SSH3: SSHv2 ที่ใช้ HTTP/3 และ QUIC

 (github.com/francoismichel)
4 คะแนน โดย GN⁺ 2023-12-17 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

SSH3: เชลล์ปลอดภัยที่เร็วกว่าและมีความสามารถมากขึ้นด้วย HTTP/3

  • ภาพรวมของ SSH3: SSH3 เป็นการทบทวนโปรโตคอล SSH ใหม่ทั้งหมด โดยแมปความหมายของมันไว้บนกลไกของ HTTP SSH3 ใช้ QUIC+TLS1.3 เพื่อสร้างช่องทางที่ปลอดภัย และใช้กลไกการยืนยันตัวตนของ HTTP สำหรับการพิสูจน์ตัวตนผู้ใช้

SSH3 เร็วกว่า

  • ความเร็วในการตั้งค่าเซสชัน: SSH3 ตั้งค่าเซสชันได้เร็วกว่า SSHv2 อย่างมาก โดย SSHv2 ต้องใช้เวลาไป-กลับของเครือข่าย 5~7 ครั้ง แต่ SSH3 ต้องการเพียง 3 ครั้งเท่านั้น

SSH3 ปลอดภัย

  • กลไกด้านความปลอดภัย: SSH3 พึ่งพากลไกที่แข็งแกร่งและผ่านการพิสูจน์มาอย่างยาวนาน เช่น TLS 1.3, QUIC และ HTTP โปรโตคอลเหล่านี้ถูกใช้อย่างแพร่หลายในแอปพลิเคชันบนอินเทอร์เน็ตที่ให้ความสำคัญกับความปลอดภัยอยู่แล้ว

สามารถซ่อนเซิร์ฟเวอร์ SSH3 ที่เปิดเผยต่อสาธารณะได้

  • การซ่อนเซิร์ฟเวอร์: เซิร์ฟเวอร์ SSH3 สามารถถูกซ่อนไว้หลังลิงก์ลับ และจะตอบสนองเฉพาะความพยายามยืนยันตัวตนที่ส่งคำขอ HTTP ไปยังลิงก์นั้นเท่านั้น วิธีนี้ทำให้เซิร์ฟเวอร์ SSH3 มองไม่เห็น สำหรับผู้ใช้อินเทอร์เน็ตทั่วไปได้

SSH3 มีความสามารถครบถ้วนแล้ว

  • ความสามารถใหม่: รองรับ UDP port forwarding, การใช้ใบรับรอง X.509, การซ่อนเซิร์ฟเวอร์ และการยืนยันตัวตนผู้ใช้แบบไม่ใช้กุญแจ (OpenID Connect)
  • การรองรับความสามารถของ OpenSSH: รองรับการแยกวิเคราะห์ ~/.ssh/authorized_keys, การแยกวิเคราะห์ ~/.ssh/config, การยืนยันตัวตนเซิร์ฟเวอร์ด้วยใบรับรอง, กลไก known_hosts, การใช้งาน ssh-agent อัตโนมัติ, SSH agent forwarding, TCP port forwarding และความสามารถยอดนิยมอื่น ๆ ของ OpenSSH

การติดตั้ง SSH3

  • คอมไพล์จากซอร์ส: ต้องใช้ Golang เวอร์ชันล่าสุด และต้องผ่านขั้นตอนดาวน์โหลดซอร์สโค้ดและคอมไพล์ไบนารี
  • การติดตั้งใช้งานเซิร์ฟเวอร์ SSH3: ต้องนำเซิร์ฟเวอร์ SSH3 ไปติดตั้งบนโฮสต์ และต้องมีใบรับรอง X.509 กับ private key โดยมีวิธีใช้งานไฟล์ปฏิบัติการ ssh3-server ให้ไว้
  • การใช้งานไคลเอนต์ SSH3: เมื่อเซิร์ฟเวอร์ SSH3 ทำงานแล้ว ก็สามารถเชื่อมต่อด้วยไคลเอนต์ SSH3 ได้ โดยมีวิธีใช้งานไฟล์ปฏิบัติการ ssh3 ให้ไว้

ความเห็นของ GN⁺

  • ความสำคัญ: SSH3 มอบการตั้งค่าเซสชันที่เร็วขึ้นและเสริมความปลอดภัยเมื่อเทียบกับโปรโตคอล SSH แบบเดิม โดยเฉพาะวิธียืนยันตัวตนรูปแบบใหม่บนพื้นฐาน HTTP/3 และความสามารถในการซ่อนเซิร์ฟเวอร์ที่ช่วยด้านความปลอดภัยได้มาก
  • ความน่าสนใจ: สำหรับผู้ใช้ SSH เดิม ความสามารถในการใช้ฟีเจอร์ยอดนิยมของ OpenSSH ได้เหมือนเดิมถือว่าน่าสนใจ นอกจากนี้ ฟีเจอร์ใหม่อย่าง UDP port forwarding ยังเปิดความเป็นไปได้ใหม่ให้กับผู้ดูแลระบบเครือข่ายและผู้ใช้งาน
  • ความสนุก: ความเป็นเชิงทดลองของ SSH3 และความสามารถใหม่ ๆ มอบความสนุกในการสำรวจและทดลองเครื่องมือใหม่ให้กับผู้เชี่ยวชาญด้านไอที และการยืนยันตัวตนแบบไม่ใช้กุญแจผ่าน OpenID Connect ก็มีศักยภาพที่จะเปลี่ยนประสบการณ์ผู้ใช้อย่างมาก

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-12-17
ความคิดเห็นจาก Hacker News
  • มีความเห็นที่หลากหลายเกี่ยวกับ SSH over QUIC:
    • ผู้ใช้คนหนึ่งมองว่า SSH over QUIC สมเหตุสมผลมาก และมีมุมมองเชิงบวกต่อการใช้ช่องทาง QUIC บน UDP แทน TCP อย่างไรก็ตาม เขาตั้งคำถามว่า HTTP/3 เข้ามาเกี่ยวข้องอย่างไร หรือแค่เพิ่มโอเวอร์เฮดโดยไม่จำเป็น
    • ผู้ใช้อีกคนชี้ว่าโมเดลความปลอดภัยของ HTTP และ SSH แตกต่างกัน QUIC อาจเหมาะกับ HTTP แต่ยังไม่แน่ใจว่าจะเหมาะกับ SSH หรือไม่ นอกจากนี้ยังกังวลว่าเทคโนโลยีอย่างใบรับรอง x509 หรือ OAuth อาจไม่เหมาะกับ SSH
    • ผู้ใช้อีกคนคิดว่าการเพิ่ม HTTP/3 ไม่มีข้อดีนอกจากใช้เพื่อ "ซ่อน" เซิร์ฟเวอร์ SSH ไว้หลังเส้นทาง URL และยืนยันว่าวิธีเดิมอย่าง SSH host key, SSHFP และ TOFU ปลอดภัยกว่า
    • ผู้ใช้คนหนึ่งชี้ว่าโปรเจ็กต์นี้เป็นโปรเจ็กต์ส่วนตัวที่ไม่เกี่ยวข้องกับ OpenSSH หรือ SSH3 RFC ของ IETF
    • ยังมีผู้ใช้ที่พูดถึงสิ่งที่อยากเห็นในโปรโตคอล SSH เวอร์ชัน 3 โดยมองว่าควรมี encrypted SNI หรือบล็อกเมทาดาทาที่เป็นมาตรฐาน
    • มีผู้ใช้ที่แชร์ประสบการณ์การใช้ SSH ผ่าน WebSocket และแสดงความสนใจต่อการรองรับวิธีขนส่งข้อมูลที่หลากหลาย
    • มีผู้ใช้ที่ชี้ว่าขาดเบนช์มาร์กที่แสดงประโยชน์ที่เป็นไปได้ของ QUIC และกล่าวว่าขนาดหน้าต่างคงที่ของ OpenSSH เป็นข้อจำกัดด้านแบนด์วิดท์
    • มีผู้ใช้ที่อธิบาย SSHv2 over HTTP/3 พร้อมทั้งบอกว่ามีทั้งเซิร์ฟเวอร์และไคลเอนต์ SSH อยู่หลากหลาย และโปรเจ็กต์นี้ไม่ได้เพิ่มระบบเข้ารหัสแบบใหม่ เขายังแสดงความหวังว่าโปรเจ็กต์จะประสบความสำเร็จ และวิจารณ์การต่อต้านการเปลี่ยนแปลงของ OpenSSH
    • มีผู้ใช้ที่แชร์ข้อมูลเกี่ยวกับการทำ UDP หรือ TCP tunneling ผ่านโปรโตคอล WebSocket
    • มีผู้ใช้ที่กล่าวว่าการเชื่อมต่อ SSH ผ่าน HTTP/3 อาจดูเหมือนทราฟฟิกเว็บไซต์มาตรฐาน และอาจมีโอกาสใช้หลบเลี่ยงไฟร์วอลล์ของจีนได้

ความคิดเห็นที่หลากหลายเหล่านี้ก่อให้เกิดการถกเถียงที่น่าสนใจเกี่ยวกับแนวคิดของ SSH over QUIC โดยครอบคลุมทั้งข้อดีข้อเสียทางเทคนิคและประเด็นด้านความปลอดภัย