ExpressVPN đã công bố triển khai mã nguồn mở của giao thức Lightway, được thiết kế để đạt được thời gian thiết lập kết nối tối thiểu trong khi vẫn duy trì mức độ bảo mật và độ tin cậy cao. Mã được viết bằng ngôn ngữ C và được phân phối theo giấy phép GPLv2. Việc triển khai rất nhỏ gọn và vừa với hai nghìn dòng mã. Đã tuyên bố hỗ trợ cho các nền tảng Linux, Windows, macOS, iOS, Android, bộ định tuyến (Asus, Netgear, Linksys) và trình duyệt. Việc lắp ráp yêu cầu sử dụng hệ thống lắp ráp Earthly và Ceedling. Việc triển khai được đóng gói dưới dạng thư viện mà bạn có thể sử dụng để tích hợp chức năng máy khách và máy chủ VPN vào các ứng dụng của mình.
Mã này sử dụng các hàm mật mã được xây dựng sẵn và đã được chứng minh do thư viện WolfSSL cung cấp, đã được sử dụng trong các giải pháp được chứng nhận FIPS 140-2. Ở chế độ bình thường, giao thức sử dụng UDP để truyền dữ liệu và DTLS để tạo kênh liên lạc được mã hóa. Là một tùy chọn để đảm bảo hoạt động trên các mạng UDP không đáng tin cậy hoặc hạn chế, máy chủ cung cấp chế độ truyền phát đáng tin cậy hơn nhưng chậm hơn, cho phép truyền dữ liệu qua TCP và TLSv1.3.
Các thử nghiệm do ExpressVPN thực hiện cho thấy rằng so với các giao thức cũ hơn (ExpressVPN hỗ trợ L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard và SSTP, nhưng không nêu chi tiết chính xác những gì được so sánh), việc chuyển sang Lightway đã giảm thời gian thiết lập kết nối trung bình 2.5 lần (trong hơn một nửa số trường hợp kênh liên lạc được tạo ra trong vòng chưa đầy một giây). Giao thức mới cũng giúp giảm 40% số lần ngắt kết nối trong các mạng di động không đáng tin cậy có vấn đề về chất lượng liên lạc.
Việc phát triển triển khai tham chiếu của giao thức sẽ được thực hiện trên GitHub, tạo cơ hội cho đại diện cộng đồng tham gia vào quá trình phát triển (để chuyển giao các thay đổi, bạn phải ký thỏa thuận CLA về việc chuyển giao quyền sở hữu đối với mã). Các nhà cung cấp VPN khác cũng được mời hợp tác vì họ có thể sử dụng giao thức được đề xuất mà không bị hạn chế.
Tính bảo mật của việc triển khai đã được xác nhận bằng kết quả của một cuộc kiểm toán độc lập do Cure53 thực hiện, cơ quan này đã từng kiểm tra NTPsec, SecureDrop, Cryptocat, F-Droid và Dovecot. Cuộc kiểm tra bao gồm việc xác minh mã nguồn và bao gồm các thử nghiệm để xác định các lỗ hổng có thể xảy ra (các vấn đề liên quan đến mật mã không được xem xét). Nhìn chung, chất lượng của mã được đánh giá là cao, tuy nhiên, thử nghiệm đã tiết lộ ba lỗ hổng có thể dẫn đến từ chối dịch vụ và một lỗ hổng cho phép giao thức được sử dụng làm bộ khuếch đại lưu lượng trong các cuộc tấn công DDoS. Những vấn đề này đã được khắc phục và các nhận xét về việc cải thiện mã đã được tính đến. Quá trình kiểm tra cũng xem xét các lỗ hổng và sự cố đã biết trong các thành phần bên thứ ba có liên quan, chẳng hạn như libdnet, WolfSSL, Unity, Libuv và lua-crypt. Các vấn đề hầu hết đều nhỏ, ngoại trừ MITM trong WolfSSL (CVE-2021-3336).
Nguồn: opennet.ru