Delovna skupina internetni inženiring (IETF), ki je odgovoren za razvoj internetnih protokolov in arhitekture, je končal oblikovanje RFC za protokol Network Time Security (NTS) in objavil specifikacijo, povezano z identifikatorjem RFC 8915.
RFC prejel status «Standardni predlog», po katerem se bo začelo delo, da bi RFC dobil status osnutka standarda, kar dejansko pomeni popolno stabilizacijo protokola in ob upoštevanju vseh podanih pripomb.
NTS standardizacija je pomemben korak za izboljšanje varnosti storitev sinhronizacije časa in zaščititi uporabnike pred napadi, ki posnemajo strežnik NTP, s katerim se odjemalec poveže.
Manipulacija napadalcev z nastavitvijo napačnega časa se lahko uporablja za ogrožanje varnosti drugih časovno občutljivih protokolov, kot je TLS. Sprememba časa lahko na primer povzroči napačno razlago podatkov o veljavnosti za potrdila TLS.
Do zdaj je NTP in simetrično šifriranje komunikacijskih kanalov ne zagotavljata, da odjemalec komunicira s ciljem in ne s ponarejenim strežnikom NTP, overjanje ključev pa ni šlo v ospredje, saj je preveč zapleteno za konfiguriranje.
V zadnjih nekaj mesecih smo videli veliko uporabnikov naše časovne storitve, zelo malo pa jih uporablja Network Time Security. Tako so računalniki ranljivi za napade, ki posnemajo strežnik, ki ga uporabljajo za pridobitev NTP. Del težave je bilo pomanjkanje razpoložljivih demonov NTP, ki so podpirali NTS. Ta težava je zdaj rešena: oba chrony in ntpsec podpirata NTS.
NTS uporablja elemente infrastrukture javnega ključa (PKI) in omogoča uporabo TLS in overjenega šifriranja s povezanimi podatki (AEAD) za kriptografsko zaščito komunikacije odjemalec-strežnik prek omrežnega časovnega protokola (NTP).
NTS vključuje dva ločena protokola: NTS-KE (Vzpostavitev ključa NTS za obdelavo začetne overitve in pogajanja o ključih prek TLS) in NTS-EF (Polja razširitve NTS, odgovorna za šifriranje in overjanje seje časovne sinhronizacije).
NTS dodajte različna razširjena polja v pakete NTP in vse informacije o stanju shrani samo na strani odjemalca s pomočjo mehanizma za prenos piškotkov. Omrežna vrata 4460 so namenjena ravnanju s povezavami NTS.
Čas je temelj varnosti mnogih protokolov, na primer TLS, na katere se zanašamo, da zaščitimo svoje življenje v spletu. Brez natančnega časa ni mogoče ugotoviti, ali je veljavnost mandatov potekla ali ne. Odsotnost enostavno izvedljivega varnega časovnega protokola je bila težava za internetno varnost.
Prve izvedbe standardiziranega NTS so bile predlagane v nedavno izdanih različicah NTPsec 1.2.0 in Chrony 4.0.
Chrony ponuja ločeno izvedbo odjemalca in strežnika NTP, ki se uporablja za sinhronizacijo natančnega časa v različnih distribucijah Linuxa, vključno s Fedoro, Ubuntujem, SUSE / openSUSE in RHEL / CentOS.
NTPsec je razvit pod vodstvom Erica S. Raymonda in je vilica referenčne izvedbe protokola NTPv4 (NTP Classic 4.3.34), osredotočena na preoblikovanje osnove kode za izboljšanje varnosti (čiščenje zastarele kode, metode preprečevanja vdorov in zaščitene funkcije) dela s pomnilnikom in verigami).
Brez overitve NTS ali simetrične overitve ključa ni nobenega zagotovila, da računalnik dejansko govori NTP z računalnikom, za katerega mislite, da je. Simetrično overjanje ključev je težko in boleče konfigurirati, vendar je bilo do nedavnega edini varen in standardiziran mehanizem za preverjanje pristnosti NTP. NTS uporablja delo, ki gre v spletno infrastrukturo javnih ključev, za preverjanje pristnosti strežnikov NTP in za zagotovitev, da ko konfigurirate računalnik za pogovor z time.cloudflare.com, je to strežnik, s katerega računalnik dobi čas.
Če želite izvedeti več o tem, lahko preverite podrobnosti V naslednji povezavi.