De IETF-commissie (Internet Engineering Task Force), die internetprotocollen en -architectuur ontwikkelt, heeft de RFC voor het NTS-protocol (Network Time Security) opgesteld en de bijbehorende specificatie gepubliceerd onder de identificatiecode . De RFC kreeg de status van een “Proposed Standard”, waarna het werk zal beginnen om de RFC de status van een conceptstandaard (Draft Standard) te geven, wat feitelijk een volledige stabilisatie van het protocol betekent en rekening houdend met alle gemaakte opmerkingen.
Standaardisatie van NTS is een belangrijke stap in het verbeteren van de beveiliging van nauwkeurige tijdsynchronisatieservices en het beschermen van gebruikers tegen aanvallen die de NTP-server imiteren waarmee de client verbinding maakt. Manipulatie van onjuiste tijdsinstellingen door aanvallers kan worden gebruikt om de beveiliging van andere tijdsbewuste protocollen, zoals TLS, in gevaar te brengen. Het wijzigen van de tijd kan bijvoorbeeld leiden tot een verkeerde interpretatie van de geldigheidsgegevens van het TLS-certificaat. Tot nu toe konden we met NTP en symmetrische encryptie van communicatiekanalen niet garanderen dat de client met het doel communiceerde en niet met een vervalste NTP-server. Bovendien werd authenticatie met sleutels niet op grote schaal toegepast, omdat het te ingewikkeld was om te configureren.
NTS maakt gebruik van elementen van de Public Key Infrastructure (PKI) en maakt het gebruik van TLS en geauthenticeerde encryptie AEAD (Authenticated Encryption with Associated Data) mogelijk om client-serverinteracties via het NTP (Network Time Protocol) cryptografisch te beschermen. NTS omvat twee afzonderlijke protocollen: NTS-KE (NTS Key Establishment, voor het afhandelen van de initiële authenticatie en sleutelovereenkomst via TLS) en NTS-EF (NTS Extension Fields, verantwoordelijk voor de encryptie en authenticatie van de tijdsynchronisatiesessie). NTS voegt verschillende uitgebreide velden toe aan NTP-pakketten en slaat alle statusinformatie alleen aan de clientzijde op met behulp van een cookiemechanisme. Netwerkpoort 4460 is toegewezen voor het verwerken van verbindingen via het NTS-protocol.
De eerste implementaties van de gestandaardiseerde NTS werden voorgesteld in recent gepubliceerde uitgaven и . biedt een onafhankelijke implementatie van de NTP-client en -server, die wordt gebruikt voor nauwkeurige tijdsynchronisatie in verschillende Linux-distributies, waaronder Fedora, Ubuntu, SUSE/openSUSE en RHEL/CentOS. onder leiding van Eric S. Raymond en is een fork van de referentie-implementatie van het NTPv4-protocol (NTP Classic 4.3.34) die zich richt op het herwerken van de codebase om de beveiliging te verbeteren (het opschonen van verouderde code, het implementeren van technieken ter voorkoming van aanvallen en het implementeren van veilige functies voor het werken met geheugen en strings).
Bron: opennet.ru
