Az ExpressVPN bejelentette a Lightway protokoll nyílt forráskódú implementációját, amelynek célja a minimális csatlakozási idő elérése a magas szintű biztonság és megbízhatóság megőrzése mellett. A kód C nyelven íródott, és a GPLv2 licenc alatt kerül terjesztésre. A megvalósítás nagyon kompakt és kétezer sornyi kódba fér bele. A Linux, Windows, macOS, iOS, Android platformok, útválasztók (Asus, Netgear, Linksys) és böngészők deklarált támogatása. Az összeszereléshez Earthly és Ceedling összeszerelési rendszerek használata szükséges. A megvalósítás egy könyvtárba van csomagolva, amely segítségével integrálhatja a VPN-kliens és -kiszolgáló funkciókat az alkalmazásaiba.
A kód a wolfSSL könyvtár által biztosított előre beépített, bevált kriptográfiai funkciókat használja, amelyek már a FIPS 140-2 tanúsítvánnyal rendelkező megoldásokban is használatosak. Normál módban a protokoll UDP-t használ az adatátvitelhez, a DTLS-t pedig egy titkosított kommunikációs csatorna létrehozásához. A megbízhatatlan vagy korlátozó UDP-hálózatokon való működés biztosítása érdekében a szerver megbízhatóbb, de lassabb adatfolyam-módot biztosít, amely lehetővé teszi az adatok TCP-n és TLSv1.3-on keresztüli átvitelét.
Az ExpressVPN által végzett tesztek azt mutatták, hogy a régebbi protokollokhoz képest (az ExpressVPN támogatja az L2TP/IPSec-et, az OpenVPN-t, az IKEv2-t, a PPTP-t, a WireGuard-ot és az SSTP-t, de nem részletezi, hogy pontosan mit is hasonlítottak össze), a Lightway-re való váltás átlagosan 2.5-szeresére csökkentette a csatlakozási időt. az esetek több mint felében kevesebb mint egy másodperc alatt jön létre kommunikációs csatorna). Az új protokoll lehetővé tette a kapcsolatkimaradások számának 40%-os csökkentését is olyan megbízhatatlan mobilhálózatokban, amelyek kommunikációs minőségi problémákkal küzdenek.
A protokoll referencia implementációjának fejlesztése a GitHubon valósul meg, ahol a közösség képviselői is részt vehetnek a fejlesztésben (a változtatások átadásához CLA megállapodást kell aláírni a kódra vonatkozó tulajdonjog átruházásáról). Más VPN-szolgáltatókat is felkérnek az együttműködésre, mivel korlátozás nélkül használhatják a javasolt protokollt.
A megvalósítás biztonságát a Cure53 által végzett független audit eredménye igazolta, amely egy időben az NTPsec-et, a SecureDrop-ot, a Cryptocatet, az F-Droidot és a Dovecot-ot is auditálta. Az ellenőrzés kiterjedt a forráskódok ellenőrzésére, és a lehetséges sebezhetőségek azonosítására irányuló teszteket is magában foglalt (a titkosítással kapcsolatos kérdéseket nem vették figyelembe). Általánosságban elmondható, hogy a kód minőségét magasra értékelték, ennek ellenére a teszt feltárt három sebezhetőséget, amelyek szolgáltatásmegtagadáshoz vezethetnek, és egy olyan sebezhetőséget, amely lehetővé teszi a protokoll forgalmi erősítőként való használatát a DDoS támadások során. Ezeket a problémákat már kijavították, és figyelembe vették a kód fejlesztésére vonatkozó megjegyzéseket. Az audit megvizsgálja az érintett harmadik féltől származó összetevők, például a libdnet, a WolfSSL, a Unity, a Libuv és a lua-crypt ismert sebezhetőségeit és problémáit is. A problémák többnyire kisebbek, kivéve a WolfSSL-ben található MITM-et (CVE-2021-3336).
Forrás: opennet.ru