Pracovná skupina internetové inžinierstvo (IETF), ktorý je zodpovedný za vývoj internetových protokolov a architektúry, dokončila formovanie RFC pre protokol Network Time Security (NTS) a zverejnil špecifikáciu spojenú s identifikátorom RFC 8915.
RFC získal štatút «Štandardný návrh», po ktorom začne práca dať RFC štatút návrhu normy, čo v skutočnosti znamená úplnú stabilizáciu protokolu a zohľadnenie všetkých predložených pripomienok.
Štandardizácia NTS je dôležitým krokom k zlepšeniu bezpečnosti služieb synchronizácie času a chrániť používateľov pred útokmi, ktoré napodobňujú server NTP, ku ktorému sa klient pripája.
Manipulácia s útočníkmi s nastavením nesprávneho času sa môže použiť na narušenie bezpečnosti ďalších časovo citlivých protokolov, napríklad TLS. Napríklad zmena času môže viesť k nesprávnej interpretácii údajov o platnosti pre certifikáty TLS.
Doteraz NTP a symetrické šifrovanie komunikačných kanálov nezaručovalo interakciu klienta s cieľom a nie so sfalšovaným serverom NTP a autentifikácia kľúčom neprešla hlavným prúdom, pretože je príliš komplikovaná konfigurácia.
Za posledných pár mesiacov sme videli veľa používateľov našej časovej služby, ale len veľmi málo z nich používa Network Time Security. To ponecháva počítače zraniteľné voči útokom, ktoré napodobňujú server, ktorý používajú na získanie NTP. Súčasťou problému bol nedostatok dostupných démonov NTP, ktoré podporovali NTS. Tento problém je teraz vyriešený: chrony aj ntpsec podporujú NTS.
NTS využíva prvky verejnej kľúčovej infraštruktúry (PKI) a umožňuje použitie TLS a autentizovaného šifrovania s pridruženými údajmi (AEAD) kryptograficky chrániť komunikáciu klient-server prostredníctvom protokolu Network Time Protocol (NTP).
NTS obsahuje dva samostatné protokoly: NTS-KE (Zriadenie kľúča NTS na spracovanie počiatočnej autentifikácie a vyjednávania kľúčov cez TLS) a NTS-EF (Polia rozšírenia NTS, zodpovedné za šifrovanie a autentizáciu relácie časovej synchronizácie).
NTS pridávať do paketov NTP rôzne rozšírené polia a ukladá všetky informácie o stave iba na strane klienta pomocou mechanizmu prenosu súborov cookie. Sieťový port 4460 je určený na prácu s pripojeniami NTS.
Čas je základom zabezpečenia mnohých protokolov, napríklad TLS, na ktoré sa spoliehame pri ochrane našich životov online. Bez presného času neexistuje spôsob, ako zistiť, či platnosť poverení vypršala alebo nie. Absencia ľahko implementovateľného zabezpečeného časového protokolu bola problémom internetovej bezpečnosti.
Prvé implementácie štandardizovaného NTS boli navrhnuté v nedávno vydaných verziách NTPsec 1.2.0 a Chrony 4.0.
Chrony poskytuje samostatnú implementáciu klienta a servera NTP, ktorá sa používa na synchronizáciu presného času na rôznych distribúciách Linuxu, vrátane Fedory, Ubuntu, SUSE / openSUSE a RHEL / CentOS.
NTPsec je vyvíjaný pod vedením Erica S. Raymonda a je vidlicou referenčnej implementácie protokolu NTPv4 (NTP Classic 4.3.34) zameraného na prepracovanie kódovej základne s cieľom zvýšiť bezpečnosť (čistenie zastaraného kódu, metódy prevencie narušenia a chránené funkcie) práce s pamäťou a reťazcami).
Bez overenia NTS alebo symetrického kľúča neexistuje záruka, že váš počítač skutočne hovorí NTP s počítačom, ktorý si myslíte. Konfigurácia symetrického kľúča je zložitá a bolestivá, ale donedávna to bol jediný bezpečný a štandardizovaný mechanizmus na autentifikáciu NTP. NTS využíva prácu, ktorá vstupuje do infraštruktúry verejného kľúča na webe, na autentifikáciu serverov NTP a na zabezpečenie toho, že keď nakonfigurujete počítač tak, aby hovoril s time.cloudflare.com, to je server, z ktorého získa váš čas počítač.
Ak sa chcete dozvedieť viac, môžete skontrolovať podrobnosti Na nasledujúcom odkaze.