Suicide
12.08.2021, 19:51
Компания ExpressVPN объявила (https://www.expressvpn.com/blog/lightway-open-source-security-audit/) об открытии исходных текстов реализации протокола Lightway (https://www.expressvpn.com/lightway), разработанного для достижения минимального времени установки соединения при сохранении высокого уровня безопасности и надёжности. Код написан на языке Си и распространяется (https://github.com/expressvpn/lightway-core) под лицензией GPLv2. Реализация очень компактная и уместилась в две тысячи строк кода. Заявлена поддержка платформ Linux, Windows, macOS, iOS, Android, маршрутизаторов (Asus, Netgear, Linksys) и браузеров (https://github.com/expressvpn/expressvpn_browser_extension). Для сборки требуется применение сборочных систем Earthly (https://github.com/earthly/earthly) и Ceedling (https://github.com/ThrowTheSwitch/Ceedling). Реализация оформлена в виде библиотеки, которую можно использовать для интеграции функций клиента и сервера VPN в свои приложения.
В коде задействованы готовые проверенные криптографические функции, предоставляемые библиотекой wolfSSL (https://www.opennet.ru/opennews/art.shtml?num=52789), уже используемой в решениях, получивших сертификат FIPS 140-2. В штатном режиме протокол использует UDP для передачи данных и DTLS для создания шифрованного канала связи. В качестве опции для обеспечения работы в ненадёжных или ограничивающих UDP сетях, сервером предоставляется более надёжный, но менее быстрый, потоковый режим, позволяющий передавать данные поверх TCP и TLSv1.3.
Проведённые компанией ExpressVPN тесты показали, что по сравнению с о старыми протоколами (https://www.expressvpn.com/what-is-vpn/protocols) (ExpressVPN поддерживает L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard и SSTP, но не детализируется с чем именно было произведено сравнение), переход на Lightway позволил (https://www.expressvpn.com/blog/lightway-protocol-beta/) сократить время установки соединения в среднем в 2.5 раза (в более, чем половине случаев канал связи создаётся менее чем за секунду). Новый протокол также дал возможность на 40% снизить число разрывов соединений в ненадёжных мобильных сетях, имеющих проблемы с качеством связи.
Развитие эталонной реализации протокола будет производиться на GitHub с предоставлением (https://github.com/expressvpn/lightway-core/blob/main/CONTRIBUTING.adoc) возможности участия в разработке представителей сообщества (для передачи изменений требуется подписать CLA-соглашение (https://github.com/expressvpn/lightway-core/blob/main/EXPRESSVPN_CLA.adoc) о передаче имущественных прав на код). К сотрудничеству в том числе приглашаются другие VPN-провайдеры, которые без ограничений могут использовать предложенный протокол.
Безопасность реализации подтверждена (https://cure53.de/pentest-report_lightway.pdf) результатом независимого аудита, выполненного компанией Cure53 (https://en.wikipedia.org/wiki/Cure53), в своё время проводившей аудит NTPsec, SecureDrop, Cryptocat, F-Droid и Dovecot. Аудит затрагивал проверку исходных текстов и включал проведение тестов для выявления возможных уязвимостей (вопросы, связанные с криптографией не рассматривались). В целом качество кода было оценено как высокое, но, тем не менее, проверка выявила три уязвимости, которые могут привести к отказу в обслуживании, и одну уязвимость, которая позволяет использовать протокол в качестве усилителя трафика при проведении DDoS-атак. Указанные проблемы уже устранены, а высказанные замечания по улучшению кода учтены. При аудите также обращено внимание на известные уязвимости и проблемы в задействованных сторонних компонентах, таких как libdnet, WolfSSL, Unity, Libuv и lua-crypt. В основном проблемы несущественные, за исключением MITM в WolfSSL (CVE-2021-3336 (https://security-tracker.debian.org/tracker/CVE-2021-3336)).
12.08.2021
https://www.opennet.ru/opennews/art.shtml?num=55626
В коде задействованы готовые проверенные криптографические функции, предоставляемые библиотекой wolfSSL (https://www.opennet.ru/opennews/art.shtml?num=52789), уже используемой в решениях, получивших сертификат FIPS 140-2. В штатном режиме протокол использует UDP для передачи данных и DTLS для создания шифрованного канала связи. В качестве опции для обеспечения работы в ненадёжных или ограничивающих UDP сетях, сервером предоставляется более надёжный, но менее быстрый, потоковый режим, позволяющий передавать данные поверх TCP и TLSv1.3.
Проведённые компанией ExpressVPN тесты показали, что по сравнению с о старыми протоколами (https://www.expressvpn.com/what-is-vpn/protocols) (ExpressVPN поддерживает L2TP/IPSec, OpenVPN, IKEv2, PPTP, WireGuard и SSTP, но не детализируется с чем именно было произведено сравнение), переход на Lightway позволил (https://www.expressvpn.com/blog/lightway-protocol-beta/) сократить время установки соединения в среднем в 2.5 раза (в более, чем половине случаев канал связи создаётся менее чем за секунду). Новый протокол также дал возможность на 40% снизить число разрывов соединений в ненадёжных мобильных сетях, имеющих проблемы с качеством связи.
Развитие эталонной реализации протокола будет производиться на GitHub с предоставлением (https://github.com/expressvpn/lightway-core/blob/main/CONTRIBUTING.adoc) возможности участия в разработке представителей сообщества (для передачи изменений требуется подписать CLA-соглашение (https://github.com/expressvpn/lightway-core/blob/main/EXPRESSVPN_CLA.adoc) о передаче имущественных прав на код). К сотрудничеству в том числе приглашаются другие VPN-провайдеры, которые без ограничений могут использовать предложенный протокол.
Безопасность реализации подтверждена (https://cure53.de/pentest-report_lightway.pdf) результатом независимого аудита, выполненного компанией Cure53 (https://en.wikipedia.org/wiki/Cure53), в своё время проводившей аудит NTPsec, SecureDrop, Cryptocat, F-Droid и Dovecot. Аудит затрагивал проверку исходных текстов и включал проведение тестов для выявления возможных уязвимостей (вопросы, связанные с криптографией не рассматривались). В целом качество кода было оценено как высокое, но, тем не менее, проверка выявила три уязвимости, которые могут привести к отказу в обслуживании, и одну уязвимость, которая позволяет использовать протокол в качестве усилителя трафика при проведении DDoS-атак. Указанные проблемы уже устранены, а высказанные замечания по улучшению кода учтены. При аудите также обращено внимание на известные уязвимости и проблемы в задействованных сторонних компонентах, таких как libdnet, WolfSSL, Unity, Libuv и lua-crypt. В основном проблемы несущественные, за исключением MITM в WolfSSL (CVE-2021-3336 (https://security-tracker.debian.org/tracker/CVE-2021-3336)).
12.08.2021
https://www.opennet.ru/opennews/art.shtml?num=55626