ExpressVPN heeft de open source-implementatie aangekondigd van het Lightway-protocol, ontworpen om minimale verbindingstijden te realiseren en tegelijkertijd een hoog niveau van beveiliging en betrouwbaarheid te behouden. De code is geschreven in C-taal en wordt gedistribueerd onder de GPLv2-licentie. De implementatie is zeer compact en past in tweeduizend regels code. Aangegeven ondersteuning voor Linux, Windows, macOS, iOS, Android-platforms, routers (Asus, Netgear, Linksys) en browsers. Voor de montage is het gebruik van Earthly- en Ceedling-montagesystemen vereist. De implementatie is verpakt als een bibliotheek die u kunt gebruiken om VPN-client- en serverfunctionaliteit in uw applicaties te integreren.
De code maakt gebruik van vooraf gebouwde, beproefde cryptografische functies van de wolfSSL-bibliotheek, die al wordt gebruikt in FIPS 140-2-gecertificeerde oplossingen. In de normale modus gebruikt het protocol UDP voor datatransmissie en DTLS om een gecodeerd communicatiekanaal te creëren. Als optie om de werking op onbetrouwbare of beperkende UDP-netwerken te garanderen, biedt de server een betrouwbaardere, maar langzamere streamingmodus waarmee gegevens via TCP en TLSv1.3 kunnen worden overgedragen.
Uit tests uitgevoerd door ExpressVPN bleek dat vergeleken met oudere protocollen (ExpressVPN ondersteunt L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard en SSTP, maar geeft niet aan wat precies werd vergeleken), het overschakelen naar Lightway de verbindingstijd gemiddeld 2.5 keer verkortte (in vergelijking met oudere protocollen). in meer dan de helft van de gevallen wordt in minder dan een seconde een communicatiekanaal gecreëerd). Het nieuwe protocol maakte het ook mogelijk om het aantal verbroken verbindingen met 40% te verminderen in onbetrouwbare mobiele netwerken die problemen hebben met de communicatiekwaliteit.
De ontwikkeling van de referentie-implementatie van het protocol zal worden uitgevoerd op GitHub, met de mogelijkheid voor vertegenwoordigers van de gemeenschap om deel te nemen aan de ontwikkeling (om wijzigingen over te dragen, moet u een CLA-overeenkomst ondertekenen over de overdracht van eigendomsrechten op de code). Ook andere VPN-aanbieders worden uitgenodigd om mee te werken, aangezien zij het voorgestelde protocol zonder beperkingen kunnen gebruiken.
De veiligheid van de implementatie werd bevestigd door het resultaat van een onafhankelijke audit uitgevoerd door Cure53, die ooit NTPsec, SecureDrop, Cryptocat, F-Droid en Dovecot controleerde. De audit omvatte de verificatie van broncodes en omvatte tests om mogelijke kwetsbaarheden te identificeren (problemen met betrekking tot cryptografie werden niet in aanmerking genomen). Over het algemeen werd de kwaliteit van de code als hoog beoordeeld, maar desalniettemin bracht de test drie kwetsbaarheden aan het licht die tot Denial of Service kunnen leiden, en één kwetsbaarheid waardoor het protocol kan worden gebruikt als verkeersversterker tijdens DDoS-aanvallen. Deze problemen zijn al opgelost en er is rekening gehouden met de opmerkingen die zijn gemaakt over het verbeteren van de code. Bij de audit wordt ook gekeken naar bekende kwetsbaarheden en problemen in de betrokken componenten van derden, zoals libdnet, WolfSSL, Unity, Libuv en lua-crypt. De problemen zijn meestal klein, met uitzondering van MITM in WolfSSL (CVE-2021-3336).
Bron: opennet.ru