Abo
  • Services:
Anzeige
OpenNTPD wird bald eine Möglichkeit zum sicheren Stellen der Systemzeit bieten.
OpenNTPD wird bald eine Möglichkeit zum sicheren Stellen der Systemzeit bieten. (Bild: OpenNTPD)

OpenBSD: Sichere Uhrzeit mit NTP und HTTPS

OpenNTPD wird bald eine Möglichkeit zum sicheren Stellen der Systemzeit bieten.
OpenNTPD wird bald eine Möglichkeit zum sicheren Stellen der Systemzeit bieten. (Bild: OpenNTPD)

Das NTP-Protokoll, mit dem man die Systemzeit über das Internet stellen kann, bietet keine sichere Authentifizierung und ist anfällig für Man-in-the-Middle-Angriffe. Von OpenBSD kommt jetzt eine Lösung für dieses Problem - eine Kombination aus NTP und HTTPS zum sicheren Stellen der Uhrzeit.

Anzeige

Praktisch alle modernen Betriebssysteme bieten die Möglichkeit, die Systemzeit über das Internet zu stellen. Zu diesem Zweck kommt üblicherweise das NTP-Protokoll zum Einsatz. NTP ist eines der ältesten Internetprotokolle überhaupt, es wurde bereits Mitte der 80er Jahre entwickelt. Für heutige Sicherheitsanforderungen taugt NTP eigentlich nicht mehr, denn es bietet keinerlei kryptographische Absicherung der übertragenen Daten. Zwar muss die Uhrzeit nicht verschlüsselt werden, denn geheim ist sie natürlich nicht, aber NTP wird üblicherweise auch ohne Authentifizierung eingesetzt. Dadurch kann ein Angreifer einem System eine gefälschte Uhrzeit unterschieben. Das kann wiederum in weiteren Angriffen ausgenutzt werden.

NTP-Authentifizierung unsicher

Es gibt zwar eine authentifizierte Version von NTP, doch die wird kaum genutzt, und das aus gutem Grund: Vor einigen Jahren konnte gezeigt werden, dass diese Authentifizierung gravierende Sicherheitslücken hat und praktisch keinen Schutz gegen Angriffe bietet.

Einen alternativen Ansatz zum Setzen der Systemzeit verfolgt das von Jacob Appelbaum entwickelte Tool Tlsdate. Es nutzt den Timestamp einer TLS-Verbindung. Das ist zwar sicherer, hat aber einen Nachteil: Der Timestamp von TLS ist lediglich sekundengenau, außerdem wird die Laufzeit, die ein Datenpaket durchs Netz benötigt, nicht berücksichtigt. Damit sind bei Tlsdate Ungenauigkeiten im Bereich von ein bis zwei Sekunden möglich. Das ist für die meisten Desktop- und Serveranwendungen zwar egal, aber für Spezialanwendungen werden häufig genauere Uhrzeiten benötigt. Ein weiteres Problem von Tlsdate: Für die kommende TLS-Version 1.3 ist geplant, den Timestamp aus den TLS-Datenpaketen zu entfernen. Alternativ kann Tlsdate daher bereits heute auch die Zeit aus einem HTTP-Header nutzen.

HTTPS definiert Grenzen für NTP-Zeit

Die OpenBSD-Entwickler Reyk Flöter, Henning Brauer und Theo de Raadt haben nun eine neue Lösung für eine sichere Systemzeit vorgestellt. Bevor eine NTP-Abfrage gestartet wird, schickt der NTP-Daemon eine Anfrage an einen oder mehrere HTTPS-Server und liest die Zeit des HTTP-Headers aus. Die daraus ausgelesene Zeit wird allerdings wegen ihrer Ungenauigkeit nicht direkt genutzt. Sie dient nur dazu, eine Begrenzung der gültigen Zeit zu definieren. Anschließend wird wie bisher ein NTP-Server abgefragt. Sollte eine deutliche Abweichung zwischen der Zeit des HTTPS-Servers und des NTP-Servers bestehen, wird die Antwort des NTP-Servers verworfen.

Versucht nun ein Angreifer mittels einer Man-in-the-Middle-Attacke, die Systemzeit zu manipulieren, so fällt dies in der Regel auf. Lediglich im niedrigen Sekundenbereich fällt dabei eine Manipulation nicht auf. Das dürfte für praktische Angriffe kaum zu gebrauchen sein. Das Attraktive an dieser Lösung: Sie vereint die Vorteile von Tlsdate und NTP, gleichzeitig basiert das Konzept ausschließlich auf bestehenden Protokollen. Es sind keine Änderungen an der Serversoftware notwendig, man kann bestehende HTTPS- und NTP-Server nutzen.

Der Code ist Teil des NTP-Servers von OpenBSD. Dieser steht unter dem Namen OpenNTPD auch für andere Betriebssysteme zur Verfügung. Die aktuelle Version von OpenNTPD enthält die neue HTTPS-Funktionalität allerdings noch nicht. OpenBSD-Nutzer können die neue Funktion im CVS-Code des NTP-Daemons bereits testen.

Delorean ermöglicht Man-in-the-Middle-Angriffe

Dass Angriffe auf NTP-Verbindungen ein sehr praktisches Sicherheitsproblem sein können, zeigte im vergangenen Jahr der Sicherheitsforscher Jose Selvi auf der Black-Hat-Konferenz in Amsterdam. Wenn man einen PC mittels einer Man-in-the-Middle-Attacke in die Zukunft schickt, kann man die HTTPS-Erweiterung HTTP Strict Transport Security umgehen. Selvi entwickelte dafür das Tool Delorean, mit dem man Man-in-the-Middle-Angriffe auf NTP durchführen kann. Das Tool steht im Quellcode auf Github zur Verfügung.


eye home zur Startseite
Rabbit 17. Feb 2015

Weil NTP auf UDP basiert und nicht TCP, drum kann man nicht einfach TLS drum herum...

Wimmmmmmmmy 16. Feb 2015

Wie gesagt. NTP braucht vielleicht 40 kb. Die SSL Erweiterung kann gut es um 2-5 MB...

barforbarfoo 16. Feb 2015

Ohne Uhrzeit Zertifikate überprüfen, wer denkt sich so einen Mist aus.

Joe User 16. Feb 2015

Dass das NTP in seiner aktuellen Form suboptimal ist, steht ausser Frage. Aber man muss...

humpfor 16. Feb 2015

Das NTP ist ein Zustand der Oberklasse! Viele DDOS Attacken werden sogar von Servern...



Anzeige

Stellenmarkt
  1. Bremer Tageszeitungen AG, Bremen
  2. BOGE, Bielefeld
  3. über Tröger & Cie. Aktiengesellschaft, Baden-Württemberg
  4. T-Systems International GmbH, Leinfelden-Echterdingen


Anzeige
Spiele-Angebote
  1. 28,99€
  2. 448,99€

Folgen Sie uns
       


  1. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  2. Internetsicherheit

    Die CDU will Cybersouverän werden

  3. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  4. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone

  5. XPG SX8000

    Adatas erste PCIe-NVMe-SSD nutzt bewährte Komponenten

  6. UBBF2016

    Telefónica will 2G-Netz in vielen Ländern abschalten

  7. Mögliche Übernahme

    Qualcomm interessiert sich für NXP Semiconductors

  8. Huawei

    Vectoring erreicht bald 250 MBit/s in Deutschland

  9. Kaufberatung

    Das richtige Solid-State-Drive

  10. Android-Smartphone

    Huawei bringt Nova Plus doch nach Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Original und Fork im Vergleichstest: Nextcloud will das bessere Owncloud sein
Original und Fork im Vergleichstest
Nextcloud will das bessere Owncloud sein
  1. Koop mit Canonical und WDLabs Nextcloud Box soll eigenes Hosten ermöglichen
  2. Kollaborationsserver Nextcloud 10 verbessert Server-Administration
  3. Open Source Nextcloud setzt sich mit Enterprise-Support von Owncloud ab

Rocketlab: Neuseeland genehmigt Start für erste elektrische Rakete
Rocketlab
Neuseeland genehmigt Start für erste elektrische Rakete
  1. Osiris Rex Asteroid Bennu, wir kommen!
  2. Raumfahrt Erster Apollo-Bordcomputer aus dem Schrott gerettet
  3. Startups Wie Billig-Raketen die Raumfahrt revolutionieren

Interview mit Insider: Facebook hackt Staat und Gemeinschaft
Interview mit Insider
Facebook hackt Staat und Gemeinschaft
  1. Systemüberwachung Facebook veröffentlicht Osquery für Windows
  2. Facebook 100.000 Hassinhalte in einem Monat gelöscht
  3. Nach Whatsapp-Datentausch Facebook und Oculus werden enger zusammengeführt

  1. Re: Die E-Fahrzeuge von Mercedes sollen künftig...

    laserbeamer | 01:39

  2. Re: Warum nicht sicher landen...

    frostbitten king | 01:28

  3. Re: Pflaumen

    Moe479 | 01:17

  4. Die Reichweite nach Fahrzyklus NEFZ ist...

    Atalanttore | 01:14

  5. Tripple Level

    kernash | 01:14


  1. 19:24

  2. 19:05

  3. 18:25

  4. 17:29

  5. 14:07

  6. 13:45

  7. 13:18

  8. 12:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel