ExpressVPN telah mengumumkan implementasi open source dari protokol Lightway, yang dirancang untuk mencapai waktu pengaturan koneksi minimal dengan tetap menjaga tingkat keamanan dan keandalan yang tinggi. Kode ini ditulis dalam bahasa C dan didistribusikan di bawah lisensi GPLv2. Implementasinya sangat kompak dan dapat memuat dua ribu baris kode. Menyatakan dukungan untuk Linux, Windows, macOS, iOS, platform Android, router (Asus, Netgear, Linksys) dan browser. Perakitan memerlukan penggunaan sistem perakitan Earthly dan Ceedling. Implementasinya dikemas sebagai perpustakaan yang dapat Anda gunakan untuk mengintegrasikan fungsionalitas klien dan server VPN ke dalam aplikasi Anda.
Kode ini menggunakan fungsi kriptografi yang sudah dibuat sebelumnya dan terbukti disediakan oleh perpustakaan wolfSSL, yang sudah digunakan dalam solusi bersertifikat FIPS 140-2. Dalam mode normal, protokol menggunakan UDP untuk transmisi data dan DTLS untuk membuat saluran komunikasi terenkripsi. Sebagai opsi untuk memastikan pengoperasian pada jaringan UDP yang tidak dapat diandalkan atau membatasi, server menyediakan mode streaming yang lebih andal namun lebih lambat yang memungkinkan data ditransfer melalui TCP dan TLSv1.3.
Pengujian yang dilakukan oleh ExpressVPN menunjukkan bahwa dibandingkan dengan protokol lama (ExpressVPN mendukung L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard dan SSTP, namun tidak memerinci apa sebenarnya yang dibandingkan), beralih ke Lightway mengurangi waktu pengaturan koneksi rata-rata 2.5 kali (dalam lebih dari separuh kasus saluran komunikasi dibuat dalam waktu kurang dari satu detik). Protokol baru ini juga memungkinkan pengurangan jumlah pemutusan koneksi sebesar 40% di jaringan seluler yang tidak dapat diandalkan dan memiliki masalah kualitas komunikasi.
Pengembangan implementasi referensi protokol akan dilakukan di GitHub, dengan kesempatan bagi perwakilan komunitas untuk berpartisipasi dalam pengembangan (untuk mentransfer perubahan, Anda harus menandatangani perjanjian CLA tentang pengalihan hak milik atas kode). Penyedia VPN lain juga diundang untuk bekerja sama, karena mereka dapat menggunakan protokol yang diusulkan tanpa batasan.
Keamanan implementasi dikonfirmasi oleh hasil audit independen yang dilakukan oleh Cure53, yang sekaligus mengaudit NTPsec, SecureDrop, Cryptocat, F-Droid dan Dovecot. Audit tersebut mencakup verifikasi kode sumber dan mencakup pengujian untuk mengidentifikasi kemungkinan kerentanan (masalah terkait kriptografi tidak dipertimbangkan). Secara umum, kualitas kode dinilai tinggi, namun demikian, pengujian mengungkapkan tiga kerentanan yang dapat menyebabkan penolakan layanan, dan satu kerentanan yang memungkinkan protokol digunakan sebagai penguat lalu lintas selama serangan DDoS. Masalah-masalah ini telah diperbaiki, dan komentar yang dibuat untuk memperbaiki kode telah dipertimbangkan. Audit ini juga melihat kerentanan dan masalah yang diketahui pada komponen pihak ketiga yang terlibat, seperti libdnet, WolfSSL, Unity, Libuv, dan lua-crypt. Sebagian besar masalahnya kecil, kecuali MITM di WolfSSL (CVE-2021-3336).
Sumber: opennet.ru