Radna grupa internet inženjering (IETF), koja je odgovorna za razvoj internetskih protokola i arhitekture, je dovršio formiranje RFC-a za protokol Network Time Security (NTS) i objavio je specifikaciju povezanu s identifikatorom RFC 8915.
RFC dobio status "Standardnog prijedloga", nakon čega će započeti rad na davanju RFC statusa nacrta standarda, što zapravo znači potpunu stabilizaciju protokola i uzimajući u obzir sve dane komentare.
NTS standardizacija važan je korak za poboljšanje sigurnosti usluga sinhronizacije vremena i zaštiti korisnike od napada koji oponašaju NTP poslužitelj na koji se klijent povezuje.
Manipuliranje napadačima da postave pogrešno vrijeme može se koristiti za ugrožavanje sigurnosti drugih vremenski osjetljivih protokola, poput TLS-a. Na primjer, promjena vremena može dovesti do pogrešne interpretacije podataka o valjanosti za TLS certifikate.
Do sada, NTP i simetrično šifriranje komunikacijskih kanala nisu garantirali da klijent stupa u interakciju s ciljem a ne s lažnim NTP serverom, a provjera autentičnosti ključa nije postala uobičajena jer je previše komplicirana za konfiguriranje.
U posljednjih nekoliko mjeseci vidjeli smo mnogo korisnika naše vremenske usluge, ali vrlo malo njih koristi Network Time Security. To računare čini ranjivim na napade koji oponašaju server koji koriste za dobivanje NTP-a. Dio problema bio je nedostatak dostupnih NTP demona koji su podržavali NTS. Taj je problem sada riješen: i chrony i ntpsec podržavaju NTS.
nts koristi elemente infrastrukture javnog ključa (PKI) i omogućava upotrebu TLS-a i ovjerenog šifriranja s pridruženim podacima (AEAD) za kriptografsku zaštitu komunikacije klijent-server putem mrežnog protokola vremena (NTP).
nts uključuje dva odvojena protokola: NTS-KE (Uspostavljanje NTS ključa za rukovanje početnom autentifikacijom i pregovaranjem o ključu preko TLS-a) i NTS-EF (NTS ekstenzijska polja, odgovorna za šifriranje i autentifikaciju sesije vremenske sinhronizacije).
nts dodajte različita proširena polja u NTP pakete i pohranjuje sve podatke o stanju samo na klijentskoj strani pomoću mehanizma za prijenos kolačića. Mrežni port 4460 posvećen je rukovanju NTS vezama.
Vrijeme je temelj sigurnosti mnogih protokola, poput TLS-a, na koje se oslanjamo da bismo zaštitili svoj život na mreži. Bez tačnog vremena ne postoji način da se utvrdi da li su akreditivi istekli ili ne. Odsustvo lako implementiranog protokola sigurnog vremena predstavlja problem za internetsku sigurnost.
Prve implementacije standardiziranog NTS-a predložene su u nedavno objavljenim verzijama NTPsec 1.2.0 i Chrony 4.0.
Chrony nudi zasebnu implementaciju NTP klijenta i servera koja se koristi za sinhronizaciju tačnog vremena na različitim Linux distribucijama, uključujući Fedoru, Ubuntu, SUSE / openSUSE i RHEL / CentOS.
NTPsec je razvijen pod vodstvom Erica S. Raymonda i vilica je referentne implementacije NTPv4 protokola (NTP Classic 4.3.34), usmjerenog na redizajniranje baze koda radi poboljšanja sigurnosti (čišćenje zastarjelog koda, metode sprječavanja upada i zaštićene funkcije) rada s memorijom i lancima).
Bez NTS-a ili simetrične provjere autentičnosti ne postoji garancija da vaše računalo zapravo razgovara NTP-om sa računarom za koji mislite da jeste. Simetričnu provjeru autentičnosti je teško i bolno konfigurirati, ali donedavno je bila jedini siguran i standardiziran mehanizam za provjeru autentičnosti NTP-a. NTS koristi rad koji ulazi u infrastrukturu javnog javnog ključa za autentifikaciju NTP servera i osigurava da kada konfigurišete računar da razgovara s time.cloudflare.com, to je server sa kojeg vaš računar dobija vrijeme.
Ako želite znati više o tome, možete provjeriti detalje Na sledećem linku.