ExpressVPN 宣布开源 Lightway 协议,旨在实现最快的连接建立时间,同时保持高水平的安全性和可靠性。 该代码是用 C 语言编写的,并根据 GPLv2 许可证分发。 该实现非常紧凑,只有两千行代码。 宣布支持 Linux、Windows、macOS、iOS、Android 平台、路由器(Asus、Netgear、Linksys)和浏览器。 组装需要使用 Earthly 和 Ceedling 组装系统。 该实现被打包为一个库,您可以使用该库将 VPN 客户端和服务器功能集成到您的应用程序中。
该代码使用已在 FIPS 140-2 认证解决方案中使用的 WolfSSL 库提供的开箱即用的验证加密函数。 在正常模式下,该协议使用UDP传输数据并使用DTLS创建加密的通信通道。 作为处理不可靠或 UDP 限制网络的选项,服务器提供更可靠但速度较慢的流模式,允许通过 TCP 和 TLSv1.3 传输数据。
ExpressVPN进行的测试表明,与旧协议(ExpressVPN支持L2TP/IPSec、OpenVPN、IKEv2、PPTP、WireGuard和SSTP,但比较不详细)相比,切换到Lightway平均减少了2.5的连接建立时间次(在超过一半的情况下,通信通道在不到一秒的时间内创建)。 新协议还可以将因连接质量问题而导致的不可靠移动网络中的断开连接次数减少 40%。
协议参考实现的开发将在 GitHub 上进行,并有机会参与社区代表的开发(要转让变更,需要签署代码产权转让的 CLA 协议)。 其他 VPN 提供商也受邀合作,可以不受限制地使用所提议的协议。
Cure53 执行的独立审计结果证实了实施的安全性,该审计曾审计过 NTPsec、SecureDrop、Cryptocat、F-Droid 和 Dovecot。 审计涵盖了源代码的验证,并包括识别可能漏洞的测试(未考虑与密码学相关的问题)。 总的来说,代码质量被评为高,但尽管如此,审查还是发现了三个可能导致拒绝服务的漏洞,以及一个允许该协议在 DDoS 攻击期间用作流量放大器的漏洞。 这些问题已经得到解决,并且改进代码的意见也已经被考虑在内。 审计还提请注意所涉及的第三方组件中的已知漏洞和问题,例如 libdnet、WolfSSL、Unity、Libuv 和 lua-crypt。 大多数问题都很小,除了 WolfSSL 中的 MITM (CVE-2021-3336)。
来源: opennet.ru