SSH3: SSHv2 mit HTTP/3 und QUIC

 (github.com/francoismichel)
4 Punkte von GN⁺ 2023-12-17 | 1 Kommentare | Auf WhatsApp teilen

SSH3: Eine schnellere und funktionsreichere Secure Shell mit HTTP/3

  • Überblick über SSH3: SSH3 überdenkt das SSH-Protokoll grundlegend und bildet seine Semantik auf Mechanismen von HTTP ab. SSH3 verwendet QUIC+TLS1.3 zum Aufbau sicherer Kanäle und nutzt HTTP-Authentifizierungsmechanismen für die Benutzerauthentifizierung.

SSH3 ist schneller

  • Geschwindigkeit beim Sitzungsaufbau: SSH3 ist beim Sitzungsaufbau deutlich schneller als SSHv2. SSHv2 benötigt 5 bis 7 Netzwerk-Roundtrips, SSH3 dagegen nur 3.

SSH3 ist sicher

  • Sicherheitsmechanismen: SSH3 stützt sich auf starke und seit Langem erprobte Mechanismen wie TLS 1.3, QUIC und HTTP. Diese Protokolle werden bereits breit in sicherheitskritischen Anwendungen im Internet eingesetzt.

Öffentliche SSH3-Server können verborgen werden

  • Server-Verbergung: SSH3-Server können hinter geheimen Links verborgen werden und antworten nur auf Authentifizierungsversuche, die eine HTTP-Anfrage an einen bestimmten Link senden. Dadurch können SSH3-Server für Internetnutzer unsichtbar gemacht werden.

SSH3 ist bereits funktionsreich

  • Neue Funktionen: UDP-Port-Forwarding, die Verwendung von X.509-Zertifikaten, Server-Verbergung und schlüssellose Benutzerauthentifizierung mit OpenID Connect sind möglich.
  • Umgesetzte OpenSSH-Funktionen: Parsing von ~/.ssh/authorized_keys, Parsing von ~/.ssh/config, zertifikatsbasierte Serverauthentifizierung, der known_hosts-Mechanismus, automatische Nutzung von ssh-agent, SSH-Agent-Forwarding, TCP-Port-Forwarding und weitere beliebte OpenSSH-Funktionen sind implementiert.

SSH3 installieren

  • Aus dem Quellcode kompilieren: Erforderlich ist eine aktuelle Golang-Version; anschließend werden der Quellcode heruntergeladen und die Binärdateien kompiliert.
  • SSH3-Server bereitstellen: Der SSH3-Server muss auf einem Host bereitgestellt werden; dafür werden ein X.509-Zertifikat und ein privater Schlüssel benötigt. Eine Verwendung des ausführbaren Programms ssh3-server wird beschrieben.
  • SSH3-Client verwenden: Sobald der SSH3-Server läuft, kann mit dem SSH3-Client eine Verbindung hergestellt werden. Eine Verwendung des ausführbaren Programms ssh3 wird beschrieben.

Meinung von GN⁺

  • Bedeutung: SSH3 bietet im Vergleich zum bestehenden SSH-Protokoll einen schnelleren Sitzungsaufbau und stärkere Sicherheit. Besonders die neuen HTTP/3-basierten Authentifizierungsverfahren und die Möglichkeit, Server zu verbergen, bringen große Sicherheitsvorteile.
  • Interessant: Für bestehende SSH-Nutzer ist attraktiv, dass beliebte OpenSSH-Funktionen weiterhin genutzt werden können. Außerdem eröffnen neue Funktionen wie UDP-Port-Forwarding Netzwerkadministratoren und Nutzern neue Möglichkeiten.
  • Spannend: Der experimentelle Charakter von SSH3 und seine neuen Funktionen geben IT-Fachleuten die Möglichkeit, neue Werkzeuge zu erkunden und zu testen. Die schlüssellose Authentifizierung über OpenID Connect hat das Potenzial, das Nutzererlebnis grundlegend zu verändern.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-12-17
Hacker-News-Kommentare
  • Die Meinungen zu SSH über QUIC gehen auseinander:
    • Ein Nutzer hält SSH über QUIC für sehr sinnvoll und äußert sich positiv zur Nutzung eines QUIC-Kanals über UDP statt TCP. Er fragt sich jedoch, wie HTTP/3 hier hineinpasst und ob es nicht einfach nur zusätzlichen Overhead verursacht.
    • Ein anderer Nutzer weist darauf hin, dass sich die Sicherheitsmodelle von HTTP und SSH unterscheiden, und merkt an, dass QUIC zwar gut zu HTTP passe, er sich bei SSH aber nicht sicher sei. Außerdem äußert er Bedenken, dass Technologien wie x509-Zertifikate oder OAuth für SSH ungeeignet sein könnten.
    • Ein weiterer Nutzer meint, dass das Hinzufügen von HTTP/3 außer dem „Verstecken“ des SSH-Servers hinter einem URL-Pfad keinen Vorteil bringe, und argumentiert, dass bestehende SSH-Hostkeys, SSHFP oder TOFU sicherer seien.
    • Ein Nutzer weist darauf hin, dass dieses Projekt ein Einzelprojekt ist und weder mit OpenSSH noch mit dem SSH3-RFC der IETF zusammenhängt.
    • Es gibt auch Nutzer, die Wünsche für Version 3 des SSH-Protokolls äußern und argumentieren, dass verschlüsseltes SNI oder ein standardisierter Metadatenblock nötig seien.
    • Ein Nutzer teilt Erfahrungen mit SSH über WebSocket und zeigt Interesse an der Unterstützung verschiedener Transportwege.
    • Ein Nutzer bemängelt, dass Benchmarks fehlen, die die potenziellen Vorteile von QUIC zeigen, und erwähnt, dass die feste Fenstergröße von OpenSSH die Bandbreite begrenze.
    • Ein Nutzer erläutert SSHv2 über HTTP/3 und erklärt, dass es verschiedene SSH-Server und -Clients gebe und dieses Projekt keine neue Verschlüsselung einführe. Er hofft zudem auf den Erfolg des Projekts und kritisiert den Widerstand gegen Veränderungen bei OpenSSH.
    • Ein weiterer Nutzer teilt Informationen über UDP- oder TCP-Tunneling über das WebSocket-Protokoll.
    • Ein Nutzer erwähnt, dass SSH-Verbindungen über HTTP/3 wie normaler Website-Traffic aussehen könnten und damit möglicherweise Chinas Firewall umgehen könnten.

Diese unterschiedlichen Meinungen bieten eine interessante Diskussion über das Konzept von SSH über QUIC und behandeln technische Vor- und Nachteile sowie Sicherheitsaspekte.