ExpressVPN hat die Open-Source-Implementierung des Lightway-Protokolls angekündigt, das darauf ausgelegt ist, die schnellste Verbindungsaufbauzeit zu erreichen und gleichzeitig ein hohes Maß an Sicherheit und Zuverlässigkeit zu gewährleisten. Der Code ist in C geschrieben und wird unter der GPLv2-Lizenz vertrieben. Die Implementierung ist sehr kompakt und passt in zweitausend Codezeilen. Erklärte Unterstützung für Linux-, Windows-, macOS-, iOS-, Android-Plattformen, Router (Asus, Netgear, Linksys) und Browser. Die Montage erfordert die Verwendung von Earthly- und Ceedling-Montagesystemen. Die Implementierung ist als Bibliothek verpackt, mit der Sie VPN-Client- und Serverfunktionen in Ihre Anwendungen integrieren können.
Der Code verwendet sofort einsatzbereite, validierte kryptografische Funktionen, die von der wolfSSL-Bibliothek bereitgestellt werden, die bereits in FIPS 140-2-zertifizierten Lösungen verwendet wird. Im Normalmodus verwendet das Protokoll UDP zur Datenübertragung und DTLS zur Erstellung eines verschlüsselten Kommunikationskanals. Als Option für den Umgang mit unzuverlässigen oder UDP-einschränkenden Netzwerken stellt der Server einen zuverlässigeren, aber langsameren Streaming-Modus bereit, der die Übertragung von Daten über TCP und TLSv1.3 ermöglicht.
Von ExpressVPN durchgeführte Tests haben gezeigt, dass der Wechsel zu Lightway im Vergleich zu älteren Protokollen (ExpressVPN unterstützt L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard und SSTP, der Vergleich wurde jedoch nicht detailliert beschrieben) die Verbindungsaufbauzeit um durchschnittlich 2.5 verkürzte (in mehr als der Hälfte der Fälle wird ein Kommunikationskanal in weniger als einer Sekunde erstellt). Das neue Protokoll ermöglichte es außerdem, die Zahl der Verbindungsabbrüche in unzuverlässigen Mobilfunknetzen mit Problemen mit der Verbindungsqualität um 40 % zu reduzieren.
Die Entwicklung der Referenzimplementierung des Protokolls erfolgt auf GitHub mit der Möglichkeit, sich an der Entwicklung durch Community-Vertreter zu beteiligen (um Änderungen zu übertragen, müssen Sie eine CLA-Vereinbarung über die Übertragung von Eigentumsrechten am Code unterzeichnen). Zur Zusammenarbeit werden auch andere VPN-Anbieter eingeladen, die das vorgeschlagene Protokoll uneingeschränkt nutzen können.
Die Sicherheit der Implementierung wird durch das Ergebnis eines unabhängigen Audits von Cure53 bestätigt, das einst NTPsec, SecureDrop, Cryptocat, F-Droid und Dovecot überprüfte. Die Prüfung umfasste die Überprüfung der Quellcodes und umfasste Tests zur Identifizierung möglicher Schwachstellen (Probleme im Zusammenhang mit der Kryptografie wurden nicht berücksichtigt). Im Allgemeinen wurde die Qualität des Codes als hoch bewertet, dennoch ergab die Überprüfung drei Schwachstellen, die zu einem Denial-of-Service führen können, und eine Schwachstelle, die es ermöglicht, das Protokoll als Verkehrsverstärker bei DDoS-Angriffen zu nutzen. Diese Probleme wurden bereits behoben und die Kommentare zur Verbesserung des Codes wurden berücksichtigt. Die Prüfung machte auch auf bekannte Schwachstellen und Probleme in den beteiligten Drittkomponenten wie libdnet, WolfSSL, Unity, Libuv und lua-crypt aufmerksam. Die meisten Probleme sind geringfügig, mit Ausnahme von MITM in WolfSSL (CVE-2021-3336).
Source: opennet.ru