ExpressVPN on ilmoittanut Lightway-protokollan avoimen lähdekoodin käyttöönotosta, joka on suunniteltu saavuttamaan minimaaliset yhteydenmuodostusajat säilyttäen samalla korkean turvallisuus- ja luotettavuustason. Koodi on kirjoitettu C-kielellä ja jaettu GPLv2-lisenssillä. Toteutus on erittäin kompakti ja mahtuu kahteentuhanteen koodiriviin. Ilmoitettu tuki Linuxille, Windowsille, macOS:lle, iOS:lle, Android-alustoille, reitittimille (Asus, Netgear, Linksys) ja selaimille. Asennus edellyttää Earthly- ja Ceedling-kokoonpanojärjestelmien käyttöä. Toteutus on pakattu kirjastoksi, jonka avulla voit integroida VPN-asiakas- ja palvelintoiminnot sovelluksiisi.
Koodi käyttää valmiiksi rakennettuja, todistettuja salaustoimintoja, jotka tarjoavat wolfSSL-kirjasto, jota käytetään jo FIPS 140-2 -sertifioiduissa ratkaisuissa. Normaalitilassa protokolla käyttää UDP:tä tiedonsiirtoon ja DTLS:ää salatun viestintäkanavan luomiseen. Vaihtoehtona toiminnan varmistamiseksi epäluotettavissa tai rajoittavissa UDP-verkoissa palvelin tarjoaa luotettavamman, mutta hitaamman suoratoistotilan, joka mahdollistaa tietojen siirron TCP:n ja TLSv1.3:n kautta.
ExpressVPN:n tekemät testit osoittivat, että verrattuna vanhoihin protokolliin (ExpressVPN tukee L2TP/IPSec:tä, OpenVPN:tä, IKEv2:ta, PPTP:tä, WireGuardia ja SSTP:tä, mutta ei tarkenna, mitä tarkalleen verrattiin) Lightwayn vaihtaminen lyhensi yhteyden muodostusaikaa keskimäärin 2.5 kertaa (in yli puolet tapauksista viestintäkanava luodaan alle sekunnissa). Uusi protokolla mahdollisti myös yhteyden katkeamisten vähentämisen 40 % epäluotettavissa matkaviestinverkoissa, joissa on ongelmia tiedonsiirron laadussa.
Protokollan referenssitoteutuksen kehitys toteutetaan GitHubissa, jolloin yhteisön edustajilla on mahdollisuus osallistua kehittämiseen (muutosten siirtämiseksi sinun tulee allekirjoittaa CLA-sopimus koodin omistusoikeuksien siirrosta). Myös muita VPN-palveluntarjoajia pyydetään yhteistyöhön, koska he voivat käyttää ehdotettua protokollaa ilman rajoituksia.
Toteutuksen turvallisuus vahvistettiin Cure53:n suorittaman riippumattoman auditoinnin tuloksena, joka auditoi aikoinaan NTPsec, SecureDrop, Cryptocat, F-Droid ja Dovecot. Auditointi kattoi lähdekoodien todentamisen ja sisälsi testejä mahdollisten haavoittuvuuksien tunnistamiseksi (salaukseen liittyviä asioita ei otettu huomioon). Yleisesti ottaen koodin laatu arvioitiin korkeaksi, mutta silti testi paljasti kolme haavoittuvuutta, jotka voivat johtaa palvelunestoon, ja yhden haavoittuvuuden, joka mahdollistaa protokollan käytön liikenteen vahvistimena DDoS-hyökkäysten aikana. Nämä ongelmat on jo korjattu, ja koodin parantamisesta tehdyt kommentit on otettu huomioon. Tarkastuksessa tarkastellaan myös tunnettuja haavoittuvuuksia ja ongelmia asiaan liittyvissä kolmannen osapuolen komponenteissa, kuten libdnet, WolfSSL, Unity, Libuv ja lua-crypt. Ongelmat ovat enimmäkseen pieniä, lukuun ottamatta MITM:ää WolfSSL:ssä (CVE-2021-3336).
Lähde: opennet.ru