ExpressVPN je najavio implementaciju Lightway protokola otvorenog koda, dizajniranog za postizanje minimalnog vremena postavljanja veze uz održavanje visokog nivoa sigurnosti i pouzdanosti. Kod je napisan u jeziku C i distribuira se pod GPLv2 licencom. Implementacija je vrlo kompaktna i staje u dvije hiljade linija koda. Deklarisana podrška za Linux, Windows, macOS, iOS, Android platforme, rutere (Asus, Netgear, Linksys) i pretraživače. Montaža zahteva upotrebu sistema Earthly i Ceedling montaže. Implementacija je upakovana kao biblioteka koju možete koristiti za integraciju funkcionalnosti VPN klijenta i servera u svoje aplikacije.
Kod koristi unaprijed izgrađene, dokazane kriptografske funkcije koje pruža biblioteka wolfSSL, već korištene u FIPS 140-2 certificiranim rješenjima. U normalnom režimu, protokol koristi UDP za prenos podataka i DTLS za kreiranje šifrovanog komunikacionog kanala. Kao opcija da se osigura rad na nepouzdanim ili restriktivnim UDP mrežama, server pruža pouzdaniji, ali sporiji način rada koji omogućava prijenos podataka preko TCP i TLSv1.3.
Testovi koje je sproveo ExpressVPN pokazali su da je u poređenju sa starijim protokolima (ExpressVPN podržava L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard i SSTP, ali ne navodi šta je tačno poređeno), prelazak na Lightway smanjio vreme podešavanja veze u proseku 2.5 puta (u u više od polovine slučajeva komunikacioni kanal se kreira za manje od sekunde). Novi protokol je također omogućio smanjenje broja prekida veze za 40% u nepouzdanim mobilnim mrežama koje imaju problema s kvalitetom komunikacije.
Razvoj referentne implementacije protokola će se vršiti na GitHub-u, uz mogućnost da predstavnici zajednice učestvuju u razvoju (da biste prenijeli promjene, morate potpisati CLA ugovor o prijenosu imovinskih prava na kod). Ostali VPN provajderi su također pozvani na saradnju, jer mogu koristiti predloženi protokol bez ograničenja.
Sigurnost implementacije potvrđena je rezultatom nezavisne revizije koju je izvršio Cure53, koji je svojevremeno vršio reviziju NTPsec, SecureDrop, Cryptocat, F-Droid i Dovecot. Revizija je obuhvatila verifikaciju izvornih kodova i uključila testove za identifikaciju mogućih ranjivosti (pitanja vezana za kriptografiju nisu razmatrana). Općenito, kvalitet koda je ocijenjen kao visok, ali je, ipak, test otkrio tri ranjivosti koje bi mogle dovesti do uskraćivanja usluge i jednu ranjivost koja omogućava da se protokol koristi kao pojačivač saobraćaja tokom DDoS napada. Ovi problemi su već otklonjeni, a komentari o poboljšanju koda su uzeti u obzir. Revizija također razmatra poznate ranjivosti i probleme u uključenim komponentama treće strane, kao što su libdnet, WolfSSL, Unity, Libuv i lua-crypt. Problemi su uglavnom manji, s izuzetkom MITM-a u WolfSSL-u (CVE-2021-3336).
izvor: opennet.ru