Vor ein paar Tagen ExpressVPN hat die Open-Source-Implementierung des Lightway-Protokolls vorgestellt, die darauf ausgelegt ist, minimale Verbindungsaufbauzeiten zu erreichen und gleichzeitig ein hohes Maß an Sicherheit und Zuverlässigkeit beizubehalten. Der Code ist in C geschrieben und wird unter der GPLv2-Lizenz vertrieben.
Die Umsetzung es ist sehr kompakt und passt in zweitausend Zeilen Code, Außerdem wurde die Unterstützung für Linux, Windows, macOS, iOS, Android-Plattformen, Router (Asus, Netgear, Linksys) und Browser erklärt.
Über Lightway
Der Lightway-Code verwendet validierte kryptografische Funktionengebrauchsfertige s bereitgestellt von der wolfSSL-Bibliothek, die es wird bereits in FIPS 140-2-zertifizierten Lösungen verwendet.
Im Normalmodus ist das Protokoll nutzt UDP zur Datenübertragung und DTLS einen verschlüsselten Kommunikationskanal zu erstellen. Als Option, um den Betrieb in unzuverlässigen oder eingeschränkten UDP-Netzwerken sicherzustellen, bietet der Server einen zuverlässigeren, aber langsameren Übertragungsmodus, der die Datenübertragung über TCP und TLSv1.3 ermöglicht.
Im vergangenen Jahr konnten unsere Nutzer erleben, wie schnell ihre Verbindungen mit Lightway sind, wie schnell sie eine VPN-Verbindung oft in Sekundenbruchteilen herstellen können und wie zuverlässig ihre Verbindungen sind, auch wenn sie sich ändern. Netzwerke. Lightway ist ein weiterer Grund, zusammen mit der fortschrittlichen Bandbreite und Server-Infrastruktur, die wir aufgebaut haben, unseren Benutzern den besten VPN-Dienst anzubieten.
Und jetzt kann jeder selbst sehen, was im Kerncode von Lightway enthalten ist, sowie eine unabhängige Prüfung der Sicherheit von Lightway durch das Cybersicherheitsunternehmen Cure53 lesen.
Tests von ExpressVPN haben gezeigt, dass im Vergleich zum älteren Protokoll (ExpressVPN unterstützt L2TP / IPSec, OpenVPN, IKEv2, PPTP und SSTP, aber nicht detailliert, was im Vergleich gemacht wurde) die Umstellung auf Lightway die Zeit für den Anrufaufbau reduzierte durchschnittlich 2,5-mal (in mehr als der Hälfte der Fälle wird der Kommunikationskanal in weniger als einer Sekunde erstellt).
Das neue Protokoll reduzierte auch die Zahl der Verbindungsabbrüche in unzuverlässigen Mobilfunknetzen mit Problemen der Kommunikationsqualität um 40 %.
Seitens die Sicherheit der Umsetzung können wir in der Ankündigung sehen, die erwähnt wird, dass wird durch das Ergebnis eines unabhängigen Audits von Cure53 bestätigt, die zu einem bestimmten Zeitpunkt Audits von NTPsec, SecureDrop, Cryptocat, F-Droid und Dovecot durchführte.
Das Audit umfasste die Überprüfung des Quellcodes und umfasste Tests zur Identifizierung potenzieller Schwachstellen (Probleme im Zusammenhang mit der Kryptographie wurden nicht berücksichtigt).
Insgesamt die Qualität des Codes wurde hoch bewertet, Die Prüfung ergab jedoch drei Schwachstellen, die zu Denial-of-Service führen können, und eine Schwachstelle, die es ermöglicht, das Protokoll als Verkehrsverstärker bei DDoS-Angriffen zu verwenden.
Die gemeldeten Probleme wurden nun behoben und Feedback zur Codeverbesserung wurde berücksichtigt. Die Prüfung konzentrierte sich auch auf bekannte Schwachstellen und Probleme in beteiligten Drittanbieterkomponenten wie libdnet, WolfSSL, Unity, Libuv und lua-crypt. Die meisten Probleme sind geringfügig, mit Ausnahme von MITM in WolfSSL (CVE-2021-3336).
Bereitstellungsentwicklung Protokollreferenz findet auf GitHub statt mit der Möglichkeit, sich an der Entwicklung von Community-Vertretern zu beteiligen (für die Übertragung von Änderungen müssen sie eine CLA-Vereinbarung über die Übertragung der Eigentumsrechte am Code unterzeichnen).
auch andere VPN-Anbieter sind zur Zusammenarbeit eingeladen, da sie das vorgeschlagene Protokoll ohne Einschränkungen verwenden können. Die Montage erfordert die Verwendung der Earthly- und Ceedling-Montagesysteme. Die Bereitstellung ist als Bibliothek gestaltet, mit der Sie VPN-Client- und -Serverfunktionen in Ihre Anwendungen integrieren können.
Schließlich wenn Sie mehr darüber wissen möchten dieser Implementierung können Sie die Details überprüfen im folgenden Link.