Ça fait quelques jours ExpressVPN a dévoilé l'implémentation open source du protocole Lightway, qui est conçu pour atteindre des temps de configuration de connexion minimum tout en maintenant des niveaux élevés de sécurité et de fiabilité. Le code est écrit en C et est distribué sous licence GPLv2.
La mise en oeuvre il est très compact et tient dans deux mille lignes de code, De plus, la prise en charge des plateformes Linux, Windows, macOS, iOS, Android, des routeurs (Asus, Netgear, Linksys) et des navigateurs a été déclarée.
À propos de Lightway
Le code Lightway utilise des fonctions cryptographiques validéesprêts à l'emploi fournis par la bibliothèque wolfSSL qui il est déjà utilisé dans les solutions certifiées FIPS 140-2.
En mode normal, le protocole utilise UDP pour la transmission de données et DTLS pour créer un canal de communication crypté. En option pour garantir le fonctionnement sur des réseaux UDP peu fiables ou limités, le serveur fournit un mode de transmission plus fiable, mais plus lent, qui permet le transfert de données sur TCP et TLSv1.3.
Au cours de l'année écoulée, nos utilisateurs ont pu découvrir à quelle vitesse leurs connexions avec Lightway sont rapides, à quelle vitesse ils peuvent obtenir une connexion VPN, souvent en une fraction de seconde, et à quel point leurs connexions sont fiables, même lorsqu'elles changent. réseaux. Lightway est une autre raison, avec la bande passante avancée et l'infrastructure de serveur que nous avons construite, nous pouvons fournir le meilleur service VPN à nos utilisateurs.
Et maintenant, tout le monde peut voir par lui-même ce qui est inclus dans le code de base de Lightway, ainsi que lire un audit indépendant de la sécurité de Lightway par la société de cybersécurité Cure53.
Les tests d'ExpressVPN ont montré que par rapport à l'ancien protocole (ExpressVPN prend en charge L2TP / IPSec, OpenVPN, IKEv2, PPTP et SSTP, mais ne détaille pas ce qui a été fait dans la comparaison), la transition vers Lightway a réduit le temps de configuration des appels et en moyenne 2,5 fois (dans plus de la moitié des cas, le canal de communication est créé en moins d'une seconde).
Le nouveau protocole a également réduit de 40 % le nombre de déconnexions dans les réseaux mobiles peu fiables avec des problèmes de qualité de communication.
De la part de sécurité de la mise en œuvre, nous pouvons voir dans l'annonce qui est mentionnée que est confirmé par le résultat d'un audit indépendant réalisé par Cure53, qui à un moment donné a mené des audits de NTPsec, SecureDrop, Cryptocat, F-Droid et Dovecot.
L'audit comportait une vérification du code source et comprenait des tests pour identifier les vulnérabilités potentielles (les problèmes liés à la cryptographie n'ont pas été pris en compte).
En général, la qualité du code a été jugée élevée, Cependant, l'audit a révélé trois vulnérabilités pouvant conduire à un déni de service et une vulnérabilité qui permet au protocole d'être utilisé comme amplificateur de trafic lors d'attaques DDoS.
Les problèmes signalés ont maintenant été corrigés et les commentaires sur l'amélioration du code ont été pris en compte. L'audit s'est également concentré sur les vulnérabilités et les problèmes connus dans les composants tiers impliqués, tels que libdnet, WolfSSL, Unity, Libuv et lua-crypt. La plupart des problèmes sont mineurs, à l'exception de MITM sur WolfSSL (CVE-2021-3336).
Développement de déploiement référence du protocole aura lieu sur GitHub avec la possibilité de participer au développement des représentants de la communauté (pour le transfert des modifications, ils sont tenus de signer un accord CLA sur le transfert de propriété des droits sur le code).
Aussi d'autres fournisseurs de VPN sont invités à coopérer, puisqu'ils peuvent utiliser le protocole proposé sans restrictions. Le montage nécessite l'utilisation des systèmes de montage Earthly et Ceedling. Le déploiement est conçu comme une bibliothèque que vous pouvez utiliser pour intégrer les fonctionnalités client et serveur VPN dans vos applications.
Enfin, si vous souhaitez en savoir plus de cette implémentation, vous pouvez vérifier les détails dans le lien suivant.