Компания ExpressVPN открыла наработки, связанные с VPN-протоколом Lightway

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 12 Aug 2021.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,340
    Likes Received:
    6,493
    Reputations:
    693
    Компания ExpressVPN объявила об открытии исходных текстов реализации протокола Lightway, разработанного для достижения минимального времени установки соединения при сохранении высокого уровня безопасности и надёжности. Код написан на языке Си и распространяется под лицензией GPLv2. Реализация очень компактная и уместилась в две тысячи строк кода. Заявлена поддержка платформ Linux, Windows, macOS, iOS, Android, маршрутизаторов (Asus, Netgear, Linksys) и браузеров. Для сборки требуется применение сборочных систем Earthly и Ceedling. Реализация оформлена в виде библиотеки, которую можно использовать для интеграции функций клиента и сервера VPN в свои приложения.

    В коде задействованы готовые проверенные криптографические функции, предоставляемые библиотекой wolfSSL, уже используемой в решениях, получивших сертификат FIPS 140-2. В штатном режиме протокол использует UDP для передачи данных и DTLS для создания шифрованного канала связи. В качестве опции для обеспечения работы в ненадёжных или ограничивающих UDP сетях, сервером предоставляется более надёжный, но менее быстрый, потоковый режим, позволяющий передавать данные поверх TCP и TLSv1.3.

    Проведённые компанией ExpressVPN тесты показали, что по сравнению с о старыми протоколами (ExpressVPN поддерживает L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard и SSTP, но не детализируется с чем именно было произведено сравнение), переход на Lightway позволил сократить время установки соединения в среднем в 2.5 раза (в более, чем половине случаев канал связи создаётся менее чем за секунду). Новый протокол также дал возможность на 40% снизить число разрывов соединений в ненадёжных мобильных сетях, имеющих проблемы с качеством связи.

    Развитие эталонной реализации протокола будет производиться на GitHub с предоставлением возможности участия в разработке представителей сообщества (для передачи изменений требуется подписать CLA-соглашение о передаче имущественных прав на код). К сотрудничеству в том числе приглашаются другие VPN-провайдеры, которые без ограничений могут использовать предложенный протокол.

    Безопасность реализации подтверждена результатом независимого аудита, выполненного компанией Cure53, в своё время проводившей аудит NTPsec, SecureDrop, Cryptocat, F-Droid и Dovecot. Аудит затрагивал проверку исходных текстов и включал проведение тестов для выявления возможных уязвимостей (вопросы, связанные с криптографией не рассматривались). В целом качество кода было оценено как высокое, но, тем не менее, проверка выявила три уязвимости, которые могут привести к отказу в обслуживании, и одну уязвимость, которая позволяет использовать протокол в качестве усилителя трафика при проведении DDoS-атак. Указанные проблемы уже устранены, а высказанные замечания по улучшению кода учтены. При аудите также обращено внимание на известные уязвимости и проблемы в задействованных сторонних компонентах, таких как libdnet, WolfSSL, Unity, Libuv и lua-crypt. В основном проблемы несущественные, за исключением MITM в WolfSSL (CVE-2021-3336).

     
    crlf likes this.
Loading...