SSH3: SSHv2 yang Menggunakan HTTP/3 dan QUIC

 (github.com/francoismichel)
4 poin oleh GN⁺ 2023-12-17 | 1 komentar | Bagikan ke WhatsApp

SSH3: Shell aman yang lebih cepat dan lebih kaya fitur dengan HTTP/3

  • Ikhtisar SSH3: SSH3 meninjau ulang protokol SSH secara menyeluruh dan memetakan semantiknya ke atas mekanisme HTTP. SSH3 menggunakan QUIC+TLS1.3 untuk membangun kanal aman dan memanfaatkan mekanisme autentikasi HTTP untuk autentikasi pengguna.

SSH3 lebih cepat

  • Kecepatan penyiapan sesi: SSH3 jauh lebih cepat dalam menyiapkan sesi dibandingkan SSHv2. SSHv2 memerlukan 5~7 kali perjalanan bolak-balik jaringan, sedangkan SSH3 hanya memerlukan 3 kali perjalanan bolak-balik.

SSH3 aman

  • Mekanisme keamanan: SSH3 bergantung pada mekanisme yang kuat dan telah teruji lama seperti TLS 1.3, QUIC, dan HTTP. Protokol-protokol ini sudah banyak digunakan pada aplikasi penting keamanan di internet.

Server SSH3 publik dapat disembunyikan

  • Penyembunyian server: Server SSH3 disembunyikan di balik tautan rahasia dan hanya merespons percobaan autentikasi yang melakukan permintaan HTTP ke tautan tertentu. Dengan ini, server SSH3 dapat dibuat tidak terlihat oleh pengguna internet.

SSH3 sudah kaya fitur

  • Fitur baru: Mendukung UDP port forwarding, penggunaan sertifikat X.509, penyembunyian server, serta autentikasi pengguna tanpa kunci (OpenID Connect).
  • Implementasi fitur OpenSSH: Mengimplementasikan fitur-fitur populer OpenSSH seperti parsing ~/.ssh/authorized_keys, parsing ~/.ssh/config, autentikasi server berbasis sertifikat, mekanisme known_hosts, penggunaan otomatis ssh-agent, SSH agent forwarding, TCP port forwarding, dan lainnya.

Menginstal SSH3

  • Kompilasi dari source: Memerlukan versi Golang terbaru, lalu melalui langkah mengunduh source code dan mengompilasi biner.
  • Deployment server SSH3: Server SSH3 harus di-deploy ke host, dan memerlukan sertifikat X.509 serta private key. Disediakan cara penggunaan executable ssh3-server.
  • Menggunakan klien SSH3: Setelah server SSH3 berjalan, Anda dapat terhubung menggunakan klien SSH3. Disediakan cara penggunaan executable ssh3.

Opini GN⁺

  • Pentingnya: SSH3 menawarkan penyiapan sesi yang lebih cepat dan penguatan keamanan dibandingkan protokol SSH yang ada. Khususnya, metode autentikasi baru berbasis HTTP/3 dan fitur penyembunyian server memberi keuntungan besar dalam keamanan.
  • Menarik: Bagi pengguna SSH yang sudah ada, kemampuan untuk tetap menggunakan fitur-fitur populer OpenSSH menjadi daya tarik tersendiri. Selain itu, fitur baru seperti UDP port forwarding membuka kemungkinan baru bagi administrator jaringan dan pengguna.
  • Seru: Sifat eksperimental SSH3 dan fitur-fitur barunya memberi para profesional TI kesenangan dalam mengeksplorasi dan bereksperimen dengan alat baru. Metode autentikasi tanpa kunci melalui OpenID Connect memiliki potensi untuk mengubah pengalaman pengguna secara revolusioner.

Bacaan terkait

1 komentar

 
GN⁺ 2023-12-17
Komentar Hacker News
  • Ada beragam pendapat tentang SSH over QUIC:
    • Seorang pengguna menganggap SSH over QUIC sangat masuk akal, dan menyampaikan pandangan positif tentang penggunaan kanal QUIC di atas UDP alih-alih TCP. Namun, ia mempertanyakan bagaimana HTTP/3 cocok di sini, dan apakah itu hanya menambah overhead.
    • Pengguna lain menunjukkan bahwa model keamanan HTTP dan SSH berbeda, serta menyebutkan bahwa QUIC cocok untuk HTTP tetapi belum tentu untuk SSH. Ia juga mengkhawatirkan bahwa teknologi seperti sertifikat x509 atau OAuth mungkin tidak cocok untuk SSH.
    • Pengguna lain lagi berpendapat bahwa menambahkan HTTP/3 tidak memberi banyak manfaat selain "menyembunyikan" server SSH di balik path URL, dan mengeklaim bahwa host key SSH yang ada, SSHFP, atau TOFU lebih aman.
    • Seorang pengguna menyoroti bahwa proyek ini adalah proyek pribadi yang tidak terkait dengan OpenSSH maupun RFC SSH3 dari IETF.
    • Ada juga pengguna yang menyebut daftar harapan untuk versi 3 dari protokol SSH, dan berargumen bahwa SNI terenkripsi atau blok metadata yang distandardisasi dibutuhkan.
    • Ada pula pengguna yang membagikan pengalaman menggunakan SSH melalui WebSocket, serta menyatakan ketertarikan pada dukungan untuk berbagai metode transport.
    • Seorang pengguna menunjukkan kurangnya benchmark yang memperlihatkan manfaat potensial QUIC, dan menyebut bahwa ukuran jendela tetap OpenSSH membatasi bandwidth.
    • Seorang pengguna menjelaskan SSHv2 over HTTP/3, menyebut bahwa ada berbagai server dan klien SSH, serta menerangkan bahwa proyek ini tidak memperkenalkan kriptografi baru. Pengguna ini juga berharap proyek tersebut berhasil, sambil mengkritik resistensi OpenSSH terhadap perubahan.
    • Ada juga pengguna yang membagikan informasi tentang tunneling UDP atau TCP melalui protokol WebSocket.
    • Seorang pengguna menyebut bahwa koneksi SSH melalui HTTP/3 bisa terlihat seperti lalu lintas situs web standar, dan menyinggung kemungkinan untuk melewati firewall Tiongkok.

Beragam pandangan ini menghadirkan diskusi menarik tentang konsep SSH over QUIC, mencakup kelebihan dan kekurangan teknis serta pertimbangan dari sisi keamanan.