SSH3 protokolli eksperimentaalse serveri ja kliendi implementatsiooni esimene ametlik versioon on nüüd saadaval. See on üles ehitatud HTTP/3 peale ning kasutab turvalise sidekanali loomiseks QUIC-i (UDP-l põhinev) ja TLS 1.3-t ning kasutajate autentimiseks HTTP-mehhanisme. Projekti arendab François Michel, Louvaini Katoliikliku Ülikooli (Belgia) doktorant, ning selles osaleb ka Olivier Bonaventure, sama ülikooli professor, kes on tuntud Multipath TCP alamsüsteemi ja kerneli IPv6 segmendi marsruutimiskoodi väljatöötamise poolest. Linux, samuti 10 RFC-i ja enam kui 60 võrguspetsifikatsiooni mustandi kaasautor. Kliendi ja serveri viiteimplementatsioonid on kirjutatud Go keeles ja levitatakse Apache 2.0 litsentsi alusel.
SSH3 arendus oli SSH-protokolli täieliku uuendamise tulemus, mille viis läbi OpenSSH-st sõltumatu teadlaste rühm ja muud klassikalise SSH-protokolli rakendusi arendavad projektid. SSH3-s on klassikalise SSH-protokolli semantika realiseeritud HTTP-mehhanismide kaudu, mis võimaldab mõningaid lisavõimalusi ja võimalust peita SSH-ga seotud tegevusi muu liikluse hulgas.
SSH3 kasutamisel on server HTTP-serverist eristamatu ja võtab vastu päringuid võrgupordil 443 (HTTPS) ning SSH3 liiklus ühendatakse standardse HTTP-liiklusega, mis raskendab pordi skaneerimise rünnakute läbiviimist ja SSH-serverite tuvastamist paroolide bruteforce'i abil. Rünnakute keerulisemaks muutmiseks serverid Lisaks teadmisele, kas antud IP-aadressil on server olemas, saab SSH3 määrata ka salajase SSH3 serveri identifikaatori. Ilma õige identifikaatorita töötleb server vastuseid tavalise HTTPS-serverina ega näita, et SSH3-ühendus on võimalik. Näiteks kui määrate identifikaatori "e6ae772cbdaafd6918865cc2ce449dae", saate serveriga ühenduse luua ainult URL-i "https://192.0.2.0:443/e6ae772cbdaafd6918865cc2ce449dae" kaudu. Kui identifikaator on vale, tagastab server standardse vea "404".
SSH3 täiustatud funktsionaalsusest mainitakse võimalust kasutada autentimiseks lisaks klassikalistele SSH meetoditele X.509 sertifikaate ja OAuth 2.0/OpenID Connect meetodeid; UDP-pordi ümbersuunamise tugi läbi SSH-tunneli, lisaks TCP-portide ümbersuunamise võimalusele (näiteks QUIC, DNS ja RTP edastamiseks); QUIC-protokolli täiustatud funktsioonide kasutamine, näiteks ühenduste migreerimine ilma ühendust katkestamata ja mitmeteeliste ühenduste loomine liikluse paralleelseerimiseks mitmel marsruudil.
Eraldi on SSH3 kasutamisel ühenduse seadistamise aeg märkimisväärselt vähenenud. SSH3-serveriga ühenduse loomisel on vaja ainult 3 võrgu iteratsiooni (Round Trip), samas kui SSHv2 nõuab 5–7 paketivahetuse iteratsiooni. SSH3 ja SSHv2 juba loodud seansside reageerimisaeg klaviatuurisisendile on samal tasemel.
Sidekanali krüpteerimiseks kasutab SSH3 protokolli TLS 1.3 ning autentimiseks saavad nad kasutada klassikalisi paroolidel ja avalikel võtmetel põhinevaid meetodeid (RSA ja EdDSA/ed25519). Lisaks saab SSH3 kasutada OAuth 2.0 protokollil põhinevaid meetodeid, mis võimaldavad teil autentimist välja laadida kolmandatest osapooltest pakkujatele, näiteks Google'i, Microsofti ja GitHubi teenuste kontode kaudu kinnitatud sisselogimiseks. Serveritega ühenduse loomiseks võtmete abil saate lisaks SSH-võtmetele kasutada HTTPS-i jaoks kasutatavaid X.509 sertifikaate.
Avaldatud SSH3 kliendi ja serveri juurutus toetab paljusid OpenSSH põhifunktsioone, sealhulgas:
- ~/.ssh/authorized_keys faili tugi, kui võtmeseaded on sisse lülitatud server.
- Võimalus kasutada kliendi poolel konfiguratsioonifaili ~/.ssh/config. Praegu toetatakse parameetreid Hostname, User, Port ja IdentityFile ning ülejäänuid ignoreeritakse.
- Serdipõhise serveriühenduse autentimise tugi.
- Tuntud_hosts mehhanismi tugi (olukordades, kus X.509 sertifikaate ei kasutata).
- Kliendi töö tugi OpenSSH agendiga (ssh-agent) ja agendi automaatne kasutamine avaliku võtme autentimiseks.
- SSH-agendi kaudu ümbersuunamise tugi, et kasutada välises serveris kohalikke võtmeid.
- TCP-portide otseedastus.
Allikas: opennet.ru
