ExpressVPN-ը հայտարարել է Lightway արձանագրության բաց կոդով ներդրման մասին, որը նախատեսված է ամենաարագ կապի տեղադրման ժամանակին հասնելու համար՝ պահպանելով անվտանգության և հուսալիության բարձր մակարդակ: Կոդը գրված է C լեզվով և տարածվում է GPLv2 լիցենզիայի ներքո: Իրականացումը շատ կոմպակտ է և տեղավորվում է երկու հազար տող կոդի մեջ: Հայտարարված աջակցություն Linux, Windows, macOS, iOS, Android հարթակների, երթուղիչների (Asus, Netgear, Linksys) և բրաուզերների համար: Մոնտաժումը պահանջում է Earthly և Ceedling հավաքման համակարգերի օգտագործում: Իրականացումը փաթեթավորված է որպես գրադարան, որը կարող եք օգտագործել VPN հաճախորդի և սերվերի գործառույթները ձեր հավելվածներում ինտեգրելու համար:
Կոդն օգտագործում է առանց տուփի վավերացված գաղտնագրման գործառույթներ, որոնք տրամադրվում են wolfSSL գրադարանի կողմից, որն արդեն օգտագործվում է FIPS 140-2 հավաստագրված լուծումներում: Նորմալ ռեժիմում արձանագրությունն օգտագործում է UDP՝ տվյալների փոխանցման համար, իսկ DTLS՝ գաղտնագրված կապի ալիք ստեղծելու համար: Որպես անվստահելի կամ UDP-ով սահմանափակող ցանցերի հետ աշխատելու տարբերակ, սերվերի կողմից տրամադրվում է ավելի հուսալի, բայց ավելի դանդաղ հոսքային ռեժիմ, որը թույլ է տալիս տվյալները փոխանցել TCP-ի և TLSv1.3-ի միջոցով:
ExpressVPN-ի կողմից իրականացված թեստերը ցույց են տվել, որ համեմատած ավելի հին արձանագրությունների հետ (ExpressVPN-ն աջակցում է L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard և SSTP, բայց համեմատությունը մանրամասն չէր), Lightway-ին անցնելը նվազեցրեց կապի տեղադրման ժամանակը միջինը 2.5-ով։ անգամ (դեպքերի կեսից ավելիի դեպքում կապի ալիքը ստեղծվում է վայրկյանից պակաս ժամանակում): Նոր արձանագրությունը նաև հնարավորություն է տվել 40%-ով կրճատել կապի որակի հետ կապված անվստահելի բջջային ցանցերում անջատումների թիվը։
Արձանագրության հղման իրականացման մշակումը կիրականացվի GitHub-ում՝ համայնքի ներկայացուցիչների մշակմանը մասնակցելու հնարավորությամբ (փոփոխությունները փոխանցելու համար անհրաժեշտ է ստորագրել CLA պայմանագիր՝ սեփականության իրավունքը ծածկագրին փոխանցելու վերաբերյալ): Համագործակցության հրավիրվում են նաև VPN այլ մատակարարներ, որոնք կարող են առանց սահմանափակումների օգտագործել առաջարկվող արձանագրությունը։
Իրականացման անվտանգությունը հաստատվում է Cure53-ի կողմից իրականացված անկախ աուդիտի արդյունքով, որը ժամանակին ստուգել է NTPsec, SecureDrop, Cryptocat, F-Droid և Dovecot ընկերությունները: Աուդիտը ընդգրկեց սկզբնական ծածկագրերի ստուգումը և ներառեց թեստեր՝ հնարավոր խոցելիությունները բացահայտելու համար (գաղտնագրության հետ կապված խնդիրները չեն դիտարկվել): Ընդհանուր առմամբ, կոդի որակը գնահատվել է որպես բարձր, բայց, այնուամենայնիվ, վերանայումը բացահայտեց երեք խոցելիություն, որոնք կարող են հանգեցնել ծառայության մերժման, և մեկ խոցելիություն, որը թույլ է տալիս արձանագրությունը օգտագործել որպես երթևեկության ուժեղացուցիչ DDoS հարձակումների ժամանակ: Այս խնդիրներն արդեն շտկվել են, և հաշվի են առնվել օրենսգրքի բարելավման վերաբերյալ արված մեկնաբանությունները։ Աուդիտը նաև ուշադրություն հրավիրեց հայտնի խոցելիությունների և խնդիրների վրա երրորդ կողմի ներգրավված բաղադրիչներում, ինչպիսիք են libdnet, WolfSSL, Unity, Libuv և lua-crypt: Խնդիրների մեծ մասը չնչին են, բացառությամբ MITM-ի WolfSSL-ում (CVE-2021-3336):
Source: opennet.ru