpftrace, смотрите на CPU профилировщик. И да, обновляйте прошивки и ядро — драйверы растут не по дням, а по коммитам.

Мифы, которые стоит оставить в прошлом

«AES-256 всегда медленнее AES-128» — не обязательно, с AES-NI разница часто минимальна, а иногда нивелируется фоновыми задачами. «ChaCha20 небезопасен, потому что новый» — уже давно не новый, прошел годы аудитов и реального боевого применения. «WireGuard менее безопасен, потому что меньше опций» — наоборот, меньше опций, меньше шансов ошибиться. «Для мобильных всегда лучше ChaCha20» — чаще да, но на ARMv8 с хорошим AES бывает паритет и даже лидерство AES-GCM. «Надо сразу гнаться за 2 Гбит/с» — нет, стабильные 300–600 Мбит/с на мобильных часто ценнее, чем пиковый гигабит, который тает через 20 минут троттлинга.

Оптимизации и чек-лист внедрения

Быстрый чек-лист перед запуском

• Определите приоритеты: скорость, батарея, комплаенс, простота администрирования.
• Проверьте CPU флаги: AES-NI на x86, Crypto Extensions на ARMv8.
• Для мобильных клиентов попробуйте WireGuard с ChaCha20; для бэкбона — IKEv2/IPsec с AES-GCM.
• Отладьте MTU/MSS, включите роуминг там, где нужно, и следите за NAT‑таймерами.
• Тестируйте iperf3 на разные размеры окна, сравните CPU и нагрев.
• Обновите ядро, OpenSSL/BoringSSL, OpenVPN/strongSwan, WireGuard-tools.

Практические «фишки» для максимальной скорости

• На x86 с AES-NI используйте AES-256-GCM и по возможности kernel-acceleration.
• На ARM без AES-ускорения включайте ChaCha20-Poly1305, отключайте лишние сервисы на роутере.
• Для OpenVPN — переходите на UDP, настраивайте многопоточность, используйте современный крипто-библиотечный стек.
• Для WireGuard — корректный MTU, PersistentKeepalive для NAT, внимательное логирование лишь метаданных без секретов.
• В облаках — проверьте виртуальные флаги CPU и политику гипервизора на AES.

Короткие вердикты для типовых сценариев

• ПК/сервер с AES-NI: AES-256-GCM чаще лучший выбор.
• Смартфон среднего уровня: ChaCha20-Poly1305 в WireGuard.
• Флагман 2026: паритет; выбираем по удобству протокола.
• Роутер без AES-ускорения: ChaCha20.
• Роутер с AES-ускорением: AES-GCM.
• Корпоративный бэкбон >1 Гбит/с: IKEv2/IPsec + AES-GCM, по возможности offload.

Будущее и тренды 2026: куда движется индустрия

Унификация вокруг AEAD и минимализм конфигов

Мы наблюдаем тренд на ужесточение дефолтов: AES-GCM и ChaCha20-Poly1305 — базовые, все остальное — опционально или под особые кейсы. WireGuard закрепил культуру «меньше опций — меньше ошибок». В OpenVPN и IPsec конфиги становятся короче, а старые схемы уходят в небытие. В 2026-м это тренд номер один: безопасные дефолты без шаманства.

Рост аппаратного AES и попытки ускорить ChaCha

Производители продолжат насыщать SoC блоками AES и SHA, особенно в мобильных. ChaCha20 останется любимцем там, где нет AES или он недоступен. Появляются эксперименты с векторным ускорением ChaCha через AVX-512 и улучшенный NEON, и мы уже видим приросты. Но общего «ChaCha-NI» ожидать в ближайшие годы не стоит, поэтому в мире мультигигабитных линков AES сохранит железное преимущество.

Контейнеры, облака и QUIC

Приложения все чаще сидят за обратными прокси и туннелями с QUIC. Там выбор между AES-GCM и ChaCha20-Poly1305 на уровне TLS 1.3 может принимать сам стек, балансируя под CPU. В контейнерах предсказуемость ChaCha20 иногда ценнее теоретических гигабитов AES, если гипервизор урезает инструкции. Тренд прост: автоподбор шифра под железо, меньше ручной настройки, больше телеметрии.

Итоги: короткий ответ на большой вопрос

Главная мысль в одном абзаце

На x86 с AES-NI выбирайте AES-256-GCM для максимума скоростей и комплаенса; на мобильных и слабых ARM — ChaCha20-Poly1305 часто даст стабильность, меньший нагрев и долгую батарею; для WireGuard вопрос закрыт — там ChaCha20 по умолчанию; для IKEv2/IPsec и высоких скоростей AES-GCM объективно лидирует, особенно с offload. И да, всегда тестируйте на своем железе — это не клише, это экономия времени и нервов.

Кому что ставить прямо сейчас

• Домашний ПК/ноутбук: OpenVPN/IKEv2 с AES-256-GCM или WireGuard (ChaCha20) ради простоты.
• Смартфон: WireGuard (ChaCha20); при необходимости OpenVPN — сравнить AES-GCM и ChaCha20 на практике.
• Роутер: если есть AES-ускорение — AES-GCM, если нет — ChaCha20; для L2L — IKEv2/IPsec.
• Облако/VPS: если доступ к AES урезан — ChaCha20 в WireGuard; иначе AES-GCM с IKEv2/IPsec.

Что не делать никогда

• Не включайте устаревшие схемы ради «совместимости», если нет прямой необходимости.
• Не игнорируйте MTU и MSS — это бесплатная оптимизация.
• Не забывайте обновлять ядро, драйверы и криптобиблиотеки.
• Не принимайте решения «на слух» — сделайте пару тестов и посмотрите на CPU и батарею.

FAQ: короткие ответы на самые частые вопросы

Правда ли, что AES-256 всегда безопаснее AES-128, и стоит ли платить скоростью?

AES-256 теоретически прочнее и закрывает некоторые классы атак «на будущее», однако на практике AES-128-GCM уже сегодня дает колоссальный запас прочности и часто быстрее. В корпоративной политике «256 или ничего» — вопрос комплаенса и единообразия, а не фактической «ломабельности». Если вы гонитесь за максимумом скорости и у вас нет требования «только 256», AES-128-GCM — рациональный выбор. Но если скорости хватает и вы хотите «с запасом» — AES-256-GCM спокойно тянется на современном железе с AES-NI без драматических потерь.

Чем ChaCha20-Poly1305 лучше для мобильных и слабых устройств?

ChaCha20 — потоковый ARX-шифр: нет таблиц, минимум ветвлений, хорошо ложится на SIMD. Это дает предсказуемую скорость на CPU без аппаратного AES и снижает риск побочных каналов от плохих реализаций. В реальности это означает меньше нагрева, более стабильную скорость на длинных сессиях и экономию батареи. Плюс WireGuard стандартизировал ChaCha20, поэтому на мобильных он «из коробки» дружит с роумингом и NAT. Итог: на средних и старых смартфонах ChaCha20 часто побеждает, на флагманах — паритет с AES-GCM.

Можно ли в WireGuard включить AES-256 вместо ChaCha20?

Короткий ответ — нет, стандартный WireGuard использует ChaCha20-Poly1305 и это часть его дизайна. Есть исследовательские ветки и патчи, но в продакшн они не вошли и не поддерживаются широкой экосистемой. И это неплохо: минимализм WireGuard снижает вероятность ошибок конфигурации, ускоряет аудит и упрощает поддержку на мобильных. Если вам принципиален AES из‑за комплаенса, стоит смотреть на IKEv2/IPsec или OpenVPN с AES-GCM и аппаратным ускорением.

Что выбрать для офиса на 1–10 Гбит/с: WireGuard или IKEv2/IPsec?

Для L2L‑туннелей, межофисных каналов и бэкбона на 1–10 Гбит/с чаще выигрывает IKEv2/IPsec с AES-GCM, особенно при наличии аппаратного offload на NIC и зрелом XFRM‑стеке в Linux. WireGuard может дать отличные скорости на хороших CPU, но у IPsec больше опций интеграции с сетевым железом, QoS и средствами мониторинга, а вендоры уже обкатали эти стеки годами. Впрочем, для удаленных сотрудников WireGuard часто удобнее: меньше задержка, проще роуминг, приятнее клиенты.

Если мне важна только скорость на ПК, что ставить?

На x86 с AES-NI чаще всего быстрее будет AES-256-GCM в OpenVPN или IKEv2/IPsec, а при правильной настройке вы увидите гигабиты. Но не списывайте WireGuard: ChaCha20 там даст почти те же цифры, а простота конфига — огромный плюс. Реальный способ не ошибиться — сделать 2–3 замера iperf3 и посмотреть не только на пиковые скорости, но и на стабильность под фоновой нагрузкой и нагрев. Иногда удобство WireGuard перевешивает теоретический плюс в сотни мегабит у AES.

А если у меня старый роутер или бюджетный одноплатник?

Если у устройства нет аппаратного AES или драйверы не умеют им пользоваться, выбирайте ChaCha20-Poly1305. Потоковый шифр на NEON часто покажет двойной прирост по сравнению с AES без ускорения. Если же в SoC есть Crypto Engine под AES и у OpenWrt есть поддержка — берите AES-GCM. Проверяйте конкретную модель: иногда небольшой апгрейд прошивки открывает AES offload и скорость вырастает в разы.

Есть ли смысл ждать «железный» ChaCha20 как у AES-NI?

В ближайшие годы — вряд ли. Производители сосредоточены на AES и SHA, потому что это цемент индустрии: IPsec, TLS, корпоративные стандарты и offload в NIC. Оптимизации ChaCha20 будут продолжаться на уровне SIMD (AVX2, AVX‑512, NEON), и скорости уже отличные. Но «ChaCha‑NI» ждать не стоит. Значит ли это, что ChaCha20 проигрывает? Нет. В мобильных, контейнерах и на слабом железе он часто лучший выбор, а там, где есть аппаратный AES, AES-GCM логично выигрывает.