Компанія ExpressVPN оголосила про відкриття вихідних текстів реалізації протоколу Lightway, розробленого для досягнення мінімального часу встановлення з'єднання за умови збереження високого рівня безпеки та надійності. Код написаний мовою Сі та поширюється під ліцензією GPLv2. Реалізація дуже компактна і вмістилася у дві тисячі рядків коду. Заявлено підтримку платформ Linux, Windows, macOS, iOS, Android, маршрутизаторів (Asus, Netgear, Linksys) і браузерів. Для складання потрібно застосування складальних систем Earthly та Ceedling. Реалізація оформлена у вигляді бібліотеки, яку можна використовувати для інтеграції функцій клієнта та сервера VPN у свої програми.
У коді задіяні готові перевірені криптографічні функції, що надаються бібліотекою wolfSSL, яка вже використовується в рішеннях, які отримали сертифікат FIPS 140-2. У штатному режимі протокол використовує UDP передачі даних і DTLS до створення шифрованого каналу зв'язку. Як опція для забезпечення роботи в ненадійних або обмежуючих UDP мережах, сервер надає більш надійний, але менш швидкий, потоковий режим, що дозволяє передавати дані поверх TCP і TLSv1.3.
Проведені компанією ExpressVPN тести показали, що порівняно з старими протоколами протоколами (ExpressVPN підтримує L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard і SSTP, але не деталізується з чим саме було зроблено порівняння), перехід на Lightway дозволив скоротити час встановлення з'єднання в середньому в 2.5 рази (у більш ніж половині випадків канал зв'язку створюється менш ніж за секунду). Новий протокол також дав можливість на 40% знизити кількість розривів з'єднань у ненадійних мобільних мережах, які мають проблеми з якістю зв'язку.
Розвиток еталонної реалізації протоколу буде здійснюватись на GitHub з наданням можливості участі у розробці представників спільноти (для передачі змін потрібно підписати CLA-угоду про передачу майнових прав на код). До співпраці, зокрема, запрошуються інші VPN-провайдери, які без обмежень можуть використовувати запропонований протокол.
Безпека реалізації підтверджена результатом незалежного аудиту, виконаного компанією Cure53, яка свого часу проводила аудит NTPsec, SecureDrop, Cryptocat, F-Droid та Dovecot. Аудит торкався перевірки вихідних текстів і включав проведення тестів для виявлення можливих уразливостей (питання, пов'язані з криптографією не розглядалися). Загалом якість коду була оцінена як висока, проте перевірка виявила три вразливості, які можуть призвести до відмови в обслуговуванні, і одну вразливість, яка дозволяє використовувати протокол як підсилювач трафіку при проведенні DDoS-атак. Зазначені проблеми вже усунуті, а висловлені зауваження щодо покращення коду враховані. При аудиті також звернено увагу на відомі вразливості та проблеми у задіяних сторонніх компонентах, таких як libdnet, WolfSSL, Unity, Libuv та lua-crypt. В основному проблеми несуттєві, за винятком MITM у WolfSSL (CVE-2021-3336).
Джерело: opennet.ru