ExpressVPN a annoncé la mise en œuvre open source du protocole Lightway, conçu pour réduire les temps de configuration de la connexion tout en maintenant un haut niveau de sécurité et de fiabilité. Le code est écrit en langage C et distribué sous licence GPLv2. L'implémentation est très compacte et s'inscrit dans deux mille lignes de code. Prise en charge déclarée des plateformes Linux, Windows, macOS, iOS, Android, routeurs (Asus, Netgear, Linksys) et navigateurs. L'assemblage nécessite l'utilisation des systèmes d'assemblage Earthly et Ceedling. L'implémentation est présentée sous la forme d'une bibliothèque que vous pouvez utiliser pour intégrer les fonctionnalités client et serveur VPN dans vos applications.
Le code utilise des fonctions cryptographiques prédéfinies et éprouvées fournies par la bibliothèque wolfSSL, déjà utilisée dans les solutions certifiées FIPS 140-2. En mode normal, le protocole utilise UDP pour la transmission des données et DTLS pour créer un canal de communication crypté. En option pour garantir le fonctionnement sur des réseaux UDP peu fiables ou restrictifs, le serveur propose un mode de streaming plus fiable, mais plus lent, qui permet de transférer des données via TCP et TLSv1.3.
Les tests effectués par ExpressVPN ont montré que par rapport aux anciens protocoles (ExpressVPN prend en charge L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard et SSTP, mais ne détaille pas exactement ce qui a été comparé), le passage à Lightway réduisait le temps d'établissement de la connexion en moyenne de 2.5 fois (en moyenne). dans plus de la moitié des cas, un canal de communication est créé en moins d'une seconde). Le nouveau protocole a également permis de réduire de 40 % le nombre de déconnexions de connexion dans les réseaux mobiles peu fiables et rencontrant des problèmes de qualité de communication.
Le développement de l'implémentation de référence du protocole sera réalisé sur GitHub, avec la possibilité pour les représentants de la communauté de participer au développement (pour transférer les modifications, vous devez signer un accord CLA sur le transfert des droits de propriété sur le code). D'autres fournisseurs VPN sont également invités à coopérer, car ils peuvent utiliser le protocole proposé sans restrictions.
La sécurité de la mise en œuvre a été confirmée par le résultat d'un audit indépendant réalisé par Cure53, qui a déjà audité NTPsec, SecureDrop, Cryptocat, F-Droid et Dovecot. L'audit couvrait la vérification des codes sources et comprenait des tests pour identifier d'éventuelles vulnérabilités (les problèmes liés à la cryptographie n'ont pas été pris en compte). En général, la qualité du code a été jugée élevée, mais le test a néanmoins révélé trois vulnérabilités pouvant conduire à un déni de service et une vulnérabilité permettant d'utiliser le protocole comme amplificateur de trafic lors d'attaques DDoS. Ces problèmes ont déjà été résolus et les commentaires formulés sur l'amélioration du code ont été pris en compte. L'audit examine également les vulnérabilités et les problèmes connus dans les composants tiers impliqués, tels que libdnet, WolfSSL, Unity, Libuv et lua-crypt. Les problèmes sont pour la plupart mineurs, à l’exception de MITM dans WolfSSL (CVE-2021-3336).
Source: opennet.ru