ExpressVPN anoncis la malfermfontan efektivigon de la protokolo Lightway, desegnita por atingi minimumajn tempojn de agordo de konekto konservante altan nivelon de sekureco kaj fidindeco. La kodo estas skribita en C-lingvo kaj distribuita sub la permesilo GPLv2. La efektivigo estas tre kompakta kaj taŭgas en du mil liniojn de kodo. Deklarita subteno por Linukso, Vindozo, macOS, iOS, Android-platformoj, enkursigiloj (Asus, Netgear, Linksys) kaj retumiloj. Asembleo postulas la uzon de Earthly kaj Ceedling kunigsistemoj. La efektivigo estas pakita kiel biblioteko, kiun vi povas uzi por integri VPN-klienton kaj servilan funkciojn en viajn aplikojn.
La kodo uzas antaŭkonstruitajn, pruvitajn kriptajn funkciojn provizitajn de la biblioteko wolfSSL, jam uzataj en atestitaj solvoj de FIPS 140-2. En normala reĝimo, la protokolo uzas UDP por transdono de datumoj kaj DTLS por krei ĉifritan komunikadkanalon. Kiel opcio por certigi funkciadon en nefidindaj aŭ limigaj UDP-retoj, la servilo disponigas pli fidindan, sed pli malrapidan, fluantan reĝimon kiu permesas datumojn esti transdonitaj per TCP kaj TLSv1.3.
Testoj faritaj de ExpressVPN montris, ke kompare kun pli malnovaj protokoloj (ExpressVPN subtenas L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard kaj SSTP, sed ne detaligas kio ĝuste estis komparita), ŝanĝi al Lightway reduktis konektan agordan tempon averaĝe 2.5 fojojn (en pli ol duono de la kazoj komunika kanalo estas kreita en malpli ol sekundo). La nova protokolo ankaŭ ebligis redukti la nombron da konektmalkonektiĝoj je 40% en nefidindaj moveblaj retoj kiuj havas problemojn kun komunika kvalito.
La disvolviĝo de la referenca efektivigo de la protokolo estos efektivigita sur GitHub, kun la ŝanco por komunumaj reprezentantoj partopreni en la disvolviĝo (por translokigi ŝanĝojn, vi devas subskribi CLA-interkonsenton pri transdono de posedrajtoj al la kodo). Aliaj VPN-provizantoj ankaŭ estas invititaj kunlabori, ĉar ili povas uzi la proponitan protokolon sen limigoj.
La sekureco de la efektivigo estis konfirmita de la rezulto de sendependa revizio farita de Cure53, kiu siatempe reviziis NTPsec, SecureDrop, Cryptocat, F-Droid kaj Dovecot. La revizio kovris la konfirmon de fontkodoj kaj inkludis testojn por identigi eblajn vundeblecojn (temoj ligitaj al kriptografio ne estis pripensitaj). Ĝenerale, la kvalito de la kodo estis taksita kiel alta, sed, tamen, la testo malkaŝis tri vundeblecojn, kiuj povus konduki al neo de servo, kaj unu vundeblecon, kiu permesas la protokolon esti uzata kiel trafika amplifilo dum DDoS-atakoj. Tiuj ĉi problemoj jam estis solvitaj, kaj komentoj faritaj pri plibonigo de la kodo estis konsiderataj. La revizio ankaŭ rigardas konatajn vundeblecojn kaj problemojn en la triaj komponantoj implikitaj, kiel libdnet, WolfSSL, Unity, Libuv kaj lua-kripto. La problemoj estas plejparte negravaj, kun la escepto de MITM en WolfSSL (CVE-2021-3336).
fonto: opennet.ru