ExpressVPN telah mengumumkan pelaksanaan sumber terbuka protokol Lightway, yang direka untuk mencapai masa persediaan sambungan terpantas sambil mengekalkan tahap keselamatan dan kebolehpercayaan yang tinggi. Kod ini ditulis dalam C dan diedarkan di bawah lesen GPLv2. Pelaksanaannya sangat padat dan sesuai dengan dua ribu baris kod. Mengisytiharkan sokongan untuk Linux, Windows, macOS, iOS, platform Android, penghala (Asus, Netgear, Linksys) dan penyemak imbas. Pemasangan memerlukan penggunaan sistem pemasangan Earthly dan Ceedling. Pelaksanaannya dibungkus sebagai perpustakaan yang boleh anda gunakan untuk menyepadukan fungsi klien dan pelayan VPN ke dalam aplikasi anda.
Kod ini menggunakan fungsi kriptografi yang disahkan di luar kotak yang disediakan oleh perpustakaan wolfSSL yang telah digunakan dalam penyelesaian diperakui FIPS 140-2. Dalam mod biasa, protokol menggunakan UDP untuk memindahkan data dan DTLS untuk mencipta saluran komunikasi yang disulitkan. Sebagai pilihan untuk mengendalikan rangkaian yang tidak boleh dipercayai atau menyekat UDP, mod penstriman yang lebih dipercayai tetapi lebih perlahan disediakan oleh pelayan, membolehkan data dipindahkan melalui TCP dan TLSv1.3.
Ujian yang dijalankan oleh ExpressVPN telah menunjukkan bahawa, berbanding dengan protokol lama (ExpressVPN menyokong L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard dan SSTP, tetapi perbandingannya tidak terperinci), menukar kepada Lightway mengurangkan masa persediaan sambungan dengan purata 2.5 kali (dalam lebih daripada separuh kes, saluran komunikasi dibuat dalam masa kurang dari satu saat). Protokol baharu juga memungkinkan untuk mengurangkan bilangan pemotongan dalam rangkaian mudah alih yang tidak boleh dipercayai dengan masalah kualiti sambungan sebanyak 40%.
Pembangunan pelaksanaan rujukan protokol akan dijalankan di GitHub dengan peluang untuk mengambil bahagian dalam pembangunan wakil komuniti (untuk memindahkan perubahan, anda perlu menandatangani perjanjian CLA mengenai pemindahan hak harta kepada kod). Penyedia VPN lain juga dijemput untuk bekerjasama, yang boleh menggunakan protokol yang dicadangkan tanpa sekatan.
Keselamatan pelaksanaan disahkan oleh hasil audit bebas yang dilakukan oleh Cure53, yang pada satu masa mengaudit NTPsec, SecureDrop, Cryptocat, F-Droid dan Dovecot. Audit meliputi pengesahan kod sumber dan termasuk ujian untuk mengenal pasti kemungkinan kelemahan (isu yang berkaitan dengan kriptografi tidak dipertimbangkan). Secara umum, kualiti kod dinilai sebagai tinggi, tetapi, bagaimanapun, semakan itu mendedahkan tiga kelemahan yang boleh membawa kepada penafian perkhidmatan, dan satu kelemahan yang membolehkan protokol digunakan sebagai penguat trafik semasa serangan DDoS. Masalah ini telah pun dibetulkan, dan ulasan yang dibuat untuk menambah baik kod telah diambil kira. Audit itu juga menarik perhatian kepada kelemahan dan isu yang diketahui dalam komponen pihak ketiga yang terlibat, seperti libdnet, WolfSSL, Unity, Libuv dan lua-crypt. Kebanyakan isu adalah kecil, kecuali MITM dalam WolfSSL (CVE-2021-3336).
Sumber: opennet.ru