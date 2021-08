Während andere VPN-Anbieter zunehmend auf WireGuard setzen, kocht ExpressVPN sein eigenes Süppchen. Mit Lightway hat ExpressVPN ein eigenes Protokoll entwickelt und dieses jetzt unter GPLv2 als Open-Source-Software veröffentlicht. Die VPN-Software ist für Android, iOS, Linux, macOS und Windows verfügbar. ExpressVPN bekundet, Ziel sei ein VPN-Protokoll, für das Privatsphäre und Sicherheit an erster Stelle stehen, ohne Einbußen in Hinblick auf die Geschwindigkeit oder Stabilität der VPN-Verbindung.

Lightway nutzt wolfSSL, eine im Embedded-Bereich verbreitete Bibliothek, und setzt primär auf AES-256-GCM als Verschlüsselungsalghoritmus. Lediglich auf schwächeren Geräten kommt auch ChaCha20/Poly1305 zum Einsatz. Auf letzteres Verfahren setzt WireGuard ausschließlich. Die Schlüssel werden über Diffie Hellman auf elliptischen Kurven (ECDH) ausgetauscht oder, falls das scheitert, über ein klassisches Diffie-Hellman-Verfahren. Für die Verbindung nutzt Lightway UDP, oder notfalls TCP, wobei Letzteres eher langsamer ist. ExpressVPN hat den Lightway-Quelltext auf Github veröffentlicht.

Code-Audit für mehr Vertrauen

In seinem Blogpost verkündet ExpressVPN sein eigenes VPN-Protokoll und dass Lightway lediglich aus 2.000 Zeilen Code bestehe, was laut ExpressVPN weniger Code sei als bei herkömmlichen VPN-Protokollen. Um die Sicherheit des Protokolls zu prüfen, hat ExpressVPN bei der Berliner Sicherheitsfirma Cure53 ein unabhängiges Sicherheitsaudit beauftragt, dessen Ergebnis insgesamt positiv ausfällt. Die Sicherheitsforscher entdeckten 14 sicherheitsrelevante Stellen, die Angriffsflächen für Denial-of-Service-Attacken bieten.

Sie stuften die Befunde aber alle als kritisch ein. Zudem bemängeln sie, dass manche Design-Entscheidungen die Überprüfung erschwerten. Trotz der schlanken Codebasis monieren sie an mehreren Stellen unnötige Komplexität. Die Einbindung der Skriptsprache Lua für eine einfache Datenbankabfrage sorge beispielsweise für vermeidbaren Overhead. Cure53 hält den Aufwand, die Probleme zu beseitigen, aber für überschaubar.

ExpressVPN lädt externe Entwickler ein, sich an der Weiterentwicklung von Lightway zu beteiligen und hat auch keine Einwände, wenn andere VPN-Anbieter das Protokoll nutzen. In Zukunft wolle man weitere Quelltexte im Zusammenhang mit Lightway veröffentlichen und mittelfristig soll die VPN-Einwahl auch ohne proprietäre VPN-Software möglich sein. Technische Details zum Lightway-Protokoll hat ExpressVPN in seinem Entwickler-Blog veröffentlicht.

c't Ausgabe 18/2021 In c’t 18/2021 nehmen wir die Technik aktueller E-Bikes unter die Lupe, testen Räder und zeigen legale Tuning-Tricks. In einem Schwerpunkt beschreiben wir die Tücken von VPN und erklären, wie Sie sich sicher im Internet bewegen können. Wie beleuchten, warum der Impfstoff von CureVac (bislang) durchgefallen ist und beschreiben, wie Sie Daten von verschlammten Festplatten retten können. Ausgabe 18/2021 finden Sie ab dem 13. August im Heise-Shop und am gut sortierten Zeitschriftenkiosk.

(mack)