ExpressVPN wis ngumumake implementasine open source saka protokol Lightway, dirancang kanggo entuk wektu persiyapan sambungan minimal nalika njaga tingkat keamanan lan linuwih sing dhuwur. Kode kasebut ditulis ing basa C lan disebarake miturut lisensi GPLv2. Implementasine kompak banget lan cocog karo rong ewu baris kode. Nyatakake dhukungan kanggo Linux, Windows, macOS, iOS, platform Android, router (Asus, Netgear, Linksys) lan browser. Majelis mbutuhake panggunaan sistem perakitan Earthly lan Ceedling. Implementasine dikemas minangka perpustakaan sing bisa digunakake kanggo nggabungake fungsionalitas klien lan server VPN menyang aplikasi sampeyan.
Kode kasebut nggunakake fungsi kriptografi sing wis dibangun, wis kabukten sing diwenehake dening perpustakaan wolfSSL, sing wis digunakake ing solusi sing disertifikasi FIPS 140-2. Ing mode normal, protokol nggunakake UDP kanggo transmisi data lan DTLS kanggo nggawe saluran komunikasi ndhelik. Minangka pilihan kanggo njamin operasi ing jaringan UDP sing ora bisa dipercaya utawa mbatesi, server nyedhiyakake mode streaming sing luwih dipercaya, nanging luwih alon, sing ngidini data ditransfer liwat TCP lan TLSv1.3.
Tes sing ditindakake dening ExpressVPN nuduhake yen dibandhingake karo protokol lawas (ExpressVPN ndhukung L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard lan SSTP, nanging ora njlentrehake apa sing dibandhingake), ngalih menyang Lightway nyuda wektu persiyapan sambungan rata-rata 2.5 kali (ing luwih saka setengah kasus saluran komunikasi digawe kurang saka detik). Protokol anyar uga bisa nyuda jumlah sambungan sambungan nganti 40% ing jaringan seluler sing ora bisa dipercaya sing duwe masalah karo kualitas komunikasi.
Pangembangan implementasi referensi protokol bakal ditindakake ing GitHub, kanthi kesempatan kanggo wakil masyarakat kanggo melu pembangunan (kanggo mindhah owah-owahan, sampeyan kudu mlebu persetujuan CLA babagan transfer hak properti menyang kode). Panyedhiya VPN liyane uga diundang kanggo kerja sama, amarga bisa nggunakake protokol sing diusulake tanpa watesan.
Keamanan implementasi kasebut dikonfirmasi kanthi asil audit independen sing ditindakake dening Cure53, sing ing sawijining wektu wis diaudit NTPsec, SecureDrop, Cryptocat, F-Droid lan Dovecot. Audit kasebut nyakup verifikasi kode sumber lan kalebu tes kanggo ngenali kerentanan sing bisa ditindakake (masalah sing ana gandhengane karo kriptografi ora dianggep). UmumΓ©, kualitas kode kasebut dirating minangka dhuwur, nanging, tes kasebut nuduhake telung kerentanan sing bisa nyebabake penolakan layanan, lan siji kerentanan sing ngidini protokol kasebut digunakake minangka penguat lalu lintas sajrone serangan DDoS. Masalah iki wis didandani, lan komentar sing digawe kanggo nambah kode wis dijupuk menyang akun. Audit kasebut uga ndeleng kerentanan lan masalah sing dikenal ing komponen pihak katelu, kayata libdnet, WolfSSL, Unity, Libuv lan lua-crypt. Masalah kasebut biasane cilik, kajaba MITM ing WolfSSL (CVE-2021-3336).
Source: opennet.ru