ExpressVPN je najavio implementaciju otvorenog izvornog koda Lightway protokola, dizajniranog za postizanje minimalnog vremena postavljanja veze uz održavanje visoke razine sigurnosti i pouzdanosti. Kod je napisan u C jeziku i distribuiran pod GPLv2 licencom. Implementacija je vrlo kompaktna i stane u dvije tisuće redaka koda. Deklarirana podrška za Linux, Windows, macOS, iOS, Android platforme, routere (Asus, Netgear, Linksys) i preglednike. Montaža zahtijeva korištenje Earthly i Ceedling sustava montaže. Implementacija je pakirana kao biblioteka koju možete koristiti za integraciju funkcionalnosti VPN klijenta i poslužitelja u svoje aplikacije.
Kod koristi unaprijed izgrađene, provjerene kriptografske funkcije koje pruža biblioteka wolfSSL, koja se već koristi u rješenjima s certifikatom FIPS 140-2. U normalnom načinu rada, protokol koristi UDP za prijenos podataka i DTLS za stvaranje šifriranog komunikacijskog kanala. Kao opciju za osiguranje rada na nepouzdanim ili restriktivnim UDP mrežama, poslužitelj nudi pouzdaniji, ali sporiji način strujanja koji omogućuje prijenos podataka preko TCP-a i TLSv1.3.
Testovi koje je proveo ExpressVPN pokazali su da je u usporedbi sa starijim protokolima (ExpressVPN podržava L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard i SSTP, ali ne navodi što je točno uspoređeno), prelazak na Lightway smanjio vrijeme postavljanja veze u prosjeku 2.5 puta (u u više od polovice slučajeva komunikacijski kanal se stvara za manje od sekunde). Novi protokol također je omogućio smanjenje broja prekida veze za 40% u nepouzdanim mobilnim mrežama koje imaju problema s kvalitetom komunikacije.
Razvoj referentne implementacije protokola provodit će se na GitHubu, uz mogućnost sudjelovanja predstavnika zajednice u razvoju (za prijenos promjena potrebno je potpisati CLA ugovor o prijenosu vlasničkih prava na kod). Ostali VPN pružatelji također su pozvani na suradnju, jer mogu koristiti predloženi protokol bez ograničenja.
Sigurnost implementacije potvrđena je rezultatom neovisne revizije koju je proveo Cure53, koji je svojedobno revidirao NTPsec, SecureDrop, Cryptocat, F-Droid i Dovecot. Revizija je obuhvatila provjeru izvornih kodova i uključila testove za identifikaciju mogućih ranjivosti (problemi povezani s kriptografijom nisu razmatrani). Općenito, kvaliteta koda je ocijenjena kao visoka, ali, unatoč tome, test je otkrio tri ranjivosti koje mogu dovesti do odbijanja usluge i jednu ranjivost koja omogućuje korištenje protokola kao pojačivača prometa tijekom DDoS napada. Ovi problemi su već riješeni, a komentari na poboljšanje koda uzeti su u obzir. Revizija također razmatra poznate ranjivosti i probleme u uključenim komponentama trećih strana, kao što su libdnet, WolfSSL, Unity, Libuv i lua-crypt. Problemi su uglavnom manji, s izuzetkom MITM-a u WolfSSL-u (CVE-2021-3336).
Izvor: opennet.ru