Xa está dispoñible a primeira versión oficial dunha implementación experimental de servidor e cliente para o protocolo SSH3. Está construída sobre HTTP/3 e usa QUIC (baseado en UDP) e TLS 1.3 para establecer unha canle de comunicación segura e mecanismos HTTP para a autenticación de usuarios. O proxecto está a ser desenvolvido por François Michel, estudante de doutoramento na Universidade Católica de Lovaina (Bélxica), coa participación de Olivier Bonaventure, profesor da mesma universidade coñecido por desenvolver o subsistema Multipath TCP e o código de enrutamento de segmentos IPv6 para o kernel. Linux, así como coautor de 10 RFC e borradores de máis de 60 especificacións de rede. As implementacións de referencia de cliente e servidor están escritas en Go e distribuídas baixo a licenza Apache 2.0.
O desenvolvemento de SSH3 foi o resultado dunha revisión completa do protocolo SSH, levada a cabo por un grupo separado de investigadores independentes de OpenSSH e doutros proxectos que desenvolven implementacións do protocolo SSH clásico. En SSH3, a semántica do protocolo SSH clásico está implementada a través de mecanismos HTTP, o que permite algunhas capacidades adicionais e a capacidade de ocultar a actividade relacionada con SSH entre outro tráfico.
Ao usar SSH3, o servidor é indistinguible dun servidor HTTP e acepta solicitudes no porto de rede 443 (HTTPS), e o tráfico SSH3 combínase co tráfico HTTP estándar, o que dificulta a realización de ataques de dixitalización de portos e a identificación de servidores SSH para a forza bruta de contrasinais. Para complicar os ataques a servidores Ademais de saber se existe un servidor nun enderezo IP determinado, SSH3 tamén pode especificar un identificador de servidor SSH3 secreto. Sen o identificador correcto, o servidor procesará as respostas como un servidor HTTPS normal e non indicará que é posible unha conexión SSH3. Por exemplo, se especificas o identificador "e6ae772cbdaafd6918865cc2ce449dae", só podes conectarte ao servidor a través do URL "https://192.0.2.0:443/e6ae772cbdaafd6918865cc2ce449dae". Se o identificador é incorrecto, o servidor devolverá un erro estándar "404".
Entre a funcionalidade avanzada de SSH3, menciónase a posibilidade de utilizar certificados X.509 e métodos OAuth 2.0/OpenID Connect para a autenticación, ademais dos métodos SSH clásicos; soporte para a redirección de portos UDP a través dun túnel SSH ademais da posibilidade de redirixir portos TCP (por exemplo, para o reenvío QUIC, DNS e RTP); uso de funcións avanzadas do protocolo QUIC, como a migración de conexións sen romper a conexión e o establecemento de conexións multirutas para paralelizar o tráfico en varias rutas.
Separadamente, hai unha redución significativa no tempo de configuración da conexión cando se usa SSH3. Cando se conecta a un servidor SSH3, só son necesarias 3 iteracións de rede (ida e volta), mentres que SSHv2 require 5-7 iteracións de intercambio de paquetes. O tempo de resposta á entrada de teclado para sesións xa establecidas en SSH3 e SSHv2 está no mesmo nivel.
Para cifrar a canle de comunicación, SSH3 utiliza o protocolo TLS 1.3, e para a autenticación poden utilizar métodos clásicos baseados en contrasinais e chaves públicas (RSA e EdDSA/ed25519). Ademais, SSH3 pode usar métodos baseados no protocolo OAuth 2.0 que lle permiten descargar a autenticación a provedores de terceiros, por exemplo, para proporcionar un inicio de sesión verificado a través de contas nos servizos de Google, Microsoft e GitHub. Para conectarse a servidores mediante claves, ademais das claves SSH, pode utilizar certificados X.509 utilizados para HTTPS.
A implementación do cliente e servidor SSH3 publicada admite moitas das funcións principais de OpenSSH, incluíndo:
- Compatibilidade co ficheiro ~/.ssh/authorized_keys coa configuración de claves activada servidor.
- Capacidade de usar o ficheiro de configuración ~/.ssh/config no lado do cliente. Actualmente os parámetros Hostname, User, Port e IdentityFile son compatibles e o resto ignórase.
- Soporte para a autenticación de conexión de servidor baseada en certificados.
- Compatibilidade co mecanismo known_hosts (en situacións nas que non se usan certificados X.509).
- Soporte para o traballo do cliente con OpenSSH Agent (ssh-agent) e uso automático do axente para a autenticación de chave pública.
- Soporte para a redirección a través do axente SSH para usar chaves locais nun servidor externo.
- Reenvío directo de portos TCP.
Fonte: opennet.ru
