Η ομάδα εργασίας της μηχανική Διαδικτύου (IETF), η οποία είναι υπεύθυνη για την ανάπτυξη πρωτοκόλλων και αρχιτεκτονικής Διαδικτύου, έχει ολοκληρώσει τη δημιουργία ενός RFC για το πρωτόκολλο Network Time Security (NTS) και έχει δημοσιεύσει την προδιαγραφή που σχετίζεται με το αναγνωριστικό RFC 8915.
Το RFC έλαβε την κατάσταση "Τυπική πρόταση", μετά την οποία οι εργασίες θα αρχίσουν να δίνουν στο RFC την κατάσταση ενός σχεδίου πρότυπου, πράγμα που σημαίνει στην πραγματικότητα μια πλήρη σταθεροποίηση του πρωτοκόλλου και λαμβάνοντας υπόψη όλα τα σχόλια που έγιναν.
Τυποποίηση NTS είναι ένα σημαντικό βήμα για τη βελτίωση της ασφάλειας των υπηρεσιών συγχρονισμού χρόνου και προστατεύουν τους χρήστες από επιθέσεις που μιμούνται τον διακομιστή NTP με τον οποίο συνδέεται ο πελάτης.
Η χειραγώγηση των εισβολέων για να ρυθμίσετε το λάθος χρόνο μπορεί να χρησιμοποιηθεί για να θέσει σε κίνδυνο την ασφάλεια άλλων πρωτοκόλλων ευαίσθητων στο χρόνο, όπως το TLS Για παράδειγμα, η αλλαγή του χρόνου μπορεί να οδηγήσει σε εσφαλμένη ερμηνεία των δεδομένων εγκυρότητας για πιστοποιητικά TLS.
Μέχρι τώρα, το Το NTP και η συμμετρική κρυπτογράφηση των καναλιών επικοινωνίας δεν εγγυήθηκαν ότι ο πελάτης αλληλεπιδρά με τον στόχο και όχι με πλαστογραφημένο διακομιστή NTP, και ο έλεγχος ταυτότητας κλειδιού δεν έχει γίνει mainstream, καθώς είναι πολύ περίπλοκο για τη ρύθμιση.
Τους τελευταίους μήνες, έχουμε δει πολλούς χρήστες της υπηρεσίας χρόνου μας, αλλά πολύ λίγοι χρησιμοποιούν την ασφάλεια χρόνου δικτύου. Αυτό αφήνει τους υπολογιστές ευάλωτους σε επιθέσεις που μιμούνται τον διακομιστή που χρησιμοποιούν για να αποκτήσουν NTP. Μέρος του προβλήματος ήταν η έλλειψη διαθέσιμων δαιμόνων NTP που υποστηρίζουν το NTS. Αυτό το πρόβλημα έχει πλέον επιλυθεί: το chrony και το ntpsec υποστηρίζουν και τα δύο NTS.
NTS χρησιμοποιεί στοιχεία υποδομής δημόσιου κλειδιού (PKI) και επιτρέπει τη χρήση TLS και Authenticated Encryption with Associated Data (AEAD) για την κρυπτογραφική προστασία των επικοινωνιών πελάτη-διακομιστή μέσω πρωτοκόλλου ώρας δικτύου (NTP).
NTS περιλαμβάνει δύο ξεχωριστά πρωτόκολλα: ΝΤΣ-ΚΕ (Δημιουργία κλειδιού NTS για τον χειρισμό του αρχικού ελέγχου ταυτότητας και της διαπραγμάτευσης κλειδιών μέσω TLS) και NTS-EF (Πεδία επέκτασης NTS, υπεύθυνα για την κρυπτογράφηση και τον έλεγχο ταυτότητας μιας περιόδου συγχρονισμού χρόνου).
NTS προσθέστε διάφορα εκτεταμένα πεδία σε πακέτα NTP και αποθηκεύει όλες τις πληροφορίες κατάστασης μόνο από την πλευρά του πελάτη μέσω ενός μηχανισμού μετάδοσης cookie. Η θύρα δικτύου 4460 είναι αφιερωμένη στο χειρισμό συνδέσεων NTS.
Ο χρόνος είναι το θεμέλιο της ασφάλειας για πολλά από τα πρωτόκολλα, όπως το TLS, στα οποία στηριζόμαστε για την προστασία της ζωής μας στο διαδίκτυο. Χωρίς ακριβή χρόνο, δεν υπάρχει τρόπος να καθοριστεί εάν τα διαπιστευτήρια έχουν λήξει ή όχι. Η απουσία ενός εύχρηστου πρωτοκόλλου ασφαλούς χρόνου υπήρξε πρόβλημα για την ασφάλεια του Διαδικτύου.
Οι πρώτες υλοποιήσεις του τυποποιημένου NTS προτάθηκαν στις πρόσφατες εκδόσεις των NTPsec 1.2.0 και Chrony 4.0.
Το Chrony παρέχει μια ξεχωριστή εφαρμογή πελάτη και διακομιστή NTP που χρησιμοποιείται για συγχρονισμό ακριβούς χρόνου σε διάφορες διανομές Linux, συμπεριλαμβανομένων των Fedora, Ubuntu, SUSE / openSUSE και RHEL / CentOS.
Το NTPsec αναπτύσσεται υπό την ηγεσία του Eric S. Raymond και είναι ένα δίκρανο της εφαρμογής αναφοράς του πρωτοκόλλου NTPv4 (NTP Classic 4.3.34), που επικεντρώνεται στον επανασχεδιασμό της βάσης κώδικα για τη βελτίωση της ασφάλειας (καθαρισμός παρωχημένου κώδικα, μεθόδους πρόληψης εισβολής και προστατευμένες λειτουργίες) εργασία με μνήμη και αλυσίδες).
Χωρίς έλεγχο ταυτότητας NTS ή συμμετρικό κλειδί, δεν υπάρχει καμία εγγύηση ότι ο υπολογιστής σας μιλάει πραγματικά NTP στον υπολογιστή που νομίζετε ότι είναι. Ο έλεγχος ταυτότητας με συμμετρικό κλειδί είναι δύσκολο και επίπονο να διαμορφωθεί, αλλά μέχρι πρόσφατα ήταν ο μόνος ασφαλής και τυποποιημένος μηχανισμός ελέγχου ταυτότητας NTP. Το NTS χρησιμοποιεί την εργασία που πηγαίνει στην υποδομή δημόσιου κλειδιού ιστού για τον έλεγχο ταυτότητας διακομιστών NTP και βεβαιωθείτε ότι όταν ρυθμίζετε τις παραμέτρους του υπολογιστή σας για να μιλάτε στο time.cloudflare.com, αυτός είναι ο διακομιστής στον οποίο λαμβάνετε το χρόνο από τον υπολογιστή σας.
Αν θέλετε να μάθετε περισσότερα για αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.