ExpressVPN ha annunciato l'implementazione open source del protocollo Lightway, progettato per ottenere tempi minimi di configurazione della connessione mantenendo un elevato livello di sicurezza e affidabilità. Il codice è scritto in linguaggio C e distribuito sotto licenza GPLv2. L'implementazione è molto compatta e si inserisce in duemila righe di codice. Supporto dichiarato per Linux, Windows, macOS, iOS, piattaforme Android, router (Asus, Netgear, Linksys) e browser. L'assemblaggio richiede l'uso dei sistemi di assemblaggio Earthly e Ceedling. L'implementazione è fornita come libreria che puoi utilizzare per integrare funzionalità client e server VPN nelle tue applicazioni.
Il codice utilizza funzioni crittografiche predefinite e comprovate fornite dalla libreria wolfSSL, già utilizzata nelle soluzioni certificate FIPS 140-2. In modalità normale, il protocollo utilizza UDP per la trasmissione dei dati e DTLS per creare un canale di comunicazione crittografato. Come opzione per garantire il funzionamento su reti UDP inaffidabili o restrittive, il server fornisce una modalità di streaming più affidabile, ma più lenta, che consente il trasferimento dei dati su TCP e TLSv1.3.
I test condotti da ExpressVPN hanno dimostrato che, rispetto ai protocolli precedenti (ExpressVPN supporta L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard e SSTP, ma non specifica esattamente cosa è stato confrontato), il passaggio a Lightway ha ridotto il tempo di configurazione della connessione in media di 2.5 volte (in più della metà dei casi un canale di comunicazione viene creato in meno di un secondo). Il nuovo protocollo ha inoltre permesso di ridurre del 40% il numero di disconnessioni di connessione nelle reti mobili inaffidabili che hanno problemi con la qualità della comunicazione.
Lo sviluppo dell'implementazione di riferimento del protocollo verrà effettuato su GitHub, con la possibilità per i rappresentanti della community di partecipare allo sviluppo (per trasferire le modifiche è necessario firmare un accordo CLA sul trasferimento dei diritti di proprietà sul codice). Anche altri provider VPN sono invitati a collaborare, poiché possono utilizzare il protocollo proposto senza restrizioni.
La sicurezza dell'implementazione è stata confermata dal risultato di un audit indipendente effettuato da Cure53, che un tempo ha controllato NTPsec, SecureDrop, Cryptocat, F-Droid e Dovecot. L'audit ha riguardato la verifica dei codici sorgente e ha incluso test per identificare possibili vulnerabilità (non sono state prese in considerazione le questioni relative alla crittografia). In generale, la qualità del codice è stata valutata elevata, tuttavia il test ha rivelato tre vulnerabilità che potrebbero portare al rifiuto di servizio e una vulnerabilità che consente di utilizzare il protocollo come amplificatore del traffico durante gli attacchi DDoS. Questi problemi sono già stati risolti e i commenti fatti sul miglioramento del codice sono stati presi in considerazione. L'audit esamina anche le vulnerabilità e i problemi noti nei componenti di terze parti coinvolti, come libdnet, WolfSSL, Unity, Libuv e lua-crypt. I problemi sono per lo più minori, ad eccezione del MITM in WolfSSL (CVE-2021-3336).
Fonte: opennet.ru