ExpressVPN führt sein eigenes VPN-Protokoll Lightway ein. Das Unternehmen kündigt außerdem zwei neue Maßnahmen an, um das Vertrauen in Lightway zu verbessern und mehr Transparenz zu schaffen: eine unabhängige Sicherheitsprüfung durch Cure53 und das Open-Sourcing des Lightway-Codes.
Lightway bietet ein schnelleres, sichereres und zuverlässigeres VPN-Erlebnis, das dazu noch weniger Strom verbraucht. Lightway unterstützt das Transmission Control Protocol (TCP) und zusätzlich das User Datagram Protocol (UDP) – damit funktioniert Lightway auf vielen verschiedenen Netzwerktypen zuverlässig.
Während der Betatests hat ExpressVPN festgestellt, dass Lightway im Vergleich zu älteren Protokollen im Durchschnitt:
- 2,5x schneller eine Verbindung herstellt: In mehr als der Hälfte der Fälle stellt Lightway die VPN-Verbindung in weniger als einer Sekunde her.
- die Zuverlässigkeit um 40 Prozent erhöht: Das bedeutet, dass die Nutzer weniger Verbindungsabbrüche und Neuverbindungen haben, vor allem auf mobilen Geräten.
- die Geschwindigkeit um das Doppelte erhöht: Durch Lightway ist die Geschwindigkeit des VPNs noch schneller, sodass bei der Nutzung keine Unterbrechungen aufkommen.
Unabhängige Prüfung durch Cure53
Noch vor der Veröffentlichung von Lightway wurde das Cybersicherheitsunternehmen Cure53 von ExpressVPN mit der Durchführung eines Penetrationstests und eines Quellcode-Audits beauftragt. Der Test fand im März 2021 statt und wurde im Juni 2021 wiederholt, um zu bestätigen, dass alle festgestellten Probleme behoben wurden.
Cure53 legte 14 sicherheitsrelevante Befunde vor, von denen aber keiner als „kritisch“ eingestuft wurde. Das Team von ExpressVPN kümmerte sich umgehend um diese Probleme, was Cure53 anschließend im Rahmen des Audits bestätigte. „Die bei Lightway Core beobachtete Codebasis folgt konsistenten Codierungsmustern und weist – nach Ansicht der Tester – eine hohe Qualität auf“, so Cure53.
Die Tester fügten hinzu, dass „die Ergebnisse des Tests grundsätzlich positiv sind. Der Umfang des ExpressVPN-Lightway-Protokolls, das von Cure53 in diesem Projekt bewertet wurde, macht einen relativ robusten Eindruck. Dies gilt trotz der Anzahl der in diesem Bericht aufgeführten Befunde. Entscheidend ist, dass die Behebung relativ trivial zu implementieren ist.“
ExpressVPN wurde außerdem bereits zweimal von PwC (PricewaterhouseCoopers) geprüft. Das erste Mal 2019, um zu überprüfen, ob die Server von ExpressVPN mit deren Datenschutzrichtlinien übereinstimmen. Das zweite Mal 2020, als PwC bestätigte, dass das System für Build-Verification-Prozesse das Risiko der unbeabsichtigten Verbreitung von Malware an Kunden deutlich reduziert.
Ergebnisse des Cure53-Sicherheitsaudits der Open-Source-Browsererweiterungen wurden ebenfalls im Jahr 2019 veröffentlicht.
Mehr Vertrauen, Transparenz und Sicherheit durch Open-Sourcing
ExpressVPN veröffentlicht zusätzlich zu dem Audit den Quellcode von Lightway Core unter einer Open-Source-Lizenz (GNU General Public License, Version 2). Das bedeutet, dass jeder eine Prüfung, wie Cure53 sie gemacht hat, durchführen und Lightway nutzen kann – auch ohne ExpressVPN-Abonnent zu sein.
Open-Source-Code ermöglicht der weltweiten Tech-Community, den Code zu testen und zu prüfen, potenzielle Schwachstellen zu identifizieren und die allgemeine Sicherheit zu verbessern. Außerdem kann jeder selbst prüfen, ob Behauptungen zu Lightway und seiner Architektur zutreffen.
ExpressVPN legte bereits seine Browser-Erweiterungen und Leak-Testing-Tools offen. Seit 2016 betreibt das Unternehmen auch ein Bug-Bounty-Programm, um Sicherheitsexperten zu belohnen, die helfen, die Sicherheit der Produkte zu verbessern.
„Geschwindigkeit, Performance, Datenschutz, Sicherheit, Zuverlässigkeit – kein Protokoll konnte das alles bieten. Deshalb haben wir Geld und Zeit investiert, um Lightway von Grund auf für moderne VPN-Anforderungen zu entwickeln. Die beiden jüngsten Vertrauens- und Transparenzprüfungen geben uns noch mehr Zuversicht, Lightway in vollem Umfang einzuführen“, sagt Harold Li, Vice President von ExpressVPN.
Der Quellcode von Lightway ist auf der ExpressVPN GitHub-Seite einsehbar. Auf der Website von Cure53 steht der vollständige Audit-Bericht über Lightway zur Verfügung. Weitere technische Informationen über Lightway, einschließlich Kryptographie, Verschlüsselung, Authentifizierung und mehr, sind auf dem Entwicklerblog zu finden.
Lightway ist ab sofort für alle Plattformen und Geräte verfügbar – Android, iOS, Windows, Mac, Linux und Router.