ExpressVPN ha anunciat la implementació de codi obert del protocol Lightway, dissenyat per aconseguir el temps de configuració de connexió més ràpid mantenint un alt nivell de seguretat i fiabilitat. El codi està escrit en C i distribuït sota la llicència GPLv2. La implementació és molt compacta i encaixa en dues mil línies de codi. Suport declarat per a plataformes Linux, Windows, macOS, iOS, Android, encaminadors (Asus, Netgear, Linksys) i navegadors. El muntatge requereix l'ús de sistemes de muntatge Earthly i Ceedling. La implementació està empaquetada com una biblioteca que podeu utilitzar per integrar la funcionalitat del client i del servidor VPN a les vostres aplicacions.
El codi utilitza funcions criptogràfiques validades de manera immediata proporcionades per la biblioteca wolfSSL que ja s'utilitza a les solucions certificades FIPS 140-2. En mode normal, el protocol utilitza UDP per transferir dades i DTLS per crear un canal de comunicació xifrat. Com a opció per gestionar xarxes poc fiables o que restringeixen UDP, el servidor proporciona un mode de transmissió més fiable, però més lent, que permet transferir dades a través de TCP i TLSv1.3.
Les proves realitzades per ExpressVPN han demostrat que, en comparació amb protocols més antics (ExpressVPN admet L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard i SSTP, però la comparació no es va detallar), canviar a Lightway va reduir el temps de configuració de la connexió en una mitjana de 2.5 vegades. (en més de la meitat dels casos, es crea un canal de comunicació en menys d'un segon). El nou protocol també va permetre reduir en un 40% el nombre de desconnexions en xarxes mòbils poc fiables amb problemes de qualitat de connexió.
El desenvolupament de la implementació de referència del protocol es durà a terme a GitHub amb l'oportunitat de participar en el desenvolupament dels representants de la comunitat (per transferir els canvis, cal signar un acord CLA sobre la transferència de drets de propietat al codi). També es convida a altres proveïdors de VPN a cooperar, que poden utilitzar el protocol proposat sense restriccions.
La seguretat de la implementació es confirma pel resultat d'una auditoria independent realitzada per Cure53, que en un moment va auditar NTPsec, SecureDrop, Cryptocat, F-Droid i Dovecot. L'auditoria va cobrir la verificació dels codis font i va incloure proves per identificar possibles vulnerabilitats (no es van tenir en compte els problemes relacionats amb la criptografia). En general, la qualitat del codi es va valorar com a alta, però, tanmateix, la revisió va revelar tres vulnerabilitats que poden provocar una denegació de servei i una vulnerabilitat que permet utilitzar el protocol com a amplificador de trànsit durant atacs DDoS. Aquests problemes ja s'han solucionat i s'han tingut en compte els comentaris fets sobre la millora del codi. L'auditoria també va cridar l'atenció sobre vulnerabilitats i problemes coneguts en els components de tercers implicats, com ara libdnet, WolfSSL, Unity, Libuv i lua-crypt. La majoria dels problemes són menors, a excepció de MITM a WolfSSL (CVE-2021-3336).
Font: opennet.ru