• IT-Karriere:
  • Services:

Alte NTP-Authentifizierung ist entweder unpraktikabel oder unsicher

NTP selbst hat bereits zwei Authentifizierungsmodi. Einer davon nutzt symmetrische Schlüssel und funktioniert zwar theoretisch, in der Praxis skaliert das Konzept aber nicht. Jeder Client müsste sich hierfür zuerst mit einem Serverbetreiber auf einen gemeinsamen Schlüssel einigen. Es gab auch bereits 2010 den Versuch, eine asymmetrische Authentifizierung in NTP einzuführen, das entsprechende Protokoll nennt sich Autokey. Doch das Protokoll hat gravierende Sicherheitslücken und sollte daher nicht genutzt werden.

Stellenmarkt
  1. PKS Software GmbH, Eschborn
  2. Stadt Korschenbroich, Korschenbroich

Seit einigen Jahren gibt es jetzt Bemühungen, einen neuen Anlauf für sicheres NTP zu starten. Die Entwicklung dauerte länger als erwartet, aber jetzt steht das neu entwickelte Network Time Security kurz vor der Fertigstellung. Es gibt bereits erste Server und Implementierungen.

Schlüsselaustausch über TLS-Verbindung

Network Time Security funktioniert so, dass zunächst eine TLS-Verbindung zwischen Client und Server aufgebaut wird. Hierbei prüft der Client das Zertifikat des Servers und kann sich somit sicher sein, dass er mit dem richtigen Server kommuniziert. Vor bösartigen Servern bietet das Protokoll keinen Schutz, der Client muss darauf vertrauen, dass der Server eine korrekte Uhrzeit liefert. Aber ein Angreifer im Netzwerk kann keine Manipulationen mehr vornehmen.

Dabei schickt der Server dem Client mehrere symmetrische Schlüssel und dazugehörige Cookies. In den Cookies ist derselbe Schlüssel ebenfalls enthalten, jedoch in verschlüsselter Form. Damit muss der Server für die verschiedenen Clients keine Daten vorhalten, er benötigt lediglich einen Masterschlüssel, mit dem die Cookies ver- und entschlüsselt werden. Mit diesen Schlüsseln und Cookies wird anschließend die Verbindung zwischen Client und Server abgesichert, hierfür kommt ein authentifiziertes Verschlüsselungsverfahren zum Einsatz.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Neben der Authentifizierung des Servers war ein Ziel bei der Entwicklung von NTS auch, dass es nicht zum Tracken von Clients anhand des Netzwerkverkehrs genutzt werden kann. Daher sollten die vom Server verschickten Cookies nur einmal verwendet werden - andernfalls kann jemand, der den Netzwerkverkehr beobachtet, einen Client wiedererkennen.

Die separate TLS-Verbindung hat den Grund, dass das NTP-Protokoll selbst wenig Overhead haben sollte, da es eine möglichst genaue Synchronisierung der Uhrzeit ermöglichen soll. Die Zeitverzögerung durch den Overhead von TLS wäre da problematisch. Die für die NTP-Verbindung genutzte rein symmetrische authentifizierte Verschlüsselung lässt sich relativ schnell durchführen.

Für die Verschlüsselung und Authentifizierung nutzt NTS standardmäßig den bislang eher selten genutzten Verschlüsselungsmodus AES-SIV. Dieses Verfahren - SIV steht für Synthetic Initialization Vector - hat die besondere Eigenschaft, dass es auch dann noch Sicherheit bietet, wenn derselbe Nonce-Wert mehrfach verwendet wird. Bei klassischen Verschlüsselungsmodi führt ein doppelter Nonce zu gravierenden Sicherheitslücken.

Erste Implementierungen und Server

Auf der IETF-Konferenz im März gab es einen Hackathon, bei dem verschiedene NTP-Softwareprojekte Unterstützung für NTS erstellt und die Interoperabilität getestet haben. Inzwischen unterstützt mit NTPSec die erste Software NTS in einem kürzlich veröffentlichten Release. Es ist davon auszugehen, dass in Kürze weitere NTP-Implementierungen NTS-Unterstützung erhalten werden.

Der CDN-Anbieter Cloudflare hat angekündigt, künftig unter time.cloudflare.com einen öffentlichen NTP-Server mit NTS-Unterstützung zu betreiben. In einem Test von Golem.de waren wir in der Lage, mit NTPSec eine authentifizierte Verbindung zu Cloudflares Zeitserver aufzubauen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Network Time Security: Sichere Uhrzeit übers Netz
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. (u. a. Borderlands: The Handsome Collection für 19,80€, XCOM 2 für 12,50€, Mafia: Definitive...
  2. 7,99€
  3. (u. a. Angebote zu Spielen, Gaming-Monitoren, PC- und Konsolen-Zubehör, Gaming-Laptops uvm.)

Varbin 03. Jul 2019

Als Referenzwert: Der auf Sicherheit optimierte OpenNTP (der über HTTPS die Zeit...

HeroFeat 02. Jul 2019

Also ich habe einfach meine komplette Festplatte verschlüsselt. Also auch noch so jeden...


Folgen Sie uns
       


Cowboy 4 ausprobiert

Die urbanen Pedelecs von Cowboy liegen gut auf der Straße und sind dank neuem Motor antrittstärker.

Cowboy 4 ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /