ExpressVPN a anunțat implementarea open source a protocolului Lightway, conceput pentru a obține timpi minimi de configurare a conexiunii, menținând în același timp un nivel ridicat de securitate și fiabilitate. Codul este scris în limbaj C și distribuit sub licență GPLv2. Implementarea este foarte compactă și se încadrează în două mii de linii de cod. Suport declarat pentru platforme Linux, Windows, macOS, iOS, Android, routere (Asus, Netgear, Linksys) și browsere. Asamblarea necesită utilizarea sistemelor de asamblare Earthly și Ceedling. Implementarea este ambalată ca o bibliotecă pe care o puteți utiliza pentru a integra funcționalitatea clientului VPN și a serverului în aplicațiile dvs.
Codul folosește funcții criptografice pre-construite, dovedite, furnizate de biblioteca wolfSSL, deja utilizate în soluțiile certificate FIPS 140-2. În modul normal, protocolul utilizează UDP pentru transmiterea datelor și DTLS pentru a crea un canal de comunicație criptat. Ca o opțiune pentru a asigura funcționarea pe rețele UDP nesigure sau restrictive, serverul oferă un mod de streaming mai fiabil, dar mai lent, care permite transferul datelor prin TCP și TLSv1.3.
Testele efectuate de ExpressVPN au arătat că, în comparație cu protocoalele mai vechi (ExpressVPN acceptă L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard și SSTP, dar nu detaliază exact ce a fost comparat), trecerea la Lightway a redus timpul de configurare a conexiunii în medie de 2.5 ori (în mai mult de jumătate din cazuri se creează un canal de comunicare în mai puţin de o secundă). Noul protocol a făcut posibilă și reducerea numărului de deconectări cu 40% în rețelele mobile nesigure care au probleme cu calitatea comunicațiilor.
Dezvoltarea implementării de referință a protocolului se va realiza pe GitHub, cu posibilitatea ca reprezentanții comunității să participe la dezvoltare (pentru a transfera modificări, trebuie să semnați un acord CLA privind transferul drepturilor de proprietate asupra codului). Alți furnizori VPN sunt, de asemenea, invitați să coopereze, deoarece pot folosi protocolul propus fără restricții.
Securitatea implementării a fost confirmată de rezultatul unui audit independent efectuat de Cure53, care a auditat la un moment dat NTPsec, SecureDrop, Cryptocat, F-Droid și Dovecot. Auditul a acoperit verificarea codurilor sursă și a inclus teste pentru identificarea posibilelor vulnerabilități (problemele legate de criptografie nu au fost luate în considerare). În general, calitatea codului a fost evaluată ca înaltă, dar, cu toate acestea, testul a evidențiat trei vulnerabilități care ar putea duce la refuzul serviciului și o vulnerabilitate care permite ca protocolul să fie utilizat ca amplificator de trafic în timpul atacurilor DDoS. Aceste probleme au fost deja remediate, iar comentariile făcute cu privire la îmbunătățirea codului au fost luate în considerare. De asemenea, auditul analizează vulnerabilitățile și problemele cunoscute ale componentelor terțe implicate, cum ar fi libdnet, WolfSSL, Unity, Libuv și lua-crypt. Problemele sunt în mare parte minore, cu excepția MITM în WolfSSL (CVE-2021-3336).
Sursa: opennet.ru