El Grup de treball de enginyeria d'Internet (IETF), Que és responsable de el desenvolupament de protocols i arquitectura d'Internet, ha completat la formació d'un RFC per al protocol Network Time Security (NTS) i ha publicat l'especificació associada amb l'identificador RFC 8915.
la RFC rebre l'estatus de «Proposta de Estàndard», Després de la qual cosa es començarà a treballar per donar-li a la RFC l'estatus de Esborrany de Room, el que en realitat vol dir una completa estabilització de el protocol i tenint en compte tots els comentaris realitzats.
L'estandardització de NTS és un pas important per millorar la seguretat dels serveis de sincronització horària i protegir els usuaris d'atacs que imiten el servidor NTP a què es connecta el client.
La manipulació dels atacants per establir l'hora incorrecta es pot utilitzar per a comprometre la seguretat d'altres protocols sensibles a el temps, com TLS. Per exemple, canviar l'hora pot donar lloc a una mala interpretació de les dades de validesa dels certificats TLS.
Fins ara, el NTP i el xifrat simètric dels canals de comunicació no permetien garantir que el client interactuï amb l'objectiu i no amb un servidor NTP falsificat, i l'autenticació de claus no s'ha generalitzat, ja que és massa complicat de configurar.
Durant els últims mesos, hem vist a molts usuaris del nostre servei horari, però molt pocs utilitzen Network Time Security. Això deixa a les computadores vulnerables a atacs que imiten el servidor que utilitzen per obtenir NTP. Part de el problema va ser la manca de dimonis NTP disponibles que admetessin NTS. Aquest problema ja està resolt: chrony i ntpsec tots dos NTS de suport.
NTS utilitza elements d'infraestructura de clau pública (PKI) i permet l'ús de TLS i xifrat autenticat amb dades associades (AEAD) per protegir criptogràficament les comunicacions client-servidor a través del protocol de temps de xarxa (NTP).
NTS inclou dos protocols separats: NTS-KE (Establiment de claus NTS per gestionar l'autenticació inicial i negociació de claus sobre TLS) i NTS-EF (Camps d'extensió NTS, responsables de xifrar i autenticar una sessió de sincronització horària).
NTS afegeix diversos camps estesos als paquets NTP i emmagatzema tota la informació d'estat només al costat de client mitjançant un mecanisme de transmissió de cookies. El port de xarxa 4460 està dedicat a gestionar connexions NTS.
El temps és la base de la seguretat de molts dels protocols, com TLS, en els quals confiem per protegir les nostres vides en línia. Sense una hora exacta, no hi ha manera de determinar si les credencials han caducat o no. L'absència d'un protocol de temps segur de fàcil implementació ha estat un problema per a la seguretat d'Internet.
Les primeres implementacions de l'NTS estandarditzat es van proposar en les versions recentment publicades d'NTPsec 1.2.0 i Chrony 4.0.
Chrony proporciona una implementació independent de client i servidor NTP que s'utilitza per sincronitzar l'hora exacta en diverses distribucions de Linux, incloses Fedora, Ubuntu, SUSE / openSUSE i RHEL / CentOS.
NTPsec es desenvolupa sota el lideratge d'Eric S. Raymond i és una bifurcació de la implementació de referència de l'protocol NTPv4 (NTP Classic 4.3.34), enfocat a redissenyar la base de codi per millorar la seguretat (neteja de codi obsolet, mètodes de prevenció d'intrusions i funcions protegides) treballar amb memòria i cadenes).
Sense NTS o autenticació de clau simètrica, no es garanteix que el seu ordinador estigui realment parlant NTP amb l'ordinador que vostè creu que és. L'autenticació de clau simètrica és difícil i dolorosa de configurar, però fins fa poc era l'únic mecanisme segur i estandarditzat per autenticar NTP. NTS utilitza el treball que entra en la infraestructura de clau pública web per autenticar els servidors NTP i assegurar-se que quan configura el seu ordinador per parlar amb time.cloudflare.com, aquest és el servidor de què el seu ordinador obté l'hora.
Si vols conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.