NTP NTPsec 1.2.0和Chrony 4.0附带对安全NTS协议的支持

工作组 互联网工程(IETF),负责互联网协议和体系结构的开发, 已经完成了针对网络时间安全协议的RFC的形成 (NTS),并已发布与标识符RFC 8915相关的规范。

RFC 收到了“标准提案”状态,之后将开始为RFC提供标准草案的状态,这实际上意味着协议的完全稳定并考虑了所有提出的意见。

NTS标准化 是提高时间同步服务安全性的重要一步 并保护用户免受模仿客户端连接的NTP服务器的攻击。

操纵攻击者设置错误的时间可以用来危害其他对时间敏感的协议(例如TLS)的安全性。 例如,更改时间可能导致对TLS证书的有效性数据产生误解。

到现在为止 NTP和通信通道的对称加密不能保证客户端与目标进行交互 而不是使用欺骗性的NTP服务器,并且由于密钥认证的设置太复杂,密钥认证还没有成为主流。

在过去的几个月中,我们看到了很多时间服务用户,但很少使用网络时间安全。 这使计算机容易受到模仿其用于获取NTP的服务器的攻击。 问题的一部分是缺少支持NTS的可用NTP守护程序。 现在已经解决了该问题:chrony和ntpsec都支持NTS。

NTS 使用公钥基础结构元素 (PKI),并允许使用TLS和带有关联数据的身份验证加密(AEAD) 加密保护客户端-服务器通信 通过网络时间协议(NTP)。

NTS 包括两个单独的协议: NTS-KE (NTS密钥建立可处理基于TLS的初始身份验证和密钥协商) 和NTS-EF (NTS扩展字段,负责加密和认证时间同步会话)。

NTS 向NTP数据包添加各种扩展字段 它通过cookie传输机制仅在客户端存储所有状态信息。 网络端口4460专用于处理NTS连接。

时间是许多协议(例如TLS)安全性的基础,我们依靠它来保护在线生命。 没有准确的时间,就无法确定凭据是否已过期。 缺少易于实现的安全时间协议一直是Internet安全的问题。

在最近发布的NTPsec 1.2.0和Chrony 4.0版本中提出了标准化NTS的第一个实现。

Chrony提供了单独的NTP客户端和服务器实现,用于在各种Linux发行版(包括Fedora,Ubuntu,SUSE / openSUSE和RHEL / CentOS)上同步准确的时间。

NTPsec是在Eric S. Raymond的领导下开发的 并且是NTPv4协议(NTP Classic 4.3.34)参考实现的分支,其重点是重新设计代码库以提高安全性(清除过时的代码,入侵防御方法和受保护的功能)与内存和链一起使用。

如果没有NTS或对称密钥身份验证,则无法保证您的计算机实际上正在与您认为的计算机正在使用NTP。 对称密钥身份验证很难配置且很痛苦,但是直到最近,它还是唯一的安全且标准化的NTP身份验证机制。 NTS使用进入Web公钥基础结构的工作来对NTP服务器进行身份验证,并确保在将计算机配置为与time.cloudflare.com进行通信时,这是计算机从中获取时间的服务器。

如果您想了解更多信息,可以查看详细信息 在下面的链接中。


成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责资料:AB Internet Networks 2008 SL
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。