Darba grupa interneta inženierija (IETF), kas ir atbildīgs par interneta protokolu un arhitektūras izstrādi, ir pabeidzis izveidot RFC tīkla laika drošības protokolam (NTS) un ir publicējusi specifikāciju, kas saistīta ar identifikatoru RFC 8915.
RFC saņēma statusu “Standarta piedāvājums”, pēc kura darbs sāks piešķirt RFC Standarta projekta statusu, kas faktiski nozīmē pilnīgu protokola stabilizāciju un ņemot vērā visus izteiktos komentārus.
NTS standartizācija ir svarīgs solis, lai uzlabotu laika sinhronizācijas pakalpojumu drošību un pasargājiet lietotājus no uzbrukumiem, kas atdarina NTP serveri, ar kuru savienojas klients.
Manipulāciju ar uzbrucējiem, lai iestatītu nepareizu laiku, var izmantot, lai apdraudētu citu laika ziņā jutīgu protokolu, piemēram, TLS, drošību. Piemēram, laika maiņa var izraisīt TLS sertifikātu derīguma datu nepareizu interpretāciju.
Līdz šim NTP un simetriska sakaru kanālu šifrēšana negarantēja klienta mijiedarbību ar mērķi un ne ar viltotu NTP serveri, un atslēgu autentifikācija nav gājusi uz priekšu, jo iestatīšana ir pārāk sarežģīta.
Dažu pēdējo mēnešu laikā mēs esam redzējuši daudzus mūsu laika dienesta lietotājus, bet ļoti maz izmanto tīkla laika drošību. Tādējādi datori paliek neaizsargāti pret uzbrukumiem, kas atdarina serveri, ko viņi izmanto, lai iegūtu NTP. Daļa no problēmas bija pieejamo NTP dēmonu trūkums, kas atbalstītu NTS. Šī problēma tagad ir atrisināta: gan chrony, gan ntpsec atbalsta NTS.
NTS izmanto publiskās atslēgas infrastruktūras elementus (PKI) un ļauj izmantot TLS un autentificētu šifrēšanu ar saistītajiem datiem (AEAD) kriptogrāfiski aizsargāt klienta-servera sakarus izmantojot tīkla laika protokolu (NTP).
NTS ietver divus atsevišķus protokolus: NTS-KE (NTS atslēgu izveide, lai veiktu sākotnējo autentifikāciju un atslēgu sarunas, izmantojot TLS) un NTS-EF (NTS paplašinājuma lauki, kas atbild par laika sinhronizācijas sesijas šifrēšanu un autentificēšanu).
NTS pievienot dažādus paplašinātus laukus NTP paketēm un tā glabā visu valsts informāciju tikai klienta pusē, izmantojot sīkdatņu pārraides mehānismu. Tīkla ports 4460 ir paredzēts NTS savienojumu apstrādei.
Laiks ir drošības pamats daudziem protokoliem, piemēram, TLS, uz kuriem mēs paļaujamies, lai aizsargātu savu dzīvi tiešsaistē. Bez precīza laika nav iespējas noteikt, vai pilnvaru termiņš ir beidzies. Viegli ieviešama droša laika protokola neesamība ir bijusi interneta drošības problēma.
Pirmās standartizētās NTS ieviešanas iespējas tika piedāvātas nesen izdotajās NTPsec 1.2.0 un Chrony 4.0 versijās.
Chrony nodrošina atsevišķu NTP klienta un servera ieviešanu, kas tiek izmantota, lai sinhronizētu precīzu laiku dažādos Linux izplatījumos, tostarp Fedora, Ubuntu, SUSE / openSUSE un RHEL / CentOS.
NTPsec tiek izstrādāts Ērika S. Reimonda vadībā un ir NTPv4 protokola (NTP Classic 4.3.34) atsauces ieviešanas dakša, kas koncentrēta uz koda bāzes pārveidošanu, lai uzlabotu drošību (novecojuša koda tīrīšana, ielaušanās novēršanas metodes un aizsargātās funkcijas, darbs ar atmiņu un ķēdēm).
Bez NTS vai simetriskas atslēgas autentifikācijas nav garantijas, ka jūsu dators patiešām runā ar NTP ar datoru, kuru jūs domājat. Simetrisko atslēgu autentifikāciju ir grūti un sāpīgi konfigurēt, taču vēl nesen tas bija vienīgais drošais un standartizētais NTP autentifikācijas mehānisms. NTS izmanto darbu, kas tiek izmantots tīmekļa publiskās atslēgas infrastruktūrā, lai autentificētu NTP serverus un pārliecinātos, ka, konfigurējot datoru sarunai ar time.cloudflare.com, tas ir serveris, no kura jūsu dators iegūst laiku.
Ja vēlaties uzzināt vairāk par to, varat pārbaudīt informāciju Šajā saitē.