보안 NTS 프로토콜을 지원하는 NTPsec 1.2.0 및 Chrony 4.0 NTP 서버 출시

인터넷 프로토콜과 아키텍처를 개발하는 IETF(Internet Engineering Task Force) 위원회는, 완료된 NTS(Network Time Security) 프로토콜에 대한 RFC를 형성하고 식별자로 관련 사양을 게시했습니다. RFC 8915. RFC는 "제안된 표준" 상태를 받은 후 RFC에 표준 초안(초안 표준) 상태를 부여하는 작업이 시작됩니다. 이는 실제로 프로토콜이 완전히 안정화되고 작성된 모든 의견을 고려함을 의미합니다.

NTS 표준화는 시간 동기화 서비스의 보안을 강화하고 클라이언트가 연결하는 NTP 서버를 모방하는 공격으로부터 사용자를 보호하기 위한 중요한 단계입니다. 공격자가 잘못된 시간을 설정하도록 조작하면 TLS와 같은 다른 시간 인식 프로토콜의 보안이 손상될 수 있습니다. 예를 들어, 시간을 변경하면 TLS 인증서의 유효성에 대한 데이터가 잘못 해석될 수 있습니다. 지금까지 NTP 및 통신 채널의 대칭 암호화로는 클라이언트가 스푸핑된 NTP 서버가 아닌 대상과 상호 작용한다는 것을 보장할 수 없었으며, 키 인증은 구성하기가 너무 복잡하기 때문에 널리 보급되지 않았습니다.

NTS는 공개 키 인프라(PKI) 요소를 사용하고 TLS 및 AEAD(인증된 암호화 관련 데이터) 암호화를 사용하여 NTP(네트워크 시간 프로토콜)를 사용하여 클라이언트-서버 상호 작용을 암호화 방식으로 보호합니다. NTS에는 NTS-KE(초기 인증 처리 및 TLS를 통한 키 협상을 위한 NTS 키 설정)와 NTS-EF(시간 동기화 세션의 암호화 및 인증을 담당하는 NTS 확장 필드)의 두 가지 별도 프로토콜이 포함되어 있습니다. NTS는 NTP 패킷에 여러 확장 필드를 추가하고 쿠키 메커니즘을 사용하여 클라이언트 측에만 모든 상태 정보를 저장합니다. 네트워크 포트 4460은 NTS 프로토콜을 통한 연결 처리를 위해 할당됩니다.

표준화된 NTS의 첫 번째 구현은 최근 게시된 릴리스에서 제안되었습니다. NTPsec 1.2.0 и 크로니 4.0. 크로니 Fedora, Ubuntu, SUSE/openSUSE 및 RHEL/CentOS를 포함한 다양한 Linux 배포판에서 시간을 동기화하는 데 사용되는 독립적인 NTP 클라이언트 및 서버 구현을 제공합니다. NTPsec 개발 중 Eric S. Raymond의 리더십 하에 NTPv4 프로토콜(NTP Classic 4.3.34)의 참조 구현 포크로, 보안을 향상하기 위해 코드 베이스를 재작업하는 데 중점을 둡니다(오래된 코드 정리, 공격 방지 방법 사용 및 보호). 메모리 및 문자열 작업을 위한 함수).

출처 : opennet.ru