ExpressVPN разкрива работи, свързани с Lightway VPN протокол

ExpressVPN обяви внедряването с отворен код на протокола Lightway, предназначен да постигне минимално време за настройка на връзката, като същевременно поддържа високо ниво на сигурност и надеждност. Кодът е написан на език C и се разпространява под лиценз GPLv2. Реализацията е много компактна и се побира в две хиляди реда код. Декларирана поддръжка за Linux, Windows, macOS, iOS, Android платформи, рутери (Asus, Netgear, Linksys) и браузъри. Сглобяването изисква използването на системи за сглобяване Earthly и Ceedling. Внедряването е пакетирано като библиотека, която можете да използвате, за да интегрирате функционалността на VPN клиент и сървър във вашите приложения.

Кодът използва предварително изградени, доказани криптографски функции, предоставени от библиотеката wolfSSL, която вече се използва в решения, сертифицирани по FIPS 140-2. В нормален режим протоколът използва UDP за предаване на данни и DTLS за създаване на криптиран комуникационен канал. Като опция за осигуряване на работа в ненадеждни или ограничителни UDP мрежи, сървърът предоставя по-надежден, но по-бавен режим на поточно предаване, който позволява прехвърлянето на данни през TCP и TLSv1.3.

Тестовете, проведени от ExpressVPN, показаха, че в сравнение с по-старите протоколи (ExpressVPN поддържа L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard и SSTP, но не уточнява какво точно е сравнено), преминаването към Lightway намалява времето за настройка на връзката средно 2.5 пъти (в повече от половината от случаите комуникационен канал се създава за по-малко от секунда). Новият протокол също така направи възможно намаляването на броя на прекъсванията на връзката с 40% в ненадеждни мобилни мрежи, които имат проблеми с качеството на комуникацията.

Разработването на референтната реализация на протокола ще се извърши на GitHub, с възможност за участие в разработката на представители на общността (за да прехвърлите промените, трябва да подпишете CLA споразумение за прехвърляне на права на собственост върху кода). Други доставчици на VPN също са поканени да си сътрудничат, тъй като могат да използват предложения протокол без ограничения.

Сигурността на внедряването беше потвърдена от резултата от независим одит, извършен от Cure53, който по едно време одитира NTPsec, SecureDrop, Cryptocat, F-Droid и Dovecot. Одитът обхвана проверката на изходните кодове и включи тестове за идентифициране на възможни уязвимости (проблемите, свързани с криптографията, не бяха разгледани). Като цяло качеството на кода беше оценено като високо, но въпреки това тестът разкри три уязвимости, които биха могли да доведат до отказ на услуга, и една уязвимост, която позволява на протокола да се използва като усилвател на трафика по време на DDoS атаки. Тези проблеми вече са отстранени и направените коментари за подобряване на кода са взети под внимание. Одитът също така разглежда известни уязвимости и проблеми във включените компоненти на трети страни, като libdnet, WolfSSL, Unity, Libuv и lua-crypt. Проблемите са предимно незначителни, с изключение на MITM в WolfSSL (CVE-2021-3336).

Източник: opennet.ru