ExpressVPN ka njoftuar zbatimin me burim të hapur të protokollit Lightway, i krijuar për të arritur kohën më të shpejtë të konfigurimit të lidhjes duke ruajtur një nivel të lartë sigurie dhe besueshmërie. Kodi është shkruar në C dhe shpërndahet nën licencën GPLv2. Implementimi është shumë kompakt dhe përshtatet në dy mijë rreshta kodi. Deklaruar mbështetje për Linux, Windows, macOS, iOS, platformat Android, ruterat (Asus, Netgear, Linksys) dhe shfletuesit. Asambleja kërkon përdorimin e sistemeve të montimit të Tokës dhe Ceedling. Implementimi është i paketuar si një bibliotekë që mund ta përdorni për të integruar funksionalitetin e klientit dhe serverit VPN në aplikacionet tuaja.
Kodi përdor funksione kriptografike të vërtetuara jashtë kutisë të ofruara nga biblioteka wolfSSL e përdorur tashmë në zgjidhjet e certifikuara FIPS 140-2. Në modalitetin normal, protokolli përdor UDP për të transferuar të dhëna dhe DTLS për të krijuar një kanal komunikimi të koduar. Si një opsion për të trajtuar rrjete jo të besueshme ose të kufizuara nga UDP, serveri ofron një mënyrë transmetimi më të besueshme, por më të ngadaltë, duke lejuar transferimin e të dhënave përmes TCP dhe TLSv1.3.
Testet e kryera nga ExpressVPN kanë treguar se, në krahasim me protokollet më të vjetra (ExpressVPN mbështet L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard dhe SSTP, por krahasimi nuk ishte i detajuar), kalimi në Lightway uli kohën e konfigurimit të lidhjes me një mesatare prej 2.5 herë (në më shumë se gjysmën e rasteve, një kanal komunikimi krijohet në më pak se një sekondë). Protokolli i ri bëri të mundur gjithashtu uljen e numrit të shkyçjeve në rrjetet celulare jo të besueshme me probleme në cilësinë e lidhjes me 40%.
Zhvillimi i zbatimit të referencës së protokollit do të kryhet në GitHub me mundësinë për të marrë pjesë në zhvillimin e përfaqësuesve të komunitetit (për të transferuar ndryshimet, duhet të nënshkruani një marrëveshje CLA për transferimin e të drejtave pronësore në kod). Ftohen të bashkëpunojnë edhe ofrues të tjerë VPN, të cilët mund të përdorin protokollin e propozuar pa kufizime.
Siguria e zbatimit konfirmohet nga rezultati i një auditimi të pavarur të kryer nga Cure53, i cili në një kohë auditonte NTPsec, SecureDrop, Cryptocat, F-Droid dhe Dovecot. Auditimi mbuloi verifikimin e kodeve burimore dhe përfshiu teste për të identifikuar dobësitë e mundshme (çështjet që lidhen me kriptografinë nuk u morën parasysh). Në përgjithësi, cilësia e kodit u vlerësua si e lartë, por, megjithatë, rishikimi zbuloi tre dobësi që mund të çojnë në një mohim të shërbimit dhe një dobësi që lejon që protokolli të përdoret si një përforcues trafiku gjatë sulmeve DDoS. Këto probleme tashmë janë rregulluar dhe janë marrë parasysh komentet e bëra për përmirësimin e kodit. Auditimi gjithashtu tërhoqi vëmendjen ndaj dobësive dhe çështjeve të njohura në komponentët e palëve të treta të përfshira, si libdnet, WolfSSL, Unity, Libuv dhe lua-crypt. Shumica e çështjeve janë të vogla, me përjashtim të MITM në WolfSSL (CVE-2021-3336).
Burimi: opennet.ru