ExpressVPN het die oopbron-implementering van die Lightway-protokol aangekondig, wat ontwerp is om die vinnigste konneksie-opstellingstyd te behaal, terwyl 'n hoë vlak van sekuriteit en betroubaarheid gehandhaaf word. Die kode is in C geskryf en onder die GPLv2-lisensie versprei. Die implementering is baie kompak en pas in tweeduisend reëls kode. Verklaarde ondersteuning vir Linux, Windows, macOS, iOS, Android-platforms, routers (Asus, Netgear, Linksys) en blaaiers. Montering vereis die gebruik van Aardse en Ceedling-samestellingstelsels. Die implementering is verpak as 'n biblioteek wat u kan gebruik om VPN-kliënt- en bedienerfunksionaliteit in u toepassings te integreer.
Die kode gebruik out-of-the-box-gevalideerde kriptografiese funksies wat verskaf word deur die wolfSSL-biblioteek wat reeds in FIPS 140-2-gesertifiseerde oplossings gebruik word. In normale modus gebruik die protokol UDP om data oor te dra en DTLS om 'n geënkripteerde kommunikasiekanaal te skep. As 'n opsie om onbetroubare of UDP-beperkende netwerke te hanteer, word 'n meer betroubare, maar stadiger, stroommodus deur die bediener verskaf, wat toelaat dat data oor TCP en TLSv1.3 oorgedra word.
Toetse wat deur ExpressVPN uitgevoer is, het getoon dat, in vergelyking met ouer protokolle (ExpressVPN ondersteun L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard en SSTP, maar die vergelyking was nie gedetailleerd nie), die oorskakeling na Lightway die konneksie opsteltyd verminder met gemiddeld 2.5 keer (in meer as die helfte van die gevalle word 'n kommunikasiekanaal in minder as 'n sekonde geskep). Die nuwe protokol het dit ook moontlik gemaak om die aantal ontkoppelings in onbetroubare mobiele netwerke met verbindingskwaliteitprobleme met 40% te verminder.
Die ontwikkeling van die verwysingsimplementering van die protokol sal op GitHub uitgevoer word met die geleentheid om deel te neem aan die ontwikkeling van gemeenskapsverteenwoordigers (om veranderinge oor te dra, moet u 'n CLA-ooreenkoms onderteken oor die oordrag van eiendomsreg na die kode). Ander VPN-verskaffers word ook uitgenooi om saam te werk, wat die voorgestelde protokol sonder beperkings kan gebruik.
Die sekuriteit van die implementering word bevestig deur die resultaat van 'n onafhanklike oudit wat uitgevoer is deur Cure53, wat op 'n tyd NTPsec, SecureDrop, Cryptocat, F-Droid en Dovecot geoudit het. Die oudit het die verifikasie van bronkodes gedek en toetse ingesluit om moontlike kwesbaarhede te identifiseer (kwessies wat met kriptografie verband hou, is nie oorweeg nie). Oor die algemeen is die kwaliteit van die kode as hoog aangeslaan, maar die hersiening het nietemin drie kwesbaarhede aan die lig gebring wat kan lei tot 'n ontkenning van diens, en een kwesbaarheid wat toelaat dat die protokol as 'n verkeersversterker tydens DDoS-aanvalle gebruik word. Hierdie probleme is reeds reggestel, en die opmerkings wat gemaak is oor die verbetering van die kode is in ag geneem. Die oudit het ook die aandag gevestig op bekende kwesbaarhede en kwessies in die betrokke derdeparty-komponente, soos libdnet, WolfSSL, Unity, Libuv en lua-crypt. Die meeste van die probleme is gering, met die uitsondering van MITM in WolfSSL (CVE-2021-3336).
Bron: opennet.ru