O nouă versiune de SSH a fost lansată recent, SSH3, care a fost reînnoită cu HTTP folosind QUIC+TLS1.3 pentru securitate și Autorizarea HTTP pentru autentificarea utilizatorilor.
SSH3 folosește TLS 1.3, QUIC și HTTP pentru canale securizate prin adoptarea unor metode dovedite de securitate pe internet din comerțul electronic și bancar.
Acceptă metode de autentificare standard și noi, cum ar fi OAuth 2.0, permițând conectarea cu conturi de la Google, Microsoft și Github.
SSH3 necesită o revizuire criptografică extinsă înainte de a fi implementată la nivel global. Open-source pentru feedback-ul comunității, nu este recomandat pentru producție fără evaluare.
Testarea acestuia în sandbox/rețele private este recomandată din cauza riscurilor potențiale. SSH3 oferă securitate împotriva atacurilor de scanare și dicționar, ascunzându-se în spatele unei legături secrete care îmbunătățește protecția împotriva accesului neautorizat.
Îmbunătățirile SSH3
Noua versiune aduce o multitudine de îmbunătățiri:
- Stabilirea sesiunii semnificativ mai rapidă.
- Noile metode de autentificare HTTP, cum ar fi OAuth 2.0 și OpenID Connect, sunt în plus față de autentificarea SSH clasică.
- Rezistență la atacurile de scanare porturi: serverul dumneavoastră SSH3 poate fi făcut invizibil pentru alți utilizatori de Internet.
- Redirecționarea portului UDP, pe lângă redirecționarea clasică a portului TCP.
- Toate caracteristicile permise de protocolul modern QUIC, inclusiv migrarea conexiunii (în curând) și conexiunile multipath.
Implementarea funcțiilor OpenSSH
Iată câteva dintre funcțiile OpenSSH implementate:
- Analizează ~/.ssh/authorized_keys pe server
- Autentificare pe server pe bază de certificat
- mecanismul gazde cunoscute atunci când certificatele X.509 nu sunt utilizate.
- Utilizarea automată a agentului ssh pentru autentificarea cheii publice
- Redirecționarea agentului SSH pentru a utiliza cheile locale pe serverul dumneavoastră la distanță
- Redirecționarea directă a portului TCP (redirecționarea inversă a portului va fi implementată în viitor)
- Proxy jump (a se vedea parametrul -proxy-jump). Dacă A este un client SSH3 și B și C sunt ambele servere SSH3, vă puteți conecta de la A la C folosind B ca gateway/proxy. Proxy-ul folosește redirecționarea UDP pentru a redirecționa pachetele QUIC de la A la C, astfel încât B nu poate decripta traficul A<->C traficul SSH3.
- Analizează ~/.ssh/config pe client și gestionează opțiunile de configurare Hostname, User, Port și IdentityFile (celelalte opțiuni sunt în prezent ignorate). De asemenea, analizează un nou UDPProxyJump care se comportă similar cu ProxyJump de la OpenSSH.
Dezvoltatorii caută colaborarea pentru progresul responsabil al SSH3, invitând experți în securitate pentru revizuirea codului și feedback. Încurajat să se angajeze cu organismele de standardizare pentru procesele formale IETF/IRTF.
Prin efort colectiv, ei urmăresc să îmbunătățească SSH3 pentru o producție sigură, dar recunosc necesitatea unei analize criptografice amănunțite și a unei recunoașteri de către autoritățile de securitate pentru pretenții rezonabile de securitate.