ExpressVPN ha anunciado la implementación de código abierto del protocolo Lightway, diseñado para lograr el tiempo de configuración de conexión más rápido manteniendo un alto nivel de seguridad y confiabilidad. El código está escrito en C y distribuido bajo la licencia GPLv2. La implementación es muy compacta y cabe en dos mil líneas de código. Soporte declarado para plataformas Linux, Windows, macOS, iOS, Android, enrutadores (Asus, Netgear, Linksys) y navegadores. El montaje requiere el uso de sistemas de montaje Earthly y Ceedling. La implementación está empaquetada como una biblioteca que puede utilizar para integrar la funcionalidad de cliente y servidor VPN en sus aplicaciones.
El código utiliza funciones criptográficas validadas listas para usar proporcionadas por la biblioteca wolfSSL que ya se utiliza en soluciones certificadas FIPS 140-2. En modo normal, el protocolo utiliza UDP para transferir datos y DTLS para crear un canal de comunicación cifrado. Como opción para manejar redes no confiables o que restringen UDP, el servidor proporciona un modo de transmisión más confiable, pero más lento, que permite que los datos se transfieran a través de TCP y TLSv1.3.
Las pruebas realizadas por ExpressVPN han demostrado que, en comparación con protocolos más antiguos (ExpressVPN admite L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard y SSTP, pero la comparación no fue detallada), cambiar a Lightway redujo el tiempo de configuración de la conexión en un promedio de 2.5 veces (en más de la mitad de los casos se crea un canal de comunicación en menos de un segundo). El nuevo protocolo también permitió reducir en un 40% el número de desconexiones en redes móviles poco fiables y con problemas de calidad de conexión.
El desarrollo de la implementación de referencia del protocolo se llevará a cabo en GitHub con la oportunidad de participar en el desarrollo de representantes de la comunidad (para transferir cambios, es necesario firmar un acuerdo CLA sobre la transferencia de derechos de propiedad del código). También se invita a cooperar a otros proveedores de VPN, que pueden utilizar el protocolo propuesto sin restricciones.
La seguridad de la implementación está confirmada por el resultado de una auditoría independiente realizada por Cure53, que en un momento auditó NTPsec, SecureDrop, Cryptocat, F-Droid y Dovecot. La auditoría abarcó la verificación de códigos fuente e incluyó pruebas para identificar posibles vulnerabilidades (no se consideraron cuestiones relacionadas con la criptografía). En general, la calidad del código se calificó como alta, pero, sin embargo, la revisión reveló tres vulnerabilidades que pueden provocar una denegación de servicio y una vulnerabilidad que permite utilizar el protocolo como amplificador de tráfico durante ataques DDoS. Estos problemas ya han sido solucionados y se han tenido en cuenta los comentarios realizados sobre la mejora del código. La auditoría también llamó la atención sobre vulnerabilidades y problemas conocidos en los componentes de terceros involucrados, como libdnet, WolfSSL, Unity, Libuv y lua-crypt. La mayoría de los problemas son menores, a excepción de MITM en WolfSSL (CVE-2021-3336).
Fuente: opennet.ru