这是一个创建于 2297 天前的主题,其中的信息可能已经有所发展或是发生改变。
第一次发帖好激动好紧张
最近在码论文,在考虑快速建立安全连接的方案。实际试下来 OpenSSH 从回车到出现服务端提示,无论是 publickey 还是 gssapi-with-mic 都需要好几秒钟时间,而使用 HTTPS 一般包括 HTML 传输也就一两秒钟时间。
仔细看了一下 ssh 的 log,差不多也就是先交换和认证服务端证书,然后交换和认证客户端证书,本质上应该没啥区别,但交换客户端证书的时候好像多了几个数据包,大概两三个回合的样子,send packet: type 50 之后,无论是 publickey 还是 gssapi-with-mic 都是。不知道是不是因为这个原因导致的,但两者的安全需求应该是差不多的,也就是多一个分配 tty 之类的需求吧。
最近在码论文,在考虑快速建立安全连接的方案。实际试下来 OpenSSH 从回车到出现服务端提示,无论是 publickey 还是 gssapi-with-mic 都需要好几秒钟时间,而使用 HTTPS 一般包括 HTML 传输也就一两秒钟时间。
仔细看了一下 ssh 的 log,差不多也就是先交换和认证服务端证书,然后交换和认证客户端证书,本质上应该没啥区别,但交换客户端证书的时候好像多了几个数据包,大概两三个回合的样子,send packet: type 50 之后,无论是 publickey 还是 gssapi-with-mic 都是。不知道是不是因为这个原因导致的,但两者的安全需求应该是差不多的,也就是多一个分配 tty 之类的需求吧。
 |
1
mawenjian 2018-07-20 23:27:28 +08:00
你指的应该是 SSH 第一次登陆的时候,响应速度很慢吧?这个是因为需要等待 DNS 解析超时所致,改个服务器上边的参数就行了。两个协议之间即便真的有性能差异,也不太可能是秒级的。
|
 |
2
wangguoqin1001 OP @mawenjian 不是,每次登陆都不太可能在一两秒之内完成,比 HTTPS 还是有明显差异的
|
 |
3
james2013 2018-07-20 23:33:20 +08:00
使用 SecureCRT 工具,SSH 连接腾讯云的服务器,秒开.
|
|
4
wangguoqin1001 OP 刚才试了下阿里云国内的服务器,貌似确实还是挺快的,之前试的都是国外的服务器
好吧,那就不纠结 SSH 的速度问题了,反正论文也是想说 SSH 够快的 |
|
5
mawenjian 2018-07-21 00:11:18 +08:00
@wangguoqin1001 本来就不是 SSH 连接的问题导致的,SSH 表示这个锅不背
|
 |
6
caola 2018-07-21 00:26:21 +08:00
ECC 密钥交换会比 RSA 的快,同时建议 SSH 密钥也使用 ed25519 算法生成
|
 |
7
billlee 2018-07-21 01:18:37 +08:00
你的 DNS 反查是不是没关?
|
|
8
wangguoqin1001 OP @caola 我还是用的 8192 位的 RSA 呢😂
|
|
9
wangguoqin1001 OP @billlee 貌似并没有卡在哪里,就是每次发包以后等个零点几秒,加起来就要五秒左右了。主要是想用 SSH 来提供通用的加密通道,不知道能不能算是最优化的方案
|
 |
10
lolizeppelin 2018-07-21 01:40:28 +08:00 via Android
关闭 gss 那个配置
|
|
11
wangguoqin1001 OP @lolizeppelin 然而我主要用的是 gssapi😁
|
 |
12
akira 2018-07-21 02:51:58 +08:00
如果只是用来做加密通道的话,那不就是 ssh 隧道了咯,而且通道创建好了以后,是会复用的,链接的耗时只是一次性的呀
|
 |
13
xwyam 2018-07-21 06:45:34 +08:00 via Android
@wangguoqin1001 UseDNS off 试试呢?
|
 |
14
rashawn 2018-07-21 07:23:17 +08:00 via iPhone
你把 ssh 端口换成 443 试试…
|
|
16
wangguoqin1001 OP @akira 简单来说,作为课题的一个副产品,在有 Kerberos 情况下,服务器之间理论上可以不用建立加密通道,直接用 key 通信就好,我需要论证这部分的高效性,相比 SSL 通道。目前来说并没有完成这一部分,所以是需要通信的时候临时建立 SSH 隧道,建立连接的损耗还是需要考虑的
|
 |
17
Greenm 2018-07-21 09:11:13 +08:00 via iPhone
我感觉可能和长城有关
|
 |
18
rrfeng 2018-07-21 09:55:21 +08:00 via Android
https 有很多加速连接的优化措施
ssh 有很多保证安全或者方便使用的拖慢连接的策略... 毕竟场景不同,你自己体会一下。 |
|
19
rrfeng 2018-07-21 09:57:11 +08:00 via Android
不过杠精应该这样回:ssh = ssl + xxx,所以比 ssl 慢,没毛病啊...
|
 |
20
bumz 2018-07-21 10:03:34 +08:00
随机丢包对速度的影响体会下?
|
 |
21
xiaoshenke 2018-07-21 11:36:04 +08:00 via Android
和你的网络条件有关吧…
|
|
22
wangguoqin1001 OP @rrfeng 貌似网上的讨论结果是,SSH 的优化能力比 SSL 强很多
|
|
23
wangguoqin1001 OP @rrfeng SSH 本可以是 SSL + Shell,但两者事实上是同一时间开发的,OpenSSH 和 OpenSSL 的第一版事实上是同一个月发布的,所以可以说是同时造了两次 @轮子哥。后来两者点了不同的科技树,但总的来说 OpenSSL 更 generalize,而 OpenSSH 更专注,所以安全性(木有滴血)和优化能力都更胜一筹。好吧我只是搬运工,为论文凑字数
|
 |
24
jqin4 2018-07-22 14:43:12 +08:00 via iPhone
mosh 了解一下
|
 |
25
tankcong 2022-11-02 15:03:23 +08:00
@wangguoqin1001 请问这句话怎么理解:
>>> 在有 Kerberos 情况下,服务器之间理论上可以不用建立加密通道,直接用 key 通信就好 直接用 Kerberos 的 session key 做后续的对称加密通信吗? |
Select Language