Das IETF-Komitee (Internet Engineering Task Force), das Internetprotokolle und -architektur entwickelt, Gründung des RFC für das NTS-Protokoll (Network Time Security) und veröffentlichte die zugehörige Spezifikation unter der Kennung . Der RFC erhielt den Status eines „vorgeschlagenen Standards“. Danach wird mit der Arbeit begonnen, dem RFC den Status eines Standardentwurfs (Draft Standard) zu verleihen, was eigentlich eine vollständige Stabilisierung des Protokolls und die Berücksichtigung aller abgegebenen Kommentare bedeutet.
Die Standardisierung von NTS ist ein wichtiger Schritt, um die Sicherheit von Zeitsynchronisierungsdiensten zu verbessern und Benutzer vor Angriffen zu schützen, die den NTP-Server imitieren, mit dem sich der Client verbindet. Die Manipulation der falschen Zeit durch Angreifer kann dazu genutzt werden, die Sicherheit anderer zeitbewusster Protokolle wie TLS zu gefährden. Beispielsweise kann eine Änderung der Uhrzeit zu einer Fehlinterpretation von Daten über die Gültigkeit von TLS-Zertifikaten führen. Bisher war es mit NTP und der symmetrischen Verschlüsselung von Kommunikationskanälen nicht möglich, zu garantieren, dass der Client mit dem Ziel und nicht mit einem gefälschten NTP-Server interagiert, und die Schlüsselauthentifizierung hat sich nicht durchgesetzt, weil sie zu kompliziert zu konfigurieren ist.
NTS nutzt Elemente einer Public-Key-Infrastruktur (PKI) und ermöglicht die Verwendung von TLS- und AEAD-Verschlüsselung (Authenticated Encryption with Associated Data), um Client-Server-Interaktionen mithilfe von NTP (Network Time Protocol) kryptografisch zu schützen. NTS umfasst zwei separate Protokolle: NTS-KE (NTS Key Establishment zur Abwicklung der Erstauthentifizierung und Schlüsselaushandlung über TLS) und NTS-EF (NTS Extension Fields, verantwortlich für die Verschlüsselung und Authentifizierung der Zeitsynchronisationssitzung). NTS fügt den NTP-Paketen mehrere erweiterte Felder hinzu und speichert alle Statusinformationen nur auf der Clientseite mithilfe eines Cookie-Mechanismus. Der Netzwerkport 4460 ist für die Verarbeitung von Verbindungen über das NTS-Protokoll reserviert.
Die ersten Implementierungen des standardisierten NTS werden in kürzlich veröffentlichten Versionen vorgeschlagen и . bietet eine unabhängige NTP-Client- und Server-Implementierung, die zur Zeitsynchronisierung verschiedener Linux-Distributionen verwendet wird, darunter Fedora, Ubuntu, SUSE/openSUSE und RHEL/CentOS. unter der Leitung von Eric S. Raymond und ist eine Abzweigung der Referenzimplementierung des NTPv4-Protokolls (NTP Classic 4.3.34), die sich auf die Überarbeitung der Codebasis konzentriert, um die Sicherheit zu verbessern (veralteter Code wurde bereinigt, Methoden zur Angriffsverhinderung usw.). geschützte Funktionen für die Arbeit mit Speicher und Strings).
Source: opennet.ru