ExpressVPN har annonceret open source-implementeringen af Lightway-protokollen, designet til at opnå den hurtigste forbindelsesopsætningstid og samtidig opretholde et højt niveau af sikkerhed og pålidelighed. Koden er skrevet i C og distribueret under GPLv2-licensen. Implementeringen er meget kompakt og passer i to tusinde linjer kode. Erklæret understøttelse af Linux, Windows, macOS, iOS, Android-platforme, routere (Asus, Netgear, Linksys) og browsere. Montering kræver brug af Earthly og Ceedling montagesystemer. Implementeringen er pakket som et bibliotek, som du kan bruge til at integrere VPN-klient- og serverfunktionalitet i dine applikationer.
Koden bruger out-of-the-box validerede kryptografiske funktioner leveret af wolfSSL-biblioteket, der allerede bruges i FIPS 140-2 certificerede løsninger. I normal tilstand bruger protokollen UDP til at overføre data og DTLS til at skabe en krypteret kommunikationskanal. Som en mulighed for at håndtere upålidelige eller UDP-begrænsende netværk, leveres en mere pålidelig, men langsommere, streaming-tilstand af serveren, som gør det muligt at overføre data over TCP og TLSv1.3.
Test udført af ExpressVPN har vist, at sammenlignet med ældre protokoller (ExpressVPN understøtter L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard og SSTP, men sammenligningen var ikke detaljeret), reducerede skift til Lightway forbindelsesopsætningstiden med et gennemsnit på 2.5 gange (i mere end halvdelen af tilfældene oprettes en kommunikationskanal på mindre end et sekund). Den nye protokol gjorde det også muligt at reducere antallet af afbrydelser i upålidelige mobilnetværk med forbindelseskvalitetsproblemer med 40 %.
Udviklingen af referenceimplementeringen af protokollen vil blive udført på GitHub med mulighed for at deltage i udviklingen af samfundsrepræsentanter (for at overføre ændringer skal du underskrive en CLA-aftale om overførsel af ejendomsrettigheder til koden). Andre VPN-udbydere inviteres også til at samarbejde, som kan bruge den foreslåede protokol uden begrænsninger.
Sikkerheden af implementeringen bekræftes af resultatet af en uafhængig revision udført af Cure53, som på et tidspunkt auditerede NTPsec, SecureDrop, Cryptocat, F-Droid og Dovecot. Revisionen omfattede verifikation af kildekoder og omfattede test for at identificere mulige sårbarheder (problemer relateret til kryptografi blev ikke taget i betragtning). Generelt blev kvaliteten af koden vurderet som høj, men ikke desto mindre afslørede gennemgangen tre sårbarheder, der kan føre til lammelsesangreb, og en sårbarhed, der gør det muligt at bruge protokollen som en trafikforstærker under DDoS-angreb. Disse problemer er allerede blevet rettet, og kommentarerne til forbedring af koden er blevet taget i betragtning. Revisionen gjorde også opmærksom på kendte sårbarheder og problemer i de involverede tredjepartskomponenter, såsom libdnet, WolfSSL, Unity, Libuv og lua-crypt. De fleste af problemerne er mindre, med undtagelse af MITM i WolfSSL (CVE-2021-3336).
Kilde: opennet.ru