インターネットのプロトコルとアーキテクチャを開発する IETF (Internet Engineering Task Force) 委員会は、 NTS (Network Time Security) プロトコルの RFC を形成し、関連する仕様を識別子の下で公開しました。 。 RFC は「標準案」のステータスを受け取り、その後、RFC に標準草案 (標準草案) のステータスを与える作業が開始されます。これは、実際にはプロトコルの完全な安定化を意味し、寄せられたすべてのコメントを考慮します。
NTS の標準化は、時刻同期サービスのセキュリティを向上させ、クライアントが接続する NTP サーバーを模倣する攻撃からユーザーを保護するための重要なステップです。 攻撃者が不正な時刻を設定する操作を利用すると、TLS などの他の時刻認識プロトコルのセキュリティが侵害される可能性があります。 たとえば、時刻を変更すると、TLS 証明書の有効性に関するデータの誤解が生じる可能性があります。 これまで、NTP と通信チャネルの対称暗号化では、クライアントがスプーフィングされた NTP サーバーではなくターゲットと対話することを保証できず、キー認証は構成が複雑すぎるため普及していませんでした。
NTS は、公開キー基盤 (PKI) の要素を使用し、TLS および AEAD (関連データによる認証暗号化) 暗号化の使用を許可し、NTP (ネットワーク タイム プロトコル) を使用してクライアントとサーバーの対話を暗号的に保護します。 NTS には、NTS-KE (TLS を介した初期認証とキー ネゴシエーションを処理するための NTS キー確立) と NTS-EF (時刻同期セッションの暗号化と認証を担当する NTS 拡張フィールド) という 4460 つの個別のプロトコルが含まれています。 NTS は、NTP パケットにいくつかの拡張フィールドを追加し、Cookie メカニズムを使用してすべての状態情報をクライアント側にのみ保存します。 ネットワーク ポート XNUMX は、NTS プロトコル経由で接続を処理するために割り当てられます。
標準化された NTS の最初の実装は、最近公開されたリリースで提案されています и . は、Fedora、Ubuntu、SUSE/openSUSE、RHEL/CentOS などのさまざまな Linux ディストリビューション間で時刻を同期するために使用される、独立した NTP クライアントとサーバーの実装を提供します。 Eric S. Raymond のリーダーシップの下、NTPv4 プロトコル (NTP Classic 4.3.34) のリファレンス実装のフォークであり、セキュリティを向上させるためにコード ベースを再加工することに重点を置いています (古いコードのクレンジング、攻撃防止方法の使用、保護されたコードの使用)。メモリと文字列を操作するための関数)。
出所: オープンネット.ru