Η ExpressVPN ανακοίνωσε την εφαρμογή ανοιχτού κώδικα του πρωτοκόλλου Lightway, που έχει σχεδιαστεί για να επιτυγχάνει ελάχιστους χρόνους εγκατάστασης σύνδεσης, διατηρώντας παράλληλα υψηλό επίπεδο ασφάλειας και αξιοπιστίας. Ο κώδικας είναι γραμμένος σε γλώσσα C και διανέμεται με την άδεια GPLv2. Η υλοποίηση είναι πολύ συμπαγής και χωράει σε δύο χιλιάδες γραμμές κώδικα. Δηλωμένη υποστήριξη για πλατφόρμες Linux, Windows, macOS, iOS, Android, δρομολογητές (Asus, Netgear, Linksys) και προγράμματα περιήγησης. Η συναρμολόγηση απαιτεί τη χρήση συστημάτων συναρμολόγησης Earthly και Ceedling. Η υλοποίηση είναι συσκευασμένη ως βιβλιοθήκη που μπορείτε να χρησιμοποιήσετε για να ενσωματώσετε τη λειτουργικότητα VPN πελάτη και διακομιστή στις εφαρμογές σας.
Ο κώδικας χρησιμοποιεί προκατασκευασμένες, αποδεδειγμένες κρυπτογραφικές λειτουργίες που παρέχονται από τη βιβλιοθήκη wolfSSL, που χρησιμοποιούνται ήδη σε πιστοποιημένες λύσεις FIPS 140-2. Σε κανονική λειτουργία, το πρωτόκολλο χρησιμοποιεί UDP για μετάδοση δεδομένων και DTLS για να δημιουργήσει ένα κρυπτογραφημένο κανάλι επικοινωνίας. Ως επιλογή για τη διασφάλιση της λειτουργίας σε αναξιόπιστα ή περιοριστικά δίκτυα UDP, ο διακομιστής παρέχει μια πιο αξιόπιστη, αλλά πιο αργή, λειτουργία ροής που επιτρέπει τη μεταφορά δεδομένων μέσω TCP και TLSv1.3.
Οι δοκιμές που πραγματοποιήθηκαν από το ExpressVPN έδειξαν ότι σε σύγκριση με παλαιότερα πρωτόκολλα (το ExpressVPN υποστηρίζει L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard και SSTP, αλλά δεν αναφέρει τι ακριβώς συγκρίθηκε), η μετάβαση στο Lightway μείωσε τον χρόνο ρύθμισης σύνδεσης κατά μέσο όρο 2.5 φορές (σε περισσότερες από τις μισές περιπτώσεις δημιουργείται κανάλι επικοινωνίας σε λιγότερο από ένα δευτερόλεπτο). Το νέο πρωτόκολλο κατέστησε επίσης δυνατή τη μείωση του αριθμού των αποσυνδέσεων σύνδεσης κατά 40% σε αναξιόπιστα δίκτυα κινητής τηλεφωνίας που έχουν προβλήματα με την ποιότητα της επικοινωνίας.
Η ανάπτυξη της εφαρμογής αναφοράς του πρωτοκόλλου θα πραγματοποιηθεί στο GitHub, με την ευκαιρία για εκπροσώπους της κοινότητας να συμμετάσχουν στην ανάπτυξη (για να μεταφέρετε αλλαγές, πρέπει να υπογράψετε μια συμφωνία CLA για τη μεταφορά των δικαιωμάτων ιδιοκτησίας στον κώδικα). Άλλοι πάροχοι VPN καλούνται επίσης να συνεργαστούν, καθώς μπορούν να χρησιμοποιήσουν το προτεινόμενο πρωτόκολλο χωρίς περιορισμούς.
Η ασφάλεια της υλοποίησης επιβεβαιώθηκε από το αποτέλεσμα ενός ανεξάρτητου ελέγχου που πραγματοποίησε η Cure53, η οποία κάποτε έλεγξε τα NTPsec, SecureDrop, Cryptocat, F-Droid και Dovecot. Ο έλεγχος κάλυψε την επαλήθευση των πηγαίων κωδίκων και περιλάμβανε δοκιμές για τον εντοπισμό πιθανών τρωτών σημείων (δεν εξετάστηκαν ζητήματα που σχετίζονται με την κρυπτογραφία). Σε γενικές γραμμές, η ποιότητα του κώδικα βαθμολογήθηκε ως υψηλή, αλλά, ωστόσο, η δοκιμή αποκάλυψε τρία τρωτά σημεία που θα μπορούσαν να οδηγήσουν σε άρνηση υπηρεσίας και μία ευπάθεια που επιτρέπει στο πρωτόκολλο να χρησιμοποιείται ως ενισχυτής κυκλοφορίας κατά τις επιθέσεις DDoS. Αυτά τα προβλήματα έχουν ήδη επιδιορθωθεί και έχουν ληφθεί υπόψη τα σχόλια για τη βελτίωση του κώδικα. Ο έλεγχος εξετάζει επίσης γνωστά τρωτά σημεία και ζητήματα στα εμπλεκόμενα στοιχεία τρίτων, όπως τα libdnet, WolfSSL, Unity, Libuv και lua-crypt. Τα ζητήματα είναι ως επί το πλείστον δευτερεύοντα, με εξαίρεση το MITM στο WolfSSL (CVE-2021-3336).
Πηγή: opennet.ru