ExpressVPN 宣布開源 Lightway 協議,旨在實現最快的連接建立時間,同時保持高水平的安全性和可靠性。 該代碼是用 C 語言編寫的,並根據 GPLv2 許可證分發。 該實現非常緊湊,只有兩千行代碼。 宣布支持 Linux、Windows、macOS、iOS、Android 平台、路由器(Asus、Netgear、Linksys)和瀏覽器。 組裝需要使用 Earthly 和 Ceedling 組裝系統。 該實現被打包為一個庫,您可以使用該庫將 VPN 客戶端和服務器功能集成到您的應用程序中。
該代碼使用已在 FIPS 140-2 認證解決方案中使用的 WolfSSL 庫提供的開箱即用的驗證加密函數。 在正常模式下,該協議使用UDP傳輸數據並使用DTLS創建加密的通信通道。 作為處理不可靠或 UDP 限製網絡的選項,服務器提供更可靠但速度較慢的流模式,允許通過 TCP 和 TLSv1.3 傳輸數據。
ExpressVPN進行的測試表明,與舊協議(ExpressVPN支持L2TP/IPSec、OpenVPN、IKEv2、PPTP、WireGuard和SSTP,但比較不詳細)相比,切換到Lightway平均減少了2.5倍的連接建立時間(在超過一半的情況下,通信通道在不到一秒的時間內創建)。 新協議還可以將因連接質量問題而導致的不可靠移動網絡中的斷開連接次數減少 40%。
協議參考實現的開發將在 GitHub 上進行,並有機會參與社區代表的開發(要轉讓變更,需要簽署代碼產權轉讓的 CLA 協議)。 其他 VPN 提供商也受邀合作,可以不受限制地使用所提議的協議。
Cure53 執行的獨立審計結果證實了實施的安全性,該審計曾審計過 NTPsec、SecureDrop、Cryptocat、F-Droid 和 Dovecot。 審計涵蓋了源代碼的驗證,並包括識別可能漏洞的測試(未考慮與密碼學相關的問題)。 總的來說,代碼質量被評為高,但儘管如此,審查還是發現了三個可能導致拒絕服務的漏洞,以及一個允許該協議在 DDoS 攻擊期間用作流量放大器的漏洞。 這些問題已經得到解決,並且改進代碼的意見也已經被考慮在內。 審計還提請注意所涉及的第三方組件中的已知漏洞和問題,例如 libdnet、WolfSSL、Unity、Libuv 和 lua-crypt。 大多數問題都很小,除了 WolfSSL 中的 MITM (CVE-2021-3336)。
來源: opennet.ru