Das Unternehmen ExpressVPN hat Entwicklungen im Zusammenhang mit dem VPN-Protokoll Lightway vorgestellt.

ExpressVPN hat die Quelltexte der Implementierung des Lightway-Protokolls veröffentlicht. Dieses wurde entwickelt, um die Verbindungsaufbauzeit auf ein Minimum zu reduzieren, während ein hohes Maß an Sicherheit und Zuverlässigkeit erhalten bleibt. Der Code ist in C geschrieben und steht unter der GPLv2-Lizenz. Die Implementierung ist sehr kompakt und umfasst lediglich zweitausend Zeilen Code. Plattformen wie Linux, Windows, macOS, iOS, Android, sowie Router (Asus, Netgear, Linksys) und Browser werden unterstützt. Für den Build-Prozess sind die Build-Systeme Earthly und Ceedling erforderlich. Die Implementierung liegt in Form einer Bibliothek vor, die zur Integration von Client- und Server-Funktionen verwendet werden kann. VPN in ihre Anwendungen.

Im Code werden bewährte kryptografische Funktionen genutzt, die von der Bibliothek wolfSSL bereitgestellt werden, die bereits in Lösungen verwendet wird, die das FIPS 140-2-Zertifikat erhalten haben. Im Standardbetrieb verwendet das Protokoll UDP für die Datenübertragung und DTLS zur Einrichtung eines verschlüsselten Kommunikationskanals. Als Option für den Betrieb in unzuverlässigen oder begrenzten UDP-Netzwerken, dem Server durch Es wird ein zuverlässigerer, aber weniger schneller Streaming-Modus angeboten, der die Datenübertragung über TCP und TLSv1.3 ermöglicht.

Tests, die von ExpressVPN durchgeführt wurden, haben gezeigt, dass der Übergang zu Lightway die Verbindungsaufbauzeit im Durchschnitt um das 2,5-Fache verkürzt hat, verglichen mit den alten Protokollen (ExpressVPN unterstützt L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard und SSTP, gibt jedoch keine Details zu den genauen Vergleichen an); in mehr als der Hälfte der Fälle wird die Verbindung in weniger als einer Sekunde hergestellt. Das neue Protokoll hat auch die Anzahl der Verbindungsabbrüche in unzuverlässigen mobilen Netzwerken mit Kommunikationsproblemen um 40 % reduziert.

Die Entwicklung der Referenzimplementierung des Protokolls wird auf GitHub stattfinden, wobei die Möglichkeit zur Teilnahme am Entwicklungsprozess für Mitglieder der Community besteht (zur Übertragung von Änderungen ist die Unterzeichnung eines CLA-Vereinbarungsformulars zur Übertragung von Eigentumsrechten am Code erforderlich). Auch andere VPN-Anbieter sind zur Zusammenarbeit eingeladen und können das vorgeschlagene Protokoll ohne Einschränkungen nutzen.

Die Sicherheit der Implementierung wurde durch das Ergebnis eines unabhängigen Audits bestätigt, das von der Firma Cure53 durchgeführt wurde, die zuvor Audits für NTPsec, SecureDrop, Cryptocat, F-Droid und Dovecot durchgeführt hat. Das Audit umfasste die Überprüfung des Quellcodes und beinhaltete Tests zur Identifizierung möglicher Schwachstellen (Fragen zur Kryptografie wurden nicht behandelt). Insgesamt wurde die Codequalität als hoch bewertet, jedoch wurden drei Schwachstellen identifiziert, die zu einem Dienstausfall führen können, sowie eine Schwachstelle, die es ermöglicht, das Protokoll als Verstärker für DDoS-Angriffe zu nutzen. Diese Probleme wurden bereits behoben, und die Anmerkungen zur Verbesserung des Codes wurden berücksichtigt. Im Audit wurde auch auf bekannte Schwachstellen und Probleme in den verwendeten Drittanbieter-Komponenten wie libdnet, WolfSSL, Unity, Libuv und lua-crypt geachtet. Die meisten Probleme sind unbedeutend, mit Ausnahme der MITM-Schwachstelle in WolfSSL (CVE-2021-3336).

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster