ExpressVPN anunciou a implementación de código aberto do protocolo Lightway, deseñado para lograr o tempo de configuración de conexión máis rápido mantendo un alto nivel de seguridade e fiabilidade. O código está escrito en C e distribúese baixo a licenza GPLv2. A implementación é moi compacta e cabe en dúas mil liñas de código. Soporte declarado para plataformas Linux, Windows, macOS, iOS, Android, enrutadores (Asus, Netgear, Linksys) e navegadores. A montaxe require o uso de sistemas de montaxe Earthly e Ceedling. A implementación está empaquetada como unha biblioteca que pode usar para integrar a funcionalidade de cliente e servidor VPN nas súas aplicacións.
O código usa funcións criptográficas validadas listas para usar proporcionadas pola biblioteca wolfSSL xa utilizada nas solucións certificadas FIPS 140-2. No modo normal, o protocolo usa UDP para transferir datos e DTLS para crear unha canle de comunicación cifrada. Como opción para xestionar redes pouco fiables ou que restrinxen UDP, o servidor ofrece un modo de transmisión máis fiable, pero máis lento, que permite transferir datos a través de TCP e TLSv1.3.
As probas realizadas por ExpressVPN demostraron que, en comparación cos protocolos máis antigos (ExpressVPN admite L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard e SSTP, pero a comparación non foi detallada), o cambio a Lightway reduciu o tempo de configuración da conexión nunha media de 2.5 veces (en máis da metade dos casos, créase unha canle de comunicación en menos dun segundo). O novo protocolo tamén permitiu reducir nun 40 % o número de desconexións en redes móbiles pouco fiables con problemas de calidade de conexión.
O desenvolvemento da implementación de referencia do protocolo levarase a cabo en GitHub coa oportunidade de participar no desenvolvemento dos representantes da comunidade (para transferir cambios, é necesario asinar un acordo CLA sobre a transferencia de dereitos de propiedade sobre o código). Outros provedores de VPN tamén están invitados a cooperar, que poden usar o protocolo proposto sen restricións.
A seguridade da implementación vén confirmada polo resultado dunha auditoría independente realizada por Cure53, que no seu momento auditou NTPsec, SecureDrop, Cryptocat, F-Droid e Dovecot. A auditoría abarcou a verificación dos códigos fonte e incluíu probas para identificar posibles vulnerabilidades (non se consideraron os problemas relacionados coa criptografía). En xeral, a calidade do código foi calificada como alta, pero, con todo, a revisión revelou tres vulnerabilidades que poden levar a unha denegación de servizo e unha vulnerabilidade que permite que o protocolo se utilice como amplificador de tráfico durante ataques DDoS. Estes problemas xa foron solucionados e tivéronse en conta os comentarios realizados sobre a mellora do código. A auditoría tamén chamou a atención sobre vulnerabilidades e problemas coñecidos nos compoñentes de terceiros implicados, como libdnet, WolfSSL, Unity, Libuv e lua-crypt. A maioría dos problemas son menores, a excepción de MITM en WolfSSL (CVE-2021-3336).
Fonte: opennet.ru