Grupi i Punës i inxhinieri interneti (Ietf), i cili është përgjegjës për zhvillimin e protokolleve dhe arkitekturës së Internetit, ka përfunduar formimin e një RFC për protokollin e Sigurisë në Kohë (NTS) dhe ka publikuar specifikimin e lidhur me identifikuesin RFC 8915.
RFC mori statusin e «Propozimit Standard», pas së cilës do të fillojë puna për t'i dhënë RFC statusin e një Draft Standardi, që në të vërtetë nënkupton një stabilizim të plotë të protokollit dhe duke marrë parasysh të gjitha komentet e bëra.
Standardizimi i NTS është një hap i rëndësishëm për të përmirësuar sigurinë e shërbimeve të sinkronizimit të kohës dhe mbrojnë përdoruesit nga sulmet që imitojnë serverin NTP me të cilin lidhet klienti.
Manipulimi i sulmuesve për të vendosur kohën e gabuar mund të përdoret për të kompromentuar sigurinë e protokolleve të tjerë të ndjeshëm ndaj kohës, siç është TLS. Për shembull, ndryshimi i kohës mund të çojë në keqinterpretim të të dhënave të vlefshmërisë për certifikatat TLS.
Deri tani, NTP dhe kriptimi simetrik i kanaleve të komunikimit nuk garantuan që klienti ndërvepron me synimin dhe jo me një server NTP të falsifikuar, dhe vërtetimi i çelësit nuk ka kaluar në rrjedhën kryesore, sepse është shumë e komplikuar për t'u konfiguruar.
Gjatë muajve të fundit, ne kemi parë shumë përdorues të shërbimit tonë të kohës, por shumë pak përdorin Security Time Network. Kjo i lë kompjuterat të pambrojtur ndaj sulmeve që imitojnë serverin që ata përdorin për të marrë NTP. Një pjesë e problemit ishte mungesa e demoneve NTP të disponueshme që mbështesnin NTS. Ky problem tani është zgjidhur: chrony dhe ntpsec mbështesin të dy NTS.
NTS përdor elemente të infrastrukturës së çelësit publik (PKI) dhe lejon përdorimin e TLS dhe Kriptimit të Vërtetuar me të Dhënat e Lidhura (AEAD) për të mbrojtur në mënyrë kriptografike komunikimet klient-server përmes Protokollit të Kohës së Rrjetit (NTP).
NTS përfshin dy protokolle të ndara: NTS-KE (Krijimi kryesor i NTS për të trajtuar vërtetimin fillestar dhe negociatat kryesore mbi TLS) dhe NTS-EF (Fushat e shtrirjes NTS, përgjegjëse për kriptimin dhe vërtetimin e një seance sinkronizimi të kohës).
NTS shtoni fusha të ndryshme të zgjeruara në paketat NTP dhe ruan të gjithë informacionin shtetëror vetëm nga ana e klientit me anë të një mekanizmi të transmetimit të cookie-t. Porta e rrjetit 4460 është e dedikuar për trajtimin e lidhjeve NTS.
Koha është themeli i sigurisë për shumë prej protokolleve, si TLS, tek të cilët mbështetemi për të mbrojtur jetën tonë në internet. Pa një kohë të saktë, nuk ka asnjë mënyrë për të përcaktuar nëse kredencialet kanë skaduar ose jo. Mungesa e një protokolli të sigurt për kohën e zbatuar ka qenë një problem për sigurinë e Internetit.
Zbatimet e para të NTS të standardizuara u propozuan në versionet e lëshuara së fundmi të NTPsec 1.2.0 dhe Chrony 4.0.
Chrony ofron një klient të veçantë NTP dhe implementimin e serverit që përdoret për të sinkronizuar kohën e saktë në shpërndarje të ndryshme Linux, përfshirë Fedora, Ubuntu, SUSE / openSUSE dhe RHEL / CentOS.
NTPsec është zhvilluar nën udhëheqjen e Eric S. Raymond dhe është një pirun i zbatimit të referencës së protokollit NTPv4 (NTP Classic 4.3.34), i përqendruar në ridizenjimin e bazës së kodit për të përmirësuar sigurinë (pastrimi i kodit të vjetëruar, metodat e parandalimit të ndërhyrjeve dhe funksionet e mbrojtura) puna me kujtesën dhe zinxhirët).
Pa vërtetim NTS ose çelës simetrik, nuk ka asnjë garanci që kompjuteri juaj në të vërtetë po flet NTP me kompjuterin që ju mendoni se është. Vërtetimi simetrik i çelësit është i vështirë dhe i dhimbshëm për tu konfiguruar, por deri vonë ishte mekanizmi i vetëm i sigurt dhe i standardizuar për vërtetimin e NTP. NTS përdor punën që shkon në infrastrukturën e çelësit publik në internet për të vërtetuar serverat NTP dhe për t'u siguruar që kur konfiguroni kompjuterin tuaj të flasë me time.cloudflare.com, ky është serveri nga i cili kompjuteri juaj merr kohën.
Nëse doni të dini më shumë rreth kësaj, mund të kontrolloni detajet Në lidhjen vijuese.