Fa alguns dies ExpressVPN va donar a conèixer la implementació de codi obert de l'protocol Lightway, el qual està dissenyat per aconseguir temps mínims de configuració de connexió mentre es mantenen alts nivells de seguretat i fiabilitat. El codi està escrit en C i es distribueix sota la llicència GPLv2.
la implementació és molt compacta i encaixa en dos mil línies de codi, a més que s'ha declarat el suport per a Linux, Windows, macOS, iOS, plataformes Android, encaminadors (Asus, Netgear, Linksys) i navegadors.
sobre Lightway
El codi de Lightway utilitza funcions criptogràfiques validadas punt per utilitzar proporcionades per la biblioteca wolfSSL que ja s'usa en les solucions certificades FIPS 140-2.
En mode normal, el protocol utilitza UDP per a la transmissió de dades i DTLS per crear un canal de comunicació xifrat. Com una opció per assegurar el funcionament en xarxes UDP no fiables o limitades, el servidor proporciona una manera de transmissió més fiable, però menys ràpid, que permet la transferència de dades a través de TCP i TLSv1.3.
Durant l'any passat, els nostres usuaris han pogut experimentar com de ràpides són les seves connexions amb Lightway, com de ràpid poden obtenir una connexió VPN, sovint en una fracció de segon, i com de fiables són les seves connexions, fins i tot quan canvien. xarxes. Lightway és una altra raó més, juntament amb la infraestructura avançada de servidor i ample de banda que hem construït, podem oferir el millor servei VPN per als nostres usuaris.
I ara, qualsevol pot veure per si mateix el que s'inclou en el codi central de Lightway, així com llegir una auditoria independent de la seguretat de Lightway realitzada per la firma de ciberseguretat Cure53.
Les proves realitzades per ExpressVPN han demostrat que en comparació amb el protocol anterior (ExpressVPN admet L2TP / IPSec, OpenVPN, IKEv2, PPTP i SSTP, però no detalla el que es va fer en la comparació), la transició a Lightway va permetre reduir el temps de configuració de la trucada en una mitjana de 2,5 vegades (en més de la meitat dels casos, el canal de comunicació es crea en menys d'un segon).
El nou protocol també va permetre reduir en un 40% el nombre de desconnexions en xarxes mòbils poc fiables amb problemes de qualitat de comunicació.
Per la part de la seguretat de la implementació podrem veure en l'anunci que s'esmenta que està confirmada pel resultat d'una auditoria independent realitzada per Cure53, que en un moment va realitzar auditories de NTPsec, SecureDrop, Cryptocat, F-Droid i Dovecot.
L'auditoria va implicar la verificació de la font i va incloure proves per identificar possibles vulnerabilitats (no es van considerar els problemes relacionats amb la criptografia).
En general, la qualitat de l'codi es va qualificar com a alta, però, però, l'auditoria va revelar tres vulnerabilitats que poden conduir a la denegació de servei i una vulnerabilitat que permet que el protocol s'utilitzi com a amplificador de trànsit durant els atacs DDoS.
Ja s'han solucionat els problemes indicats i s'han tingut en compte els comentaris sobre la millora de el codi. L'auditoria també es va centrar en vulnerabilitats conegudes i problemes en components de tercers involucrats, com libdnet, WolfSSL, Unity, Libuv i lua-crypt. La majoria dels problemes són menors, amb l'excepció de MITM a WolfSSL (CVE-2021-3336).
El desenvolupament de la implementació de referència de l'protocol es durà a terme a GitHub amb la disposició de l'oportunitat de participar en el desenvolupament dels representants de la comunitat (per a la transferència dels canvis, es requereix que signin un CLA-acord sobre la transferència de la propietat de drets a el codi).
També es convida a altres proveïdors de VPN a cooperar, ja que poden utilitzar el protocol proposat sense restriccions. El muntatge requereix l'ús dels sistemes de muntatge Earthly i Ceedling. La implementació s'emmarca com una biblioteca que pot utilitzar per integrar la funcionalitat de servidor i client VPN en les seves aplicacions.
Finalment, si estàs interessat en poder conèixer més a l'respecte d'aquesta implementació, pots consultar els detalls en el següent enllaç.