Çalışma Grubu internet mühendisliği (IETFİnternet protokollerinin ve mimarisinin geliştirilmesinden sorumlu olan), Ağ Zaman Güvenliği protokolü için bir RFC oluşumunu tamamladı (NTS) ve tanımlayıcı RFC 8915 ile ilişkili spesifikasyonu yayınladı.
RFC «Standart Teklif» statüsünü aldı, bundan sonra çalışma RFC'ye bir Taslak Standart statüsü vermeye başlayacaktır, bu aslında protokolün tam bir stabilizasyonu ve yapılan tüm yorumların dikkate alınması anlamına gelir.
NTS standardizasyonu zaman senkronizasyonu hizmetlerinin güvenliğini artırmak için önemli bir adımdır ve kullanıcıları, istemcinin bağlandığı NTP sunucusunu taklit eden saldırılardan korur.
Saldırganların yanlış zamanı ayarlamak için manipüle edilmesi, TLS gibi diğer zamana duyarlı protokollerin güvenliğini tehlikeye atmak için kullanılabilir. Örneğin, saatin değiştirilmesi TLS sertifikaları için geçerlilik verilerinin yanlış yorumlanmasına neden olabilir.
Şimdiye kadar İletişim kanallarının NTP ve simetrik şifrelemesi, istemcinin hedefle etkileşime girmesini garanti etmedi ve sahte bir NTP sunucusuyla değil ve anahtar kimlik doğrulaması, kurulumu çok karmaşık olduğu için ana akım haline gelmedi.
Son birkaç ayda, zaman hizmetimizin birçok kullanıcısını gördük, ancak çok azı Ağ Zaman Güvenliği kullanıyor. Bu, bilgisayarları NTP almak için kullandıkları sunucuyu taklit eden saldırılara karşı savunmasız bırakır. Sorunun bir kısmı, NTS'yi destekleyen kullanılabilir NTP arka plan yordamlarının olmamasıydı. Bu sorun artık çözüldü: hem chrony hem de ntpsec NTS'yi destekliyor.
NTS genel anahtar altyapı öğelerini kullanır (PKI) ve İlişkili Verilerle TLS ve Kimliği Doğrulanmış Şifreleme (AEAD) kullanımına izin verir istemci-sunucu iletişimini kriptografik olarak korumak için Ağ Zaman Protokolü (NTP) aracılığıyla.
NTS iki ayrı protokol içerir: NTS-KE (TLS üzerinden ilk kimlik doğrulamasını ve anahtar pazarlığını yönetmek için NTS anahtar kurulumu) ve NTS-EF (Bir zaman senkronizasyon oturumunu şifrelemekten ve doğrulamaktan sorumlu NTS uzantı alanları).
NTS NTP paketlerine çeşitli genişletilmiş alanlar ekleyin ve tüm durum bilgilerini yalnızca istemci tarafında bir çerez aktarım mekanizması aracılığıyla saklar. Ağ bağlantı noktası 4460, NTS bağlantılarını işlemeye ayrılmıştır.
Zaman, çevrimiçi hayatımızı korumak için güvendiğimiz TLS gibi birçok protokol için güvenliğin temelidir. Kesin bir zaman olmadan, kimlik bilgilerinin süresinin dolup dolmadığını belirlemenin bir yolu yoktur. Uygulaması kolay bir güvenli zaman protokolünün olmaması, İnternet güvenliği için bir sorun olmuştur.
Standartlaştırılmış NTS'nin ilk uygulamaları, NTPsec 1.2.0 ve Chrony 4.0'ın yakın zamanda yayınlanan sürümlerinde önerildi.
Chrony, Fedora, Ubuntu, SUSE / openSUSE ve RHEL / CentOS dahil olmak üzere çeşitli Linux dağıtımlarında tam zamanı senkronize etmek için kullanılan ayrı bir NTP istemcisi ve sunucu uygulaması sağlar.
NTPsec, Eric S. Raymond liderliğinde geliştirilmiştir. ve NTPv4 protokolünün (NTP Classic 4.3.34) referans uygulamasının bir çatalı olup, güvenliği artırmak için kod tabanını yeniden tasarlamaya odaklanmıştır (eski kodun temizlenmesi, izinsiz giriş önleme yöntemleri ve korumalı işlevler) bellek ve zincirlerle çalışma).
NTS veya simetrik anahtar kimlik doğrulaması olmadan, bilgisayarınızın aslında düşündüğünüz bilgisayara NTP konuştuğunun garantisi yoktur. Simetrik anahtar kimlik doğrulamasını yapılandırmak zor ve zahmetlidir, ancak yakın zamana kadar NTP'yi doğrulamak için tek güvenli ve standartlaştırılmış mekanizmadır. NTS, NTP sunucularının kimliğini doğrulamak için web ortak anahtar altyapısına giren işi kullanır ve bilgisayarınızı time.cloudflare.com ile konuşacak şekilde yapılandırdığınızda, bilgisayarınızın zamanı aldığı sunucudur.
Bununla ilgili daha fazla bilgi edinmek istiyorsanız, ayrıntıları kontrol edebilirsiniz. Aşağıdaki bağlantıda.