워킹 그룹 인터넷 공학 (IETF), 인터넷 프로토콜 및 아키텍처 개발을 담당하며 Network Time Security 프로토콜에 대한 RFC 형성을 완료했습니다. (NTS) 및 식별자 RFC 8915와 관련된 사양을 게시했습니다.
RFC «표준 제안»상태를 받았습니다., 그 후 작업은 RFC에 초안 표준의 상태를 제공하기 시작할 것입니다. 이는 실제로 프로토콜의 완전한 안정화를 의미하고 작성된 모든 의견을 고려함을 의미합니다.
NTS 표준화 시간 동기화 서비스의 보안을 향상시키는 중요한 단계입니다. 클라이언트가 연결되는 NTP 서버를 모방하는 공격으로부터 사용자를 보호합니다.
공격자가 잘못된 시간을 설정하도록 조작하면 TLS와 같이 시간에 민감한 다른 프로토콜의 보안이 손상 될 수 있습니다. 예를 들어 시간을 변경하면 TLS 인증서에 대한 유효성 데이터가 잘못 해석 될 수 있습니다.
지금까지 통신 채널의 NTP 및 대칭 암호화는 클라이언트가 대상과 상호 작용하는 것을 보장하지 않았습니다. 스푸핑 된 NTP 서버가 아니고 키 인증은 구성하기가 너무 복잡하기 때문에 주류가되지 않았습니다.
지난 몇 달 동안 우리는 시간 서비스의 많은 사용자를 보았지만 Network Time Security를 사용하는 사람은 거의 없습니다. 이로 인해 컴퓨터는 NTP를 얻기 위해 사용하는 서버를 모방하는 공격에 취약합니다. 문제의 일부는 NTS를 지원하는 사용 가능한 NTP 데몬이 없다는 것입니다. 이제 그 문제가 해결되었습니다. chrony와 ntpsec은 모두 NTS를 지원합니다.
국세청 공개 키 인프라 요소 사용 (PKI) 및 TLS 및 AEAD (관련 데이터로 인증 된 암호화) 사용을 허용합니다. 클라이언트-서버 통신을 암호화 방식으로 보호 NTP (Network Time Protocol)를 통해.
국세청 두 개의 개별 프로토콜이 포함됩니다. NTS-KE (TLS를 통한 초기 인증 및 키 협상을 처리하기위한 NTS 키 설정) 및 NTS-EF (시간 동기화 세션의 암호화 및 인증을 담당하는 NTS 확장 필드).
국세청 NTP 패킷에 다양한 확장 필드 추가 쿠키 전송 메커니즘을 통해 클라이언트 측에만 모든 상태 정보를 저장합니다. 네트워크 포트 4460은 NTS 연결 처리 전용입니다.
시간은 온라인에서 우리의 삶을 보호하기 위해 사용하는 TLS와 같은 많은 프로토콜의 보안 기반입니다. 정확한 시간이 없으면 자격 증명이 만료되었는지 여부를 확인할 방법이 없습니다. 쉽게 구현되는 보안 시간 프로토콜의 부재는 인터넷 보안에 문제가되었습니다.
표준화 된 NTS의 첫 번째 구현은 최근에 출시 된 NTPsec 1.2.0 및 Chrony 4.0 버전에서 제안되었습니다.
Chrony는 Fedora, Ubuntu, SUSE / openSUSE 및 RHEL / CentOS를 포함한 다양한 Linux 배포에서 정확한 시간을 동기화하는 데 사용되는 별도의 NTP 클라이언트 및 서버 구현을 제공합니다.
NTPsec은 Eric S. Raymond의지도하에 개발되었습니다. NTPv4 프로토콜 (NTP Classic 4.3.34)의 참조 구현의 포크로, 메모리 및 체인과 함께 작동하는 보안 (오래된 코드 정리, 침입 방지 방법 및 보호 된 기능)을 개선하기 위해 코드 기반을 재 설계하는 데 중점을 둡니다.
NTS 또는 대칭 키 인증이 없으면 컴퓨터가 실제로 NTP를 사용자가 생각하는 컴퓨터와 통신하고 있다는 보장이 없습니다. 대칭 키 인증은 구성하기 어렵고 어렵지만 최근까지만해도 NTP 인증을위한 유일한 안전하고 표준화 된 메커니즘이었습니다. NTS는 웹 공개 키 인프라로 이동하는 작업을 사용하여 NTP 서버를 인증하고 컴퓨터가 time.cloudflare.com과 통신하도록 구성 할 때 컴퓨터가 시간을 가져 오는 서버인지 확인합니다.
이에 대해 더 알고 싶다면 세부 사항을 확인할 수 있습니다. 다음 링크에서.