ExpressVPN har annonsert åpen kildekode-implementering av Lightway-protokollen, designet for å oppnå minimale tilkoblingsoppsetttider samtidig som det opprettholdes et høyt nivå av sikkerhet og pålitelighet. Koden er skrevet på C-språk og distribuert under GPLv2-lisensen. Implementeringen er veldig kompakt og passer inn i to tusen linjer med kode. Erklært støtte for Linux, Windows, macOS, iOS, Android-plattformer, rutere (Asus, Netgear, Linksys) og nettlesere. Montering krever bruk av Earthly og Ceedling monteringssystemer. Implementeringen er pakket som et bibliotek som du kan bruke til å integrere VPN-klient- og serverfunksjonalitet i applikasjonene dine.
Koden bruker forhåndsbygde, utprøvde kryptografiske funksjoner levert av wolfSSL-biblioteket, som allerede brukes i FIPS 140-2-sertifiserte løsninger. I normal modus bruker protokollen UDP for dataoverføring og DTLS for å lage en kryptert kommunikasjonskanal. Som et alternativ for å sikre drift på upålitelige eller restriktive UDP-nettverk, gir serveren en mer pålitelig, men langsommere, strømmemodus som lar data overføres over TCP og TLSv1.3.
Tester utført av ExpressVPN viste at sammenlignet med eldre protokoller (ExpressVPN støtter L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard og SSTP, men beskriver ikke nøyaktig hva som ble sammenlignet), reduserte bytting til Lightway tilkoblingsoppsetttiden i gjennomsnitt 2.5 ganger (i mer enn halvparten av tilfellene opprettes en kommunikasjonskanal på mindre enn et sekund). Den nye protokollen gjorde det også mulig å redusere antall tilkoblingsavbrudd med 40 % i upålitelige mobilnett som har problemer med kommunikasjonskvaliteten.
Utviklingen av referanseimplementeringen av protokollen vil bli utført på GitHub, med mulighet for samfunnsrepresentanter til å delta i utviklingen (for å overføre endringer må du signere en CLA-avtale om overføring av eiendomsrett til koden). Andre VPN-leverandører inviteres også til å samarbeide, da de kan bruke den foreslåtte protokollen uten begrensninger.
Sikkerheten til implementeringen ble bekreftet av resultatet av en uavhengig revisjon utført av Cure53, som på et tidspunkt reviderte NTPsec, SecureDrop, Cryptocat, F-Droid og Dovecot. Tilsynet dekket verifisering av kildekoder og inkluderte tester for å identifisere mulige sårbarheter (spørsmål knyttet til kryptografi ble ikke vurdert). Generelt ble kvaliteten på koden vurdert som høy, men likevel avslørte testen tre sårbarheter som kan føre til tjenestenekt, og en sårbarhet som gjør at protokollen kan brukes som en trafikkforsterker under DDoS-angrep. Disse problemene er allerede løst, og kommentarer til forbedring av koden er tatt i betraktning. Tilsynet ser også på kjente sårbarheter og problemer i tredjepartskomponentene som er involvert, slik som libdnet, WolfSSL, Unity, Libuv og lua-crypt. Problemene er stort sett mindre, med unntak av MITM i WolfSSL (CVE-2021-3336).
Kilde: opennet.ru