Comitetul IETF (Internet Engineering Task Force), care dezvoltă protocoale și arhitectură Internet, formarea RFC pentru protocolul NTS (Network Time Security) și a publicat specificația asociată sub identificator . RFC a primit statutul de „Standard propus”, după care se vor începe lucrările pentru a da RFC statutul de proiect de standard (Draft Standard), ceea ce înseamnă de fapt o stabilizare completă a protocolului și luarea în considerare a tuturor comentariilor făcute.
Standardizarea NTS este un pas important pentru a îmbunătăți securitatea serviciilor de sincronizare a timpului și pentru a proteja utilizatorii de atacurile care imită serverul NTP la care se conectează clientul. Manipularea atacatorilor de setare a orei greșite poate fi folosită pentru a compromite securitatea altor protocoale conștiente de timp, cum ar fi TLS. De exemplu, modificarea orei poate duce la interpretarea greșită a datelor despre valabilitatea certificatelor TLS. Până acum, NTP și criptarea simetrică a canalelor de comunicație nu a permis garantarea faptului că clientul interacționează cu ținta și nu cu un server NTP falsificat, iar autentificarea cu chei nu a devenit larg răspândită deoarece este prea complicat de configurat.
NTS folosește elemente ale unei infrastructuri cu chei publice (PKI) și permite utilizarea criptării TLS și AEAD (Encryption Authenticated with Associated Data) pentru a proteja criptografic interacțiunile client-server folosind NTP (Network Time Protocol). NTS include două protocoale separate: NTS-KE (NTS Key Establishment pentru gestionarea autentificării inițiale și a negocierii cheilor prin TLS) și NTS-EF (NTS Extension Fields, responsabil pentru criptarea și autentificarea sesiunii de sincronizare a timpului). NTS adaugă câteva câmpuri extinse la pachetele NTP și stochează toate informațiile de stare numai pe partea clientului folosind un mecanism cookie. Portul de rețea 4460 este alocat pentru procesarea conexiunilor prin protocolul NTS.
Primele implementări ale NTS standardizate sunt propuse în versiunile publicate recent и . oferă o implementare independentă de client și server NTP, care este utilizată pentru a sincroniza timpul în diverse distribuții Linux, inclusiv Fedora, Ubuntu, SUSE/openSUSE și RHEL/CentOS. sub conducerea lui Eric S. Raymond și este o bifurcație a implementării de referință a protocolului NTPv4 (NTP Classic 4.3.34), axat pe reelaborarea bazei de cod în scopul îmbunătățirii securității (curățarea codului învechit, utilizarea metodelor de prevenire a atacurilor și protejat). funcții pentru lucrul cu memorie și șiruri).
Sursa: opennet.ru