Qualche giorno fa ExpressVPN ha svelato l'implementazione open source del protocollo Lightway, che è progettato per ottenere tempi minimi di configurazione della connessione mantenendo alti livelli di sicurezza e affidabilità. Il codice è scritto in C ed è distribuito sotto licenza GPLv2.
L'implemento è molto compatto e si adatta a duemila righe di codice, Inoltre è stato dichiarato il supporto per Linux, Windows, macOS, iOS, piattaforme Android, router (Asus, Netgear, Linksys) e browser.
Informazioni su Lightway
Il codice Lightway utilizza funzioni crittografiche convalidatepronte all'uso fornite dalla libreria wolfSSL che è già utilizzato nelle soluzioni certificate FIPS 140-2.
In modalità normale, il protocollo utilizza UDP per la trasmissione dei dati e DTLS per creare un canale di comunicazione crittografato. Come opzione per garantire il funzionamento su reti UDP inaffidabili o limitate, il server fornisce una modalità di trasmissione più affidabile, ma più lenta, che consente il trasferimento dei dati su TCP e TLSv1.3.
Nell'ultimo anno, i nostri utenti hanno potuto sperimentare la velocità delle loro connessioni con Lightway, la velocità con cui possono ottenere una connessione VPN, spesso in una frazione di secondo, e l'affidabilità delle loro connessioni, anche quando cambiano. reti. Lightway è un altro motivo, insieme alla larghezza di banda avanzata e all'infrastruttura server che abbiamo costruito, possiamo fornire il miglior servizio VPN per i nostri utenti.
E ora, chiunque può vedere da solo cosa è incluso nel codice principale di Lightway, oltre a leggere un audit indipendente della sicurezza di Lightway da parte della società di sicurezza informatica Cure53.
I test di ExpressVPN hanno dimostrato che rispetto al protocollo precedente (ExpressVPN supporta L2TP / IPSec, OpenVPN, IKEv2, PPTP e SSTP, ma non dettaglia ciò che è stato fatto in confronto), il passaggio a Lightway ha ridotto in media il tempo di configurazione della chiamata di 2,5 volte (in più della metà dei casi il canale di comunicazione si crea in meno di un secondo).
Il nuovo protocollo ha inoltre ridotto del 40% il numero di disconnessioni nelle reti mobili inaffidabili con problemi di qualità della comunicazione.
Dalla parte di sicurezza dell'implementazione che possiamo vedere nell'annuncio in cui viene menzionato che è confermato dal risultato di un audit indipendente svolto da Cure53, che a un certo punto ha condotto audit di NTPsec, SecureDrop, Cryptocat, F-Droid e Dovecot.
L'audit ha comportato la verifica del codice sorgente e ha incluso test per identificare potenziali vulnerabilità (non sono stati considerati i problemi relativi alla crittografia).
Complessivo la qualità del codice è stata valutata elevata, Tuttavia, l'audit ha rivelato tre vulnerabilità che possono portare alla negazione del servizio e una vulnerabilità che consente di utilizzare il protocollo come amplificatore di traffico durante gli attacchi DDoS.
I problemi segnalati sono stati risolti e il feedback sul miglioramento del codice è stato preso in considerazione. L'audit si è concentrato anche su vulnerabilità note e problemi nei componenti di terze parti coinvolti, come libdnet, WolfSSL, Unity, Libuv e lua-crypt. La maggior parte dei problemi sono minori, ad eccezione di MITM in WolfSSL (CVE-2021-3336).
Sviluppo della distribuzione riferimento al protocollo si svolgerà su GitHub con la previsione dell'opportunità di partecipare allo sviluppo dei rappresentanti della comunità (per il trasferimento delle modifiche, sono tenuti a firmare un accordo CLA sul trasferimento della proprietà dei diritti sul codice).
anche altri provider VPN sono invitati a collaborare, poiché possono utilizzare il protocollo proposto senza restrizioni. Il montaggio richiede l'uso dei sistemi di montaggio Earthly e Ceedling. La distribuzione è inquadrata come una libreria che puoi utilizzare per integrare funzionalità client e server VPN nelle tue applicazioni.
Infine, se sei interessato a saperne di più di questa implementazione, puoi controllare i dettagli nel seguente link