IETF(網際網路工程任務小組)委員會,負責開發網際網路協定和架構, 形成 NTS(網路時間安全)協定的 RFC 並在識別碼下發布相關規範 。 RFC 獲得了「擬議標準」的地位,之後工作將開始賦予 RFC 標準草案(標準草案)的地位,這實際上意味著協議的完全穩定並考慮到所有提出的意見。
標準化NTS是提高時間同步服務安全性、保護使用者免受模仿客戶端連接的NTP伺服器的攻擊的重要一步。 攻擊者設定錯誤時間的操作可用於損害其他時間感知協定(例如 TLS)的安全性。 例如,變更時間可能會導致有關 TLS 憑證有效性的資料的誤解。 到目前為止,NTP 和通訊通道的對稱加密無法保證客戶端與目標而不是欺騙的 NTP 伺服器進行交互,並且金鑰身份驗證由於配置過於複雜而尚未普及。
NTS 使用公鑰基礎架構 (PKI) 的元素,並允許使用 TLS 和 AEAD(關聯資料驗證加密)加密,透過 NTP(網路時間協定)以加密方式保護用戶端與伺服器之間的互動。 NTS 包括兩個獨立的協定:NTS-KE(NTS 金鑰建立,用於處理初始驗證和基於TLS 的金鑰協商)和NTS-EF(NTS 擴充字段,負責時間同步會話的加密和驗證) 。 NTS在NTP封包中新增了幾個擴充字段,並使用cookie機制僅在客戶端儲存所有狀態資訊。 網路連接埠 4460 分配用於透過 NTS 協定處理連線。
在最近發布的版本中提出了標準化 NTS 的首次實現 и . 提供獨立的 NTP 用戶端和伺服器實現,用於跨各種 Linux 發行版(包括 Fedora、Ubuntu、SUSE/openSUSE 和 RHEL/CentOS)同步時間。 在Eric S. Raymond 的領導下,它是NTPv4 協議(NTP Classic 4.3.34)參考實現的一個分支,專注於重新設計程式碼庫以提高安全性(清理過時的程式碼、使用攻擊預防方法和受保護的程式碼)用於處理記憶體和字串的函數)。
來源: opennet.ru