ExpressVPN je napovedal odprtokodno implementacijo protokola Lightway, ki je zasnovan za doseganje minimalnih časov vzpostavitve povezave ob ohranjanju visoke ravni varnosti in zanesljivosti. Koda je napisana v jeziku C in se distribuira pod licenco GPLv2. Izvedba je zelo kompaktna in se prilega v dva tisoč vrsticah kode. Navedena podpora za platforme Linux, Windows, macOS, iOS, Android, usmerjevalnike (Asus, Netgear, Linksys) in brskalnike. Montaža zahteva uporabo montažnih sistemov Earthly in Ceedling. Izvedba je pakirana kot knjižnica, ki jo lahko uporabite za integracijo funkcionalnosti odjemalca in strežnika VPN v svoje aplikacije.
Koda uporablja vnaprej zgrajene, preverjene kriptografske funkcije, ki jih ponuja knjižnica wolfSSL, ki se že uporablja v rešitvah s certifikatom FIPS 140-2. V običajnem načinu protokol uporablja UDP za prenos podatkov in DTLS za ustvarjanje šifriranega komunikacijskega kanala. Kot možnost za zagotovitev delovanja v nezanesljivih ali restriktivnih omrežjih UDP strežnik ponuja bolj zanesljiv, a počasnejši pretočni način, ki omogoča prenos podatkov prek TCP in TLSv1.3.
Preizkusi, ki jih je izvedel ExpressVPN, so pokazali, da je prehod na Lightway v primerjavi s starejšimi protokoli (ExpressVPN podpira L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard in SSTP, vendar ne navaja podrobnosti, kaj točno je bilo primerjano) skrajšal čas nastavitve povezave v povprečju 2.5-krat (v v več kot polovici primerov se komunikacijski kanal ustvari v manj kot sekundi). Nov protokol je omogočil tudi zmanjšanje števila prekinitev povezave za 40 % v nezanesljivih mobilnih omrežjih, ki imajo težave s kakovostjo komunikacije.
Razvoj referenčne implementacije protokola bo potekal na GitHubu, z možnostjo sodelovanja predstavnikov skupnosti pri razvoju (za prenos sprememb morate podpisati CLA pogodbo o prenosu lastninske pravice do kode). K sodelovanju so vabljeni tudi ostali ponudniki VPN, ki lahko predlagani protokol uporabljajo brez omejitev.
Varnost implementacije je potrdil rezultat neodvisne revizije, ki jo je opravil Cure53, ki je nekoč revidiral NTPsec, SecureDrop, Cryptocat, F-Droid in Dovecot. Revizija je zajemala preverjanje izvornih kod in vključevala teste za odkrivanje morebitnih ranljivosti (težave, povezane s kriptografijo, niso bile upoštevane). Na splošno je bila kakovost kode ocenjena kot visoka, vendar je kljub temu test razkril tri ranljivosti, ki bi lahko vodile do zavrnitve storitve, in eno ranljivost, ki omogoča uporabo protokola kot ojačevalca prometa med napadi DDoS. Te težave so bile že odpravljene, pripombe o izboljšanju kode pa so bile upoštevane. Revizija obravnava tudi znane ranljivosti in težave v vključenih komponentah tretjih oseb, kot so libdnet, WolfSSL, Unity, Libuv in lua-crypt. Težave so večinoma manjše, z izjemo MITM v WolfSSL (CVE-2021-3336).
Vir: opennet.ru