Компания ExpressVPN объявила об открытии исходных текстов реализации протокола Lightway, разработанного для достижения минимального времени установки соединения при сохранении высокого уровня безопасности и надёжности. Код написан на языке Си и распространяется под лицензией GPLv2. Реализация очень компактная и уместилась в две тысячи строк кода. Заявлена поддержка платформ Linux, Windows, macOS, iOS, Android, маршрутизаторов (Asus, Netgear, Linksys) и браузеров. Для сборки требуется применение сборочных систем Earthly и Ceedling. Реализация оформлена в виде библиотеки, которую можно использовать для интеграции функций клиента и сервера VPN en viajn aplikaĵojn.
La kodo utiligas pretajn, pruvitajn ĉifrajn funkciojn provizitajn de la biblioteko wolfSSL, kiu jam estas uzata en solvoj, kiuj ricevis FIPS 140-2-atestilon. En normala reĝimo, la protokolo uzas UDP por datumtransigo kaj DTLS por krei ĉifritan komunikadan kanalon. Laŭvole, por certigi funkciadon en nefidindaj aŭ UDP-limigitaj retoj, servilo Pli fidinda, sed pli malrapida, flua reĝimo estas provizita, permesante transdoni datumojn per TCP kaj TLSv1.3.
Проведённые компанией ExpressVPN тесты показали, что по сравнению с о старыми протоколами протоколами (ExpressVPN поддерживает L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard и SSTP, но не детализируется с чем именно было произведено сравнение), переход на Lightway позволил сократить время установки соединения в среднем в 2.5 раза (в более, чем половине случаев канал связи создаётся менее чем за секунду). Новый протокол также дал возможность на 40% снизить число разрывов соединений в ненадёжных мобильных сетях, имеющих проблемы с качеством связи.
La disvolviĝo de la referenca efektivigo de la protokolo estos efektivigita sur GitHub, kun la ŝanco por komunumaj reprezentantoj partopreni en la disvolviĝo (por translokigi ŝanĝojn, vi devas subskribi CLA-interkonsenton pri transdono de posedrajtoj al la kodo). Aliaj VPN-provizantoj ankaŭ estas invititaj kunlabori, ĉar ili povas uzi la proponitan protokolon sen limigoj.
La sekureco de la efektivigo estis konfirmita de la rezulto de sendependa revizio farita de Cure53, kiu siatempe reviziis NTPsec, SecureDrop, Cryptocat, F-Droid kaj Dovecot. La revizio kovris la konfirmon de fontkodoj kaj inkludis testojn por identigi eblajn vundeblecojn (temoj ligitaj al kriptografio ne estis pripensitaj). Ĝenerale, la kvalito de la kodo estis taksita kiel alta, sed, tamen, la testo malkaŝis tri vundeblecojn, kiuj povus konduki al neo de servo, kaj unu vundeblecon, kiu permesas la protokolon esti uzata kiel trafika amplifilo dum DDoS-atakoj. Tiuj ĉi problemoj jam estis solvitaj, kaj komentoj faritaj pri plibonigo de la kodo estis konsiderataj. La revizio ankaŭ rigardas konatajn vundeblecojn kaj problemojn en la triaj komponantoj implikitaj, kiel libdnet, WolfSSL, Unity, Libuv kaj lua-kripto. La problemoj estas plejparte negravaj, kun la escepto de MITM en WolfSSL (CVE-2021-3336).
fonto: opennet.ru
