SSH3: SSHv2 sử dụng HTTP/3 và QUIC

 (github.com/francoismichel)
4 điểm bởi GN⁺ 2023-12-17 | 1 bình luận | Chia sẻ qua WhatsApp

SSH3: Secure Shell nhanh hơn và giàu tính năng hơn, sử dụng HTTP/3

  • Tổng quan về SSH3: SSH3 xem xét lại toàn diện giao thức SSH và ánh xạ ngữ nghĩa của nó lên các cơ chế HTTP. SSH3 sử dụng QUIC+TLS1.3 để thiết lập kênh an toàn và tận dụng các cơ chế xác thực HTTP để xác thực người dùng.

SSH3 nhanh hơn

  • Tốc độ thiết lập phiên: SSH3 thiết lập phiên nhanh hơn nhiều so với SSHv2. SSHv2 cần 5~7 lần khứ hồi mạng, trong khi SSH3 chỉ cần 3 lần khứ hồi.

SSH3 an toàn

  • Cơ chế bảo mật: SSH3 dựa vào các cơ chế mạnh mẽ và đã được kiểm chứng lâu năm như TLS 1.3, QUIC và HTTP. Các giao thức này đã được sử dụng rộng rãi trong những ứng dụng quan trọng về bảo mật trên Internet.

Máy chủ SSH3 công khai có thể được ẩn đi

  • Ẩn máy chủ: Máy chủ SSH3 được giấu sau một liên kết bí mật và chỉ phản hồi các nỗ lực xác thực gửi yêu cầu HTTP đến liên kết cụ thể đó. Nhờ vậy, có thể khiến máy chủ SSH3 trở nên vô hình đối với người dùng Internet.

SSH3 đã rất giàu tính năng

  • Tính năng mới: Hỗ trợ chuyển tiếp cổng UDP, sử dụng chứng chỉ X.509, ẩn máy chủ, xác thực người dùng không cần khóa (OpenID Connect), v.v.
  • Triển khai các tính năng của OpenSSH: Đã triển khai những tính năng phổ biến của OpenSSH như phân tích ~/.ssh/authorized_keys, phân tích ~/.ssh/config, xác thực máy chủ dựa trên chứng chỉ, cơ chế known_hosts, tự động sử dụng ssh-agent, chuyển tiếp SSH agent, chuyển tiếp cổng TCP, v.v.

Cài đặt SSH3

  • Biên dịch từ mã nguồn: Cần phiên bản Golang mới nhất, sau đó tải mã nguồn và thực hiện các bước biên dịch binary.
  • Triển khai máy chủ SSH3: Cần triển khai máy chủ SSH3 trên host, đồng thời cần chứng chỉ X.509 và khóa riêng. Có cung cấp cách dùng file thực thi ssh3-server.
  • Sử dụng client SSH3: Khi máy chủ SSH3 đã chạy, có thể kết nối bằng client SSH3. Có cung cấp cách dùng file thực thi ssh3.

Ý kiến của GN⁺

  • Tầm quan trọng: SSH3 mang lại khả năng thiết lập phiên nhanh hơn và tăng cường bảo mật so với giao thức SSH hiện có. Đặc biệt, phương thức xác thực mới dựa trên HTTP/3 và tính năng ẩn máy chủ đem lại lợi thế lớn về bảo mật.
  • Điểm thú vị: Với những người dùng SSH hiện tại, việc vẫn có thể sử dụng nguyên các tính năng phổ biến của OpenSSH là một điểm hấp dẫn. Ngoài ra, các tính năng mới như chuyển tiếp cổng UDP mở ra những khả năng mới cho quản trị viên mạng và người dùng.
  • Sự hấp dẫn: Tính chất thử nghiệm và các tính năng mới của SSH3 mang đến niềm vui khám phá và thử nghiệm công cụ mới cho giới chuyên môn IT. Phương thức xác thực không cần khóa qua OpenID Connect có tiềm năng thay đổi mạnh mẽ trải nghiệm người dùng.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-12-17
Ý kiến trên Hacker News
  • Có nhiều ý kiến khác nhau về SSH over QUIC:
    • Một người dùng cho rằng SSH over QUIC là ý tưởng rất hợp lý và bày tỏ quan điểm tích cực về việc dùng kênh QUIC chạy trên UDP thay cho TCP. Tuy nhiên, họ đặt câu hỏi HTTP/3 phù hợp ở điểm nào trong mô hình này, hay liệu nó chỉ đơn thuần làm tăng thêm overhead.
    • Một người dùng khác chỉ ra rằng mô hình bảo mật của HTTP và SSH là khác nhau, cho rằng QUIC phù hợp với HTTP nhưng chưa chắc phù hợp với SSH. Họ cũng lo ngại rằng các công nghệ như chứng chỉ x509 hoặc OAuth có thể không thích hợp cho SSH.
    • Một người dùng khác nữa cho rằng việc thêm HTTP/3 không mang lại lợi ích nào ngoài việc "giấu" máy chủ SSH dưới đường dẫn URL, và lập luận rằng host key SSH hiện có, SSHFP và TOFU an toàn hơn.
    • Có người chỉ ra rằng đây là một dự án cá nhân, không liên quan đến OpenSSH hay SSH3 RFC của IETF.
    • Cũng có người nhắc đến những điều họ mong muốn ở phiên bản 3 của giao thức SSH, cho rằng cần có SNI được mã hóa hoặc các khối metadata được chuẩn hóa.
    • Một số người chia sẻ kinh nghiệm dùng SSH qua WebSocket và bày tỏ sự quan tâm đến việc hỗ trợ nhiều phương thức truyền tải khác nhau.
    • Có người chỉ ra rằng vẫn thiếu benchmark thể hiện rõ các lợi ích tiềm năng của QUIC, đồng thời nhắc rằng kích thước cửa sổ cố định của OpenSSH đang giới hạn băng thông.
    • Có người giải thích về SSHv2 over HTTP/3, nói rằng đã có nhiều máy chủ và máy khách SSH khác nhau, và dự án này không đưa vào cơ chế mã hóa mới. Người này cũng bày tỏ hy vọng dự án sẽ thành công, đồng thời chỉ trích sự kháng cự với thay đổi của OpenSSH.
    • Cũng có người chia sẻ thông tin về việc tunnel UDP hoặc TCP thông qua giao thức WebSocket.
    • Có người đề cập rằng kết nối SSH qua HTTP/3 có thể trông giống lưu lượng truy cập web tiêu chuẩn và có khả năng vượt qua tường lửa của Trung Quốc.

Những ý kiến đa dạng này tạo nên một cuộc thảo luận thú vị về khái niệm SSH over QUIC, đề cập đến các ưu nhược điểm kỹ thuật cũng như những cân nhắc về mặt bảo mật.