ExpressVPN ogłosił implementację open source protokołu Lightway, zaprojektowaną w celu osiągnięcia najszybszego czasu konfiguracji połączenia przy zachowaniu wysokiego poziomu bezpieczeństwa i niezawodności. Kod jest napisany w C i rozpowszechniany na licencji GPLv2. Implementacja jest bardzo kompaktowa i mieści się w dwóch tysiącach linii kodu. Deklarowane wsparcie dla platform Linux, Windows, macOS, iOS, Android, routerów (Asus, Netgear, Linksys) i przeglądarek. Montaż wymaga użycia systemów montażu Earthly i Ceedling. Implementacja jest spakowana jako biblioteka, której można użyć do zintegrowania funkcjonalności klienta i serwera VPN z aplikacjami.
Kod wykorzystuje gotowe, sprawdzone funkcje kryptograficzne dostarczane przez bibliotekę wolfSSL, która jest już używana w rozwiązaniach z certyfikatem FIPS 140-2. W trybie normalnym protokół wykorzystuje UDP do przesyłania danych i DTLS do tworzenia zaszyfrowanego kanału komunikacyjnego. Jako opcję obsługi zawodnych lub ograniczających UDP sieci, serwer zapewnia bardziej niezawodny, ale wolniejszy tryb przesyłania strumieniowego, umożliwiający przesyłanie danych przez TCP i TLSv1.3.
Testy przeprowadzone przez ExpressVPN wykazały, że w porównaniu ze starszymi protokołami (ExpressVPN obsługuje L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard i SSTP, ale porównanie nie było szczegółowe), przejście na Lightway skróciło czas konfiguracji połączenia średnio o 2.5 razy (w ponad połowie przypadków kanał komunikacji powstaje w mniej niż sekundę). Nowy protokół umożliwił również zmniejszenie o 40% liczby rozłączeń w zawodnych sieciach komórkowych z problemami z jakością połączenia.
Rozwój referencyjnej implementacji protokołu będzie prowadzony na GitHub z możliwością uczestniczenia w rozwoju przedstawicieli społeczności (aby przenieść zmiany, należy podpisać umowę CLA o przeniesieniu praw własności do kodu). Do współpracy zapraszani są również inni dostawcy VPN, którzy mogą korzystać z proponowanego protokołu bez ograniczeń.
Bezpieczeństwo wdrożenia potwierdza wynik niezależnego audytu przeprowadzonego przez firmę Cure53, która w swoim czasie audytowała NTPsec, SecureDrop, Cryptocat, F-Droid i Dovecot. Audyt obejmował weryfikację kodów źródłowych oraz testy mające na celu identyfikację ewentualnych podatności (nie uwzględniono kwestii związanych z kryptografią). Ogólnie jakość kodu została oceniona jako wysoka, niemniej jednak przegląd ujawnił trzy luki, które mogą prowadzić do odmowy usługi, oraz jedną lukę, która umożliwia wykorzystanie protokołu jako wzmacniacza ruchu podczas ataków DDoS. Problemy te zostały już naprawione, a uwagi dotyczące poprawy kodu zostały uwzględnione. Audyt zwrócił również uwagę na znane luki w zabezpieczeniach i problemy w zaangażowanych komponentach stron trzecich, takich jak libdnet, WolfSSL, Unity, Libuv i lua-crypt. Większość problemów to drobne problemy, z wyjątkiem MITM w WolfSSL (CVE-2021-3336).
Źródło: opennet.ru