Pracovní skupina internetové inženýrství (IETF), který je odpovědný za vývoj internetových protokolů a architektury, dokončila vytvoření RFC pro protokol Network Time Security (NTS) a zveřejnil specifikaci spojenou s identifikátorem RFC 8915.
RFC obdržel status «Standardní návrh», po kterém začnou práce dát RFC status návrhu normy, což ve skutečnosti znamená úplnou stabilizaci protokolu a zohlednění všech vznesených komentářů.
Standardizace NTS je důležitým krokem ke zlepšení zabezpečení služeb synchronizace času a chránit uživatele před útoky, které napodobují server NTP, ke kterému se klient připojuje.
Manipulace útočníků s nastavením nesprávného času může být použita ke kompromisu zabezpečení jiných časově citlivých protokolů, jako je TLS. Například změna času může vést k nesprávné interpretaci údajů o platnosti certifikátů TLS.
Až dosud NTP a symetrické šifrování komunikačních kanálů nezaručovalo, že klient interaguje s cílem a ne se zfalšovaným serverem NTP a ověřování klíčů se nedostalo do hlavního proudu, protože je příliš složité jej nastavit.
Během posledních několika měsíců jsme viděli mnoho uživatelů naší časové služby, ale jen velmi málo z nich používá Network Time Security. To ponechá počítače zranitelné vůči útokům napodobujícím server, který používají k získání NTP. Součástí problému byl nedostatek dostupných démonů NTP, které podporovaly NTS. Tento problém je nyní vyřešen: chrony i ntpsec podporují NTS.
NTS používá prvky infrastruktury veřejného klíče (PKI) a umožňuje použití TLS a ověřeného šifrování s přidruženými daty (AEAD) kryptograficky chránit komunikaci klient-server přes Network Time Protocol (NTP).
NTS obsahuje dva samostatné protokoly: NTS-KE (Zřízení klíče NTS pro zpracování počátečního ověřování a vyjednávání klíčů přes TLS) a NTS-EF (Pole rozšíření NTS, odpovědná za šifrování a ověření relace časové synchronizace).
NTS přidávat do paketů NTP různá rozšířená pole a ukládá všechny informace o stavu pouze na straně klienta pomocí mechanismu přenosu souborů cookie. Síťový port 4460 je určen pro zpracování připojení NTS.
Čas je základem zabezpečení mnoha protokolů, jako je TLS, na které se spoléháme při ochraně našich životů online. Bez přesného času neexistuje způsob, jak zjistit, zda platnost pověření vypršela. Absence snadno implementovatelného zabezpečeného časového protokolu byla pro zabezpečení internetu problémem.
První implementace standardizovaného NTS byly navrženy v nedávno vydaných verzích NTPsec 1.2.0 a Chrony 4.0.
Chrony poskytuje samostatnou implementaci klienta a serveru NTP, která se používá k synchronizaci přesného času na různých distribucích Linuxu, včetně Fedory, Ubuntu, SUSE / openSUSE a RHEL / CentOS.
NTPsec je vyvíjen pod vedením Erica S.Raymonda a je vidličkou referenční implementace protokolu NTPv4 (NTP Classic 4.3.34), zaměřené na redesign kódové základny za účelem zvýšení bezpečnosti (čištění zastaralého kódu, metody prevence narušení a chráněné funkce) práce s pamětí a řetězy).
Bez ověřování pomocí NTS nebo symetrického klíče neexistuje záruka, že váš počítač ve skutečnosti mluví NTP s počítačem, o kterém si myslíte, že je. Konfigurace symetrického ověřování pomocí klíče je obtížná a bolestivá, ale donedávna to byl jediný bezpečný a standardizovaný mechanismus pro ověřování NTP. NTS používá práci, která jde do infrastruktury veřejných veřejných klíčů, k ověření serverů NTP a ujistěte se, že když nakonfigurujete počítač tak, aby mluvil s time.cloudflare.com, to je server, ze kterého váš počítač získá čas.
Pokud se o tom chcete dozvědět více, můžete zkontrolovat podrobnosti Na následujícím odkazu.