Abo
  • Services:
Anzeige
OpenNTPD wird bald eine Möglichkeit zum sicheren Stellen der Systemzeit bieten.
OpenNTPD wird bald eine Möglichkeit zum sicheren Stellen der Systemzeit bieten. (Bild: OpenNTPD)

OpenBSD: Sichere Uhrzeit mit NTP und HTTPS

OpenNTPD wird bald eine Möglichkeit zum sicheren Stellen der Systemzeit bieten.
OpenNTPD wird bald eine Möglichkeit zum sicheren Stellen der Systemzeit bieten. (Bild: OpenNTPD)

Das NTP-Protokoll, mit dem man die Systemzeit über das Internet stellen kann, bietet keine sichere Authentifizierung und ist anfällig für Man-in-the-Middle-Angriffe. Von OpenBSD kommt jetzt eine Lösung für dieses Problem - eine Kombination aus NTP und HTTPS zum sicheren Stellen der Uhrzeit.

Anzeige

Praktisch alle modernen Betriebssysteme bieten die Möglichkeit, die Systemzeit über das Internet zu stellen. Zu diesem Zweck kommt üblicherweise das NTP-Protokoll zum Einsatz. NTP ist eines der ältesten Internetprotokolle überhaupt, es wurde bereits Mitte der 80er Jahre entwickelt. Für heutige Sicherheitsanforderungen taugt NTP eigentlich nicht mehr, denn es bietet keinerlei kryptographische Absicherung der übertragenen Daten. Zwar muss die Uhrzeit nicht verschlüsselt werden, denn geheim ist sie natürlich nicht, aber NTP wird üblicherweise auch ohne Authentifizierung eingesetzt. Dadurch kann ein Angreifer einem System eine gefälschte Uhrzeit unterschieben. Das kann wiederum in weiteren Angriffen ausgenutzt werden.

NTP-Authentifizierung unsicher

Es gibt zwar eine authentifizierte Version von NTP, doch die wird kaum genutzt, und das aus gutem Grund: Vor einigen Jahren konnte gezeigt werden, dass diese Authentifizierung gravierende Sicherheitslücken hat und praktisch keinen Schutz gegen Angriffe bietet.

Einen alternativen Ansatz zum Setzen der Systemzeit verfolgt das von Jacob Appelbaum entwickelte Tool Tlsdate. Es nutzt den Timestamp einer TLS-Verbindung. Das ist zwar sicherer, hat aber einen Nachteil: Der Timestamp von TLS ist lediglich sekundengenau, außerdem wird die Laufzeit, die ein Datenpaket durchs Netz benötigt, nicht berücksichtigt. Damit sind bei Tlsdate Ungenauigkeiten im Bereich von ein bis zwei Sekunden möglich. Das ist für die meisten Desktop- und Serveranwendungen zwar egal, aber für Spezialanwendungen werden häufig genauere Uhrzeiten benötigt. Ein weiteres Problem von Tlsdate: Für die kommende TLS-Version 1.3 ist geplant, den Timestamp aus den TLS-Datenpaketen zu entfernen. Alternativ kann Tlsdate daher bereits heute auch die Zeit aus einem HTTP-Header nutzen.

HTTPS definiert Grenzen für NTP-Zeit

Die OpenBSD-Entwickler Reyk Flöter, Henning Brauer und Theo de Raadt haben nun eine neue Lösung für eine sichere Systemzeit vorgestellt. Bevor eine NTP-Abfrage gestartet wird, schickt der NTP-Daemon eine Anfrage an einen oder mehrere HTTPS-Server und liest die Zeit des HTTP-Headers aus. Die daraus ausgelesene Zeit wird allerdings wegen ihrer Ungenauigkeit nicht direkt genutzt. Sie dient nur dazu, eine Begrenzung der gültigen Zeit zu definieren. Anschließend wird wie bisher ein NTP-Server abgefragt. Sollte eine deutliche Abweichung zwischen der Zeit des HTTPS-Servers und des NTP-Servers bestehen, wird die Antwort des NTP-Servers verworfen.

Versucht nun ein Angreifer mittels einer Man-in-the-Middle-Attacke, die Systemzeit zu manipulieren, so fällt dies in der Regel auf. Lediglich im niedrigen Sekundenbereich fällt dabei eine Manipulation nicht auf. Das dürfte für praktische Angriffe kaum zu gebrauchen sein. Das Attraktive an dieser Lösung: Sie vereint die Vorteile von Tlsdate und NTP, gleichzeitig basiert das Konzept ausschließlich auf bestehenden Protokollen. Es sind keine Änderungen an der Serversoftware notwendig, man kann bestehende HTTPS- und NTP-Server nutzen.

Der Code ist Teil des NTP-Servers von OpenBSD. Dieser steht unter dem Namen OpenNTPD auch für andere Betriebssysteme zur Verfügung. Die aktuelle Version von OpenNTPD enthält die neue HTTPS-Funktionalität allerdings noch nicht. OpenBSD-Nutzer können die neue Funktion im CVS-Code des NTP-Daemons bereits testen.

Delorean ermöglicht Man-in-the-Middle-Angriffe

Dass Angriffe auf NTP-Verbindungen ein sehr praktisches Sicherheitsproblem sein können, zeigte im vergangenen Jahr der Sicherheitsforscher Jose Selvi auf der Black-Hat-Konferenz in Amsterdam. Wenn man einen PC mittels einer Man-in-the-Middle-Attacke in die Zukunft schickt, kann man die HTTPS-Erweiterung HTTP Strict Transport Security umgehen. Selvi entwickelte dafür das Tool Delorean, mit dem man Man-in-the-Middle-Angriffe auf NTP durchführen kann. Das Tool steht im Quellcode auf Github zur Verfügung.


eye home zur Startseite
Rabbit 17. Feb 2015

Weil NTP auf UDP basiert und nicht TCP, drum kann man nicht einfach TLS drum herum...

Wimmmmmmmmy 16. Feb 2015

Wie gesagt. NTP braucht vielleicht 40 kb. Die SSL Erweiterung kann gut es um 2-5 MB...

barforbarfoo 16. Feb 2015

Ohne Uhrzeit Zertifikate überprüfen, wer denkt sich so einen Mist aus.

Joe User 16. Feb 2015

Dass das NTP in seiner aktuellen Form suboptimal ist, steht ausser Frage. Aber man muss...

humpfor 16. Feb 2015

Das NTP ist ein Zustand der Oberklasse! Viele DDOS Attacken werden sogar von Servern...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, München
  2. operational services GmbH & Co. KG, Berlin
  3. Robert Bosch GmbH, Crailsheim
  4. Deutsche Telekom AG, Bonn


Anzeige
Blu-ray-Angebote
  1. 19,99€ (Vorbesteller-Preisgarantie)
  2. 23,94€ (Vorbesteller-Preisgarantie)
  3. (u. a. Jurassic World, Fast & Furious 7, Die Unfassbaren, Interstellar, Terminator 5)

Folgen Sie uns
       


  1. Android 7.0

    Erste Nougat-Portierung für Nexus 4 verfügbar

  2. Assistiertes Fahren

    Tesla-Autopilot-Update soll Unfälle verhindern

  3. AR-Brille

    Microsoft spricht über die Hardware der Hololens

  4. Ransomware

    Trojaner Fantom gaukelt kritisches Windows-Update vor

  5. Megaupload

    Gericht verhandelt über Dotcoms Auslieferung an die USA

  6. Observatory

    Mozilla bietet Sicherheitscheck für Websites

  7. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  8. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  9. Sicherheit

    Operas Server wurden angegriffen

  10. Maru

    Quellcode von Desktop-Android als Open Source verfügbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lernroboter-Test: Besser Technik lernen mit drei Freunden
Lernroboter-Test
Besser Technik lernen mit drei Freunden
  1. Kinderroboter Myon Einauge lernt, Einauge hat Körper
  2. Landwirtschaft 4.0 Swagbot hütet das Vieh
  3. Künstliche Muskeln Skelettroboter klappert mit den Zähnen

Mobilfunk: Eine Woche in Deutschland im Funkloch
Mobilfunk
Eine Woche in Deutschland im Funkloch
  1. Netzwerk Mehrere regionale Mobilfunkausfälle bei Vodafone
  2. Hutchison 3 Google-Mobilfunk Project Fi soll zwanzigmal schneller werden
  3. RWTH Ericsson startet 5G-Machbarkeitsnetz in Aachen

No Man's Sky im Test: Interstellare Emotionen durch schwarze Löcher
No Man's Sky im Test
Interstellare Emotionen durch schwarze Löcher
  1. No Man's Sky für PC Läuft nicht, stottert, nervt
  2. No Man's Sky Onlinedienste wegen Überlastung offline
  3. Hello Games No Man's Sky bekommt Raumstationsbau

  1. Re: Wenn wir jetzt noch den Faktor "bei gleicher...

    Tamashii | 08:54

  2. Naß?

    lear | 08:54

  3. Re: Q.E.D.

    Trollversteher | 08:53

  4. Re: Windows-Update?

    the_wayne | 08:52

  5. Re: Was? Kann doch gar nicht sein.

    Dwalinn | 08:47


  1. 08:49

  2. 07:52

  3. 07:26

  4. 13:49

  5. 12:46

  6. 11:34

  7. 15:59

  8. 15:18


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel