Prvo službeno izdanje eksperimentalne implementacije poslužitelja i klijenta za SSH3 protokol sada je dostupno. Izgrađena je na HTTP/3 i koristi QUIC (baziran na UDP-u) i TLS 1.3 za uspostavljanje sigurnog komunikacijskog kanala i HTTP mehanizama za autentifikaciju korisnika. Projekt razvija François Michel, doktorand na Katoličkom sveučilištu u Louvainu (Belgija), uz sudjelovanje Oliviera Bonaventure, profesora na istom sveučilištu poznatog po razvoju Multipath TCP podsustava i koda za usmjeravanje IPv6 segmenta za kernel. Linux, kao i koautor 10 RFC-ova i nacrta preko 60 mrežnih specifikacija. Implementacije referenci za klijenta i poslužitelja napisane su u Gou i distribuirane pod licencom Apache 2.0.
Razvoj SSH3 protokola rezultat je potpunog prepisivanja SSH protokola, koje je provela zasebna skupina istraživača neovisno o OpenSSH-u i drugim projektima koji razvijaju implementacije klasičnog SSH protokola. SSH3 implementira semantiku klasičnog SSH protokola putem HTTP mehanizama, omogućujući nekoliko dodatnih značajki i osiguravajući prikrivanje aktivnosti povezanih s SSH-om među ostalim prometom.
Pri korištenju SSH3, poslužitelj se ne razlikuje od HTTP poslužitelja i prihvaća zahtjeve na mrežnom portu 443 (HTTPS), a SSH3 promet se spaja sa standardnim HTTP prometom, što otežava izvođenje napada skeniranjem portova i identifikaciju SSH poslužitelja za bruteforce lozinke. Kako bi se zakomplicirali napadi na poslužitelji Osim što zna postoji li poslužitelj na određenoj IP adresi, SSH3 također može odrediti tajni identifikator SSH3 poslužitelja. Bez ispravnog identifikatora, poslužitelj će obrađivati odgovore kao obični HTTPS poslužitelj i neće naznačiti da je SSH3 veza moguća. Na primjer, ako navedete identifikator "e6ae772cbdaafd6918865cc2ce449dae", možete se povezati s poslužiteljem samo putem URL-a "https://192.0.2.0:443/e6ae772cbdaafd6918865cc2ce449dae". Ako je identifikator netočan, poslužitelj će vratiti standardnu pogrešku "404".
Među proširenim funkcionalnostima SSH3, spominje se mogućnost korištenja X.509 certifikata i OAuth 2.0/OpenID Connect metoda za autentifikaciju, uz klasične SSH metode; podrška za prosljeđivanje UDP portova kroz SSH tunel uz mogućnost prosljeđivanja TCP portova (na primjer, za QUIC, DNS i RTP prosljeđivanje); korištenje proširenih značajki QUIC protokola, kao što su migracija veze bez prekida veze i uspostavljanje višestrukih veza za paralelizaciju prometa na više ruta.
Značajno smanjenje vremena uspostavljanja veze posebno je primjetno pri korištenju SSH3. Povezivanje s SSH3 poslužiteljem zahtijeva samo tri mrežna kruga, dok SSHv2 zahtijeva pet do sedam razmjena paketa. Vremena odziva tipkovnice za uspostavljene SSH3 i SSHv2 sesije su usporediva.
SSH3 koristi TLS 1.3 protokol za šifriranje komunikacijskog kanala i može koristiti klasične metode autentifikacije temeljene na lozinkama i javnim ključevima (RSA i EdDSA/ed25519). SSH3 također može koristiti metode temeljene na OAuth 2.0 protokolu, omogućujući delegiranje autentifikacije trećim stranama, na primjer, za pružanje provjerenih prijava pomoću Google, Microsoft i GitHub računa. Osim SSH ključeva, X.509 certifikati, koji se koriste za HTTPS, mogu se koristiti za povezivanje s poslužiteljima pomoću ključeva.
Objavljena implementacija SSH3 klijenta i poslužitelja podržava mnoge ključne značajke OpenSSH-a, uključujući:
- Podrška za datoteku ~/.ssh/authorized_keys s uključenim postavkama ključeva poslužitelja.
- Mogućnost korištenja konfiguracijske datoteke ~/.ssh/config na strani klijenta. Trenutno su podržani parametri Hostname, User, Port i IdentityFile, dok se ostali zanemaruju.
- Podrška za autentifikaciju veze s poslužiteljem temeljenu na certifikatima.
- Podrška za mehanizam known_hosts (u situacijama kada se ne koriste X.509 certifikati).
- Podrška za klijenta koji radi s OpenSSH agentom (ssh-agent) i automatsko korištenje agenta za autentifikaciju javnim ključem.
- Podrška za preusmjeravanje putem SSH agenta za korištenje lokalnih ključeva na vanjskom poslužitelju.
- Izravno prosljeđivanje TCP porta.
Izvor: opennet.ru
