O comitê IETF (Internet Engineering Task Force), que desenvolve protocolos e arquitetura da Internet, formação do RFC para o protocolo NTS (Network Time Security) e publicação da especificação associada sob o identificador . A RFC recebeu o status de “Padrão Proposto”, após o qual começarão os trabalhos para dar à RFC o status de rascunho de padrão (Draft Standard), o que na verdade significa uma estabilização completa do protocolo e levando em consideração todos os comentários feitos.
A padronização do NTS é um passo importante para melhorar a segurança dos serviços de sincronização de horário e proteger os usuários de ataques que imitam o servidor NTP ao qual o cliente se conecta. A manipulação dos invasores para definir a hora errada pode ser usada para comprometer a segurança de outros protocolos com reconhecimento de tempo, como o TLS. Por exemplo, alterar a hora pode levar a uma interpretação incorreta dos dados sobre a validade dos certificados TLS. Até agora, o NTP e a criptografia simétrica dos canais de comunicação não permitiam garantir que o cliente interagisse com o alvo e não com um servidor NTP falsificado, e a autenticação de chave não se generalizou porque é muito complicada de configurar.
O NTS usa elementos de uma infraestrutura de chave pública (PKI) e permite o uso de criptografia TLS e AEAD (Criptografia Autenticada com Dados Associados) para proteger criptograficamente as interações cliente-servidor usando NTP (Network Time Protocol). O NTS inclui dois protocolos separados: NTS-KE (Estabelecimento de chave NTS para lidar com autenticação inicial e negociação de chave sobre TLS) e NTS-EF (Campos de extensão NTS, responsáveis pela criptografia e autenticação da sessão de sincronização de horário). O NTS adiciona vários campos estendidos aos pacotes NTP e armazena todas as informações de estado apenas no lado do cliente usando um mecanismo de cookie. A porta de rede 4460 está alocada para processamento de conexões via protocolo NTS.
As primeiras implementações do NTS padronizado são propostas em versões publicadas recentemente и . fornece uma implementação independente de cliente e servidor NTP que é usada para sincronizar o tempo em várias distribuições Linux, incluindo Fedora, Ubuntu, SUSE/openSUSE e RHEL/CentOS. sob a liderança de Eric S. Raymond e é um fork da implementação de referência do protocolo NTPv4 (NTP Classic 4.3.34), focado em retrabalhar a base de código para melhorar a segurança (limpeza de código desatualizado, uso de métodos de prevenção de ataques e proteção funções para trabalhar com memória e strings).
Fonte: opennet.ru