ExpressVPN oznámila implementaci protokolu Lightway s otevřeným zdrojovým kódem, která je navržena tak, aby dosáhla nejrychlejšího nastavení připojení při zachování vysoké úrovně zabezpečení a spolehlivosti. Kód je napsán v jazyce C a distribuován pod licencí GPLv2. Implementace je velmi kompaktní a vejde se do dvou tisíc řádků kódu. Deklarovaná podpora pro platformy Linux, Windows, macOS, iOS, Android, routery (Asus, Netgear, Linksys) a prohlížeče. Montáž vyžaduje použití montážních systémů Earthly a Ceedling. Implementace je zabalena jako knihovna, kterou můžete použít k integraci funkcí VPN klienta a serveru do vašich aplikací.
Kód používá předem ověřené kryptografické funkce poskytované knihovnou wolfSSL, která se již používá v certifikovaných řešeních FIPS 140-2. V normálním režimu protokol používá UDP k přenosu dat a DTLS k vytvoření šifrovaného komunikačního kanálu. Jako možnost zpracovávat nespolehlivé sítě nebo sítě omezující UDP poskytuje server spolehlivější, ale pomalejší režim streamování, který umožňuje přenos dat přes TCP a TLSv1.3.
Testy provedené ExpressVPN ukázaly, že ve srovnání se staršími protokoly (ExpressVPN podporuje L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard a SSTP, ale srovnání nebylo podrobné), přechod na Lightway zkrátil dobu nastavování připojení v průměru 2.5krát. (ve více než polovině případů je komunikační kanál vytvořen za méně než sekundu). Nový protokol také umožnil snížit počet odpojení v nespolehlivých mobilních sítích s problémy s kvalitou připojení o 40 %.
Vývoj referenční implementace protokolu bude prováděn na GitHubu s možností podílet se na vývoji zástupců komunity (pro převod změn je potřeba podepsat smlouvu CLA o převodu vlastnických práv ke kódu). Ke spolupráci jsou přizváni i další poskytovatelé VPN, kteří mohou navrhovaný protokol využívat bez omezení.
Bezpečnost implementace potvrzuje výsledek nezávislého auditu provedeného společností Cure53, která svého času auditovala NTPsec, SecureDrop, Cryptocat, F-Droid a Dovecot. Audit zahrnoval ověřování zdrojových kódů a zahrnoval testy k identifikaci možných zranitelností (problémy související s kryptografií nebyly vzaty v úvahu). Obecně byla kvalita kódu hodnocena jako vysoká, ale přesto kontrola odhalila tři zranitelnosti, které mohou vést k odmítnutí služby, a jednu zranitelnost, která umožňuje použití protokolu jako zesilovače provozu během DDoS útoků. Tyto problémy již byly opraveny a připomínky ke zlepšení kódu byly vzaty v úvahu. Audit také upozornil na známé zranitelnosti a problémy v příslušných komponentách třetích stran, jako jsou libdnet, WolfSSL, Unity, Libuv a lua-crypt. Většina problémů je menších rozměrů, s výjimkou MITM ve WolfSSL (CVE-2021-3336).
Zdroj: opennet.ru