ExpressVPN har tillkännagett en öppen källkodsimplementering av Lightway-protokollet, designat för att uppnå den snabbaste anslutningstiden samtidigt som en hög nivå av säkerhet och tillförlitlighet bibehålls. Koden är skriven på C-språk och distribueras under GPLv2-licensen. Implementeringen är mycket kompakt och ryms i två tusen rader kod. Deklarerat stöd för Linux, Windows, macOS, iOS, Android-plattformar, routrar (Asus, Netgear, Linksys) och webbläsare. Montering kräver användning av Earthly och Ceedling monteringssystem. Implementeringen är paketerad som ett bibliotek som du kan använda för att integrera VPN-klient- och serverfunktionalitet i dina applikationer.
Koden använder out-of-the-box validerade kryptografiska funktioner som tillhandahålls av wolfSSL-biblioteket som redan används i FIPS 140-2-certifierade lösningar. I normalt läge använder protokollet UDP för att överföra data och DTLS för att skapa en krypterad kommunikationskanal. Som ett alternativ för att hantera opålitliga eller UDP-begränsande nätverk, tillhandahålls ett mer tillförlitligt, men långsammare, streamingläge av servern, vilket gör att data kan överföras över TCP och TLSv1.3.
Tester utförda av ExpressVPN har visat att jämfört med äldre protokoll (ExpressVPN stöder L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard och SSTP, men jämförelsen var inte detaljerad), minskade byte till Lightway anslutningstiden med i genomsnitt 2.5 gånger (i mer än hälften av fallen skapas en kommunikationskanal på mindre än en sekund). Det nya protokollet gjorde det också möjligt att minska antalet nedkopplingar i opålitliga mobilnät med problem med anslutningskvaliteten med 40 %.
Utvecklingen av referensimplementeringen av protokollet kommer att utföras på GitHub med möjlighet att delta i utvecklingen av samhällsrepresentanter (för att överföra ändringar måste du underteckna ett CLA-avtal om överföring av äganderätt till koden). Andra VPN-leverantörer uppmanas också att samarbeta, som kan använda det föreslagna protokollet utan begränsningar.
Säkerheten för implementeringen bekräftas av resultatet av en oberoende granskning utförd av Cure53, som vid ett tillfälle granskade NTPsec, SecureDrop, Cryptocat, F-Droid och Dovecot. Granskningen omfattade verifiering av källkoder och inkluderade tester för att identifiera möjliga sårbarheter (problem relaterade till kryptografi beaktades inte). Generellt sett bedömdes kodens kvalitet som hög, men trots detta avslöjade granskningen tre sårbarheter som kan leda till ett överbelastningsskydd och en sårbarhet som gör att protokollet kan användas som en trafikförstärkare under DDoS-attacker. Dessa problem har redan åtgärdats och kommentarerna om att förbättra koden har tagits i beaktande. Granskningen uppmärksammade också kända sårbarheter och problem i de inblandade tredjepartskomponenterna, såsom libdnet, WolfSSL, Unity, Libuv och lua-crypt. De flesta problem är mindre, med undantag för MITM i WolfSSL (CVE-2021-3336).
Källa: opennet.ru