Network Time Security: IETF sichert NTP ab

Bisher lässt sich die Kommunikation zwischen NTP-Servern und Clients nur schwer absichern. Der IETF-Standard NTS soll das ändern.

Artikel veröffentlicht am ,
NTS soll die Zeitsynchronisation im Internet absichern.
NTS soll die Zeitsynchronisation im Internet absichern. (Bild: Pixabay)

Die Internet Engineering Task Force (IETF) hat den Standard Network Time Security (NTS) als RFC 8915 veröffentlicht. Diese kündigte die Internet Society in ihrem Blog an. Ziel von NTS ist es, die Nutzung des bisher breit eingesetzten Network Time Protocol (NTP) grundlegend abzusichern. Dazu sollen kryptografische Grundfunktion genutzt werden, damit Clients künftig die Authentizität und Integrität von NTP-Servern sicherstellen können. Bisher war dies zwar auch möglich, jedoch deutlich komplizierter und praktisch kaum für alle umsetzbar.

Stellenmarkt
  1. Technische Fachkraft für das Medienzentrum (w-m-d)
    Kreis Offenbach, Dreieich
  2. Application Manager Supply Chain Management (m/w/x)
    ALDI SÜD Dienstleistungs-SE & Co. oHG, Duisburg
Detailsuche

Hintergrund der Arbeiten an NTS ist, dass viele wichtige Funktionen im Internet auf korrekte Zeitstempel angewiesen sind. Das betrifft etwa die meisten kryptografischen Funktionen, um gültige Laufzeiten für Zertifikate und Signaturen festzulegen. Auch für das Caching bestimmter Informationen ist eine richtige Zeitangabe essentiell, um die Korrektheit der zwischengespeicherten Daten zu überprüfen.

Das klassische NTP setzt zur Absicherung der Kommunikation bisher auf symmetrische Schlüssel, die für jeden Client verteilt werden mussten. Anschließend musste noch manuell deren Nutzung konfiguriert werden. Die US-Standardisierungsbehörde verschickte diese Schlüssel laut Anbieter Cloudflare etwa über die Post oder per Fax. Dieses Vorgehen skaliert aber offensichtlich nicht besonders gut, wenn alle Clients weltweit abgesichert werden sollen, die NTP nutzen.

Zweitstufiges neues Protokoll

Genau dort setzt NTS mit seinem zweistufigen Protokoll an. Zunächst tauschen Client und Server Schlüssel über einen separaten Kanal aus. Dies wird NTS Key Exchange genannt und basiert auf dem neuen TLS 1.3. Dabei kann auf Grundlage bestehender PKI-Technik mittels Zertifikaten auch der Server authentifiziert werden. Das dann ausgetauschte Schlüsselmaterial wird letztlich über Erweiterungsfelder in den NTP-Nachrichten selbst genutzt, um deren Authentizität und Integrität zu überprüfen.

Golem Akademie
  1. Data Engineering mit Apache Spark: virtueller Zwei-Tage-Workshop
    25.–26. April 2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    17.–21. Januar 2022, virtuell
Weitere IT-Trainings

Unterstützt wird das neue Protokoll von den Open-Source-Projekten Chrony und NTPSec. Darüber hinaus unterstützen bereits Netnod sowie Cloudflare das neue NTS-Protokoll für ihre Zeitserver. Details zu NTS haben wir in einem Artikel im Sommer 2019 beschrieben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Treibstoffe
E-Fuels-Produktion in der Praxis

Über E-Fuels, also aus Ökostrom hergestellte Kraftstoffe, wird viel diskutiert. Real produziert werden sie bislang kaum.
Von Hanno Böck

Treibstoffe: E-Fuels-Produktion in der Praxis
Artikel
  1. Ransomware: Russland nimmt Revil-Mitglieder fest
    Ransomware
    Russland nimmt Revil-Mitglieder fest

    Auf Ersuchen der USA hat Russland Mitglieder und Infrastruktur der Ransomware-Gruppe Revil festgesetzt.

  2. Datenschutz: Bremen und Brandenburg wollen aus Luca-App aussteigen
    Datenschutz
    Bremen und Brandenburg wollen aus Luca-App aussteigen

    Die Luca-App habe in den vergangen Jahren keinen großen Mehrwert gezeigt, heißt es aus Bremen. Unterdessen griff die Polizei auf die Daten der App zu.

  3. Klimaschutz: Verbrennerkauf - warum der Verkehrsminister Recht hat
    Klimaschutz
    Verbrennerkauf - warum der Verkehrsminister Recht hat

    Bundesverkehrsminister Volker Wissing (FDP) warnt vor dem Kauf neuer Autos mit Verbrennungsmotor, weil fossile Brennstoffe keine Lösung sind - auch nicht als E-Fuels.
    Ein IMHO von Andreas Donath

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u.a. WD Blue 3D 1TB 79€, be quiet! Straight Power 11 850W 119€ u. PowerColor RX 6600 Hellhound 529€) • Alternate: Weekend-Deals • HyperX Cloud II Wireless 107,19€ • Cooler Master MH752 54,90€ • Gainward RTX 3080 12GB 1.599€ • Saturn-Hits • 3 für 2: Marvel & Star Wars [Werbung]
    •  /