ExpressVPN anunciou a implementação de código aberto do protocolo Lightway, projetado para atingir tempos mínimos de configuração de conexão, mantendo um alto nível de segurança e confiabilidade. O código é escrito em linguagem C e distribuído sob a licença GPLv2. A implementação é muito compacta e cabe em duas mil linhas de código. Suporte declarado para plataformas Linux, Windows, macOS, iOS, Android, roteadores (Asus, Netgear, Linksys) e navegadores. A montagem requer o uso de sistemas de montagem terrestres e Ceedling. A implementação é empacotada como uma biblioteca que você pode usar para integrar a funcionalidade de cliente e servidor VPN em seus aplicativos.
O código usa funções criptográficas comprovadas e pré-construídas fornecidas pela biblioteca wolfSSL, já usada em soluções certificadas FIPS 140-2. No modo normal, o protocolo utiliza UDP para transmissão de dados e DTLS para criar um canal de comunicação criptografado. Como opção para garantir a operação em redes UDP não confiáveis ou restritivas, o servidor fornece um modo de streaming mais confiável, porém mais lento, que permite a transferência de dados por TCP e TLSv1.3.
Testes realizados pela ExpressVPN mostraram que, em comparação com protocolos mais antigos (ExpressVPN suporta L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard e SSTP, mas não detalha exatamente o que foi comparado), a mudança para Lightway reduziu o tempo de configuração da conexão em média 2.5 vezes (em em mais da metade dos casos, um canal de comunicação é criado em menos de um segundo). O novo protocolo também permitiu reduzir em 40% o número de desconexões de conexão em redes móveis não confiáveis e com problemas de qualidade de comunicação.
O desenvolvimento da implementação de referência do protocolo será realizado no GitHub, com oportunidade de participação de representantes da comunidade no desenvolvimento (para transferir alterações, é necessário assinar um acordo CLA sobre a transferência de direitos de propriedade do código). Outros provedores de VPN também são convidados a cooperar, pois podem utilizar o protocolo proposto sem restrições.
A segurança da implementação foi confirmada pelo resultado de uma auditoria independente realizada pela Cure53, que já auditou NTPsec, SecureDrop, Cryptocat, F-Droid e Dovecot. A auditoria abrangeu a verificação de códigos-fonte e incluiu testes para identificar possíveis vulnerabilidades (não foram consideradas questões relacionadas à criptografia). Em geral, a qualidade do código foi avaliada como alta, mas, mesmo assim, o teste revelou três vulnerabilidades que podem levar à negação de serviço e uma vulnerabilidade que permite que o protocolo seja usado como amplificador de tráfego durante ataques DDoS. Esses problemas já foram corrigidos e os comentários feitos sobre a melhoria do código foram levados em consideração. A auditoria também analisa vulnerabilidades e problemas conhecidos nos componentes de terceiros envolvidos, como libdnet, WolfSSL, Unity, Libuv e lua-crypt. Os problemas são em sua maioria menores, com exceção do MITM no WolfSSL (CVE-2021-3336).
Fonte: opennet.ru