IETF (Internet Engineering Task Force) Committee, som utvecklar protokollen och arkitekturen för Internet, bildandet av RFC för NTS-protokollet (Network Time Security) och publicerade den tillhörande specifikationen under identifieraren . RFC fick statusen "Proposed Standard", varefter arbetet påbörjas med att ge RFC status som ett utkast till standard (Draft Standard), vilket egentligen innebär en fullständig stabilisering av protokollet och med beaktande av alla kommentarer som gjorts.
Standardisering av NTS är ett viktigt steg för att förbättra säkerheten för tidssynkroniseringstjänster och skydda användare från attacker som imiterar NTP-servern som klienten ansluter till. Angripares manipulation av att ställa in fel tid kan användas för att äventyra säkerheten för andra tidsmedvetna protokoll, såsom TLS. Ändring av tiden kan till exempel leda till feltolkning av data om TLS-certifikatens giltighet. Hittills har NTP och symmetrisk kryptering av kommunikationskanaler inte gjort det möjligt att garantera att klienten interagerar med målet och inte en falsk NTP-server, och nyckelautentisering har inte blivit utbredd eftersom den är för komplicerad att konfigurera.
NTS använder delar av en offentlig nyckelinfrastruktur (PKI) och tillåter användning av TLS- och AEAD-kryptering (Authenticated Encryption with Associated Data) för att kryptografiskt skydda klient-server-interaktioner med hjälp av NTP (Network Time Protocol). NTS inkluderar två separata protokoll: NTS-KE (NTS Key Establishment för hantering av initial autentisering och nyckelförhandling över TLS) och NTS-EF (NTS Extension Fields, ansvarig för kryptering och autentisering av tidssynkroniseringssessionen). NTS lägger till flera utökade fält till NTP-paket och lagrar all tillståndsinformation endast på klientsidan med hjälp av en cookie-mekanism. Nätverksport 4460 är tilldelad för bearbetning av anslutningar via NTS-protokollet.
De första implementeringarna av den standardiserade NTS föreslås i nyligen publicerade utgåvor и . tillhandahåller en oberoende NTP-klient- och serverimplementering som används för att synkronisera tid över olika Linux-distributioner, inklusive Fedora, Ubuntu, SUSE/openSUSE och RHEL/CentOS. under ledning av Eric S. Raymond och är en del av referensimplementeringen av NTPv4-protokollet (NTP Classic 4.3.34), fokuserad på att omarbeta kodbasen för att förbättra säkerheten (rensa föråldrad kod, använda attackförebyggande metoder och skyddad funktioner för att arbeta med minne och strängar).
Källa: opennet.ru