Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой защищённого протокола NTS

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола NTS (Network Time Security) и опубликовал связанную с ним спецификацию под идентификатором RFC 8915. RFC получил статус «Предложенного стандарта», после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний.

Стандартизация NTS является важным шагом для повышения безопасности сервисов синхронизации точного времени и защиты пользователей от атак, имитирующих NTP-сервер, к которому подключается клиент. Манипуляции злоумышленников, связанные с установкой неверного времени, могут использоваться для нарушения безопасности других протоколов, учитывающих время, таких как TLS. Например, изменение времени может привести к неверной интерпретации данных о действии TLS-сертификатов. До сих пор NTP и симметричное шифрование каналов связи не позволяли гарантировать, что клиент взаимодействует с целевым, а не подменённым NTP-сервером, а аутентификация по ключам не получила распространение так как слишком усложнена для настройки.

NTS использует элементы инфраструктуры открытых ключей (PKI) и позволяет использовать TLS и аутентифицированное шифрование AEAD (Authenticated Encryption with Associated Data) для криптографической защиты взаимодействия клиента и сервера по протоколу NTP (Network Time Protocol). NTS включает в себя два отдельных протокола: NTS-KE (NTS Key Establishment для обработки начальной аутентификации и согласования ключей поверх TLS) и NTS-EF (NTS Extension Fields, отвечает за шифрование и аутентификацию сеанса синхронизации времени). NTS добавляет в пакеты NTP несколько расширенных полей и хранит всю информацию о состоянии только на стороне клиента, используя механизм передачи cookie. Для обработки соединений по протоколу NTS выделен сетевой порт 4460.

Первые реализации стандартизированного NTS предложены в на днях опубликованных выпусках NTPsec 1.2.0 и Сhrony 4.0. Сhrony предоставляет собой независимую реализацию клиента и сервера NTP, которая применяется для синхронизации точного времени в различных дистрибутивах Linux, в том числе в Fedora, Ubuntu, SUSE/openSUSE и RHEL/CentOS. NTPsec развивается под руководством Эрика Реймонда (Eric S. Raymond) и является форком эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированным на переработке кодовой базы с целью повышения безопасности (выполнена чистка устаревшего кода, задействованы методы предотвращения атак и защищённые функции для работы с памятью и строками).

Источник: opennet.ru