Abo
  • IT-Karriere:

Alte NTP-Authentifizierung ist entweder unpraktikabel oder unsicher

NTP selbst hat bereits zwei Authentifizierungsmodi. Einer davon nutzt symmetrische Schlüssel und funktioniert zwar theoretisch, in der Praxis skaliert das Konzept aber nicht. Jeder Client müsste sich hierfür zuerst mit einem Serverbetreiber auf einen gemeinsamen Schlüssel einigen. Es gab auch bereits 2010 den Versuch, eine asymmetrische Authentifizierung in NTP einzuführen, das entsprechende Protokoll nennt sich Autokey. Doch das Protokoll hat gravierende Sicherheitslücken und sollte daher nicht genutzt werden.

Stellenmarkt
  1. IT-Servicezentrum der bayerischen Justiz, Augsburg, München, Schwabmünchen
  2. Stadtwerke München GmbH, München

Seit einigen Jahren gibt es jetzt Bemühungen, einen neuen Anlauf für sicheres NTP zu starten. Die Entwicklung dauerte länger als erwartet, aber jetzt steht das neu entwickelte Network Time Security kurz vor der Fertigstellung. Es gibt bereits erste Server und Implementierungen.

Schlüsselaustausch über TLS-Verbindung

Network Time Security funktioniert so, dass zunächst eine TLS-Verbindung zwischen Client und Server aufgebaut wird. Hierbei prüft der Client das Zertifikat des Servers und kann sich somit sicher sein, dass er mit dem richtigen Server kommuniziert. Vor bösartigen Servern bietet das Protokoll keinen Schutz, der Client muss darauf vertrauen, dass der Server eine korrekte Uhrzeit liefert. Aber ein Angreifer im Netzwerk kann keine Manipulationen mehr vornehmen.

Dabei schickt der Server dem Client mehrere symmetrische Schlüssel und dazugehörige Cookies. In den Cookies ist derselbe Schlüssel ebenfalls enthalten, jedoch in verschlüsselter Form. Damit muss der Server für die verschiedenen Clients keine Daten vorhalten, er benötigt lediglich einen Masterschlüssel, mit dem die Cookies ver- und entschlüsselt werden. Mit diesen Schlüsseln und Cookies wird anschließend die Verbindung zwischen Client und Server abgesichert, hierfür kommt ein authentifiziertes Verschlüsselungsverfahren zum Einsatz.

Neben der Authentifizierung des Servers war ein Ziel bei der Entwicklung von NTS auch, dass es nicht zum Tracken von Clients anhand des Netzwerkverkehrs genutzt werden kann. Daher sollten die vom Server verschickten Cookies nur einmal verwendet werden - andernfalls kann jemand, der den Netzwerkverkehr beobachtet, einen Client wiedererkennen.

Die separate TLS-Verbindung hat den Grund, dass das NTP-Protokoll selbst wenig Overhead haben sollte, da es eine möglichst genaue Synchronisierung der Uhrzeit ermöglichen soll. Die Zeitverzögerung durch den Overhead von TLS wäre da problematisch. Die für die NTP-Verbindung genutzte rein symmetrische authentifizierte Verschlüsselung lässt sich relativ schnell durchführen.

Für die Verschlüsselung und Authentifizierung nutzt NTS standardmäßig den bislang eher selten genutzten Verschlüsselungsmodus AES-SIV. Dieses Verfahren - SIV steht für Synthetic Initialization Vector - hat die besondere Eigenschaft, dass es auch dann noch Sicherheit bietet, wenn derselbe Nonce-Wert mehrfach verwendet wird. Bei klassischen Verschlüsselungsmodi führt ein doppelter Nonce zu gravierenden Sicherheitslücken.

Erste Implementierungen und Server

Auf der IETF-Konferenz im März gab es einen Hackathon, bei dem verschiedene NTP-Softwareprojekte Unterstützung für NTS erstellt und die Interoperabilität getestet haben. Inzwischen unterstützt mit NTPSec die erste Software NTS in einem kürzlich veröffentlichten Release. Es ist davon auszugehen, dass in Kürze weitere NTP-Implementierungen NTS-Unterstützung erhalten werden.

Der CDN-Anbieter Cloudflare hat angekündigt, künftig unter time.cloudflare.com einen öffentlichen NTP-Server mit NTS-Unterstützung zu betreiben. In einem Test von Golem.de waren wir in der Lage, mit NTPSec eine authentifizierte Verbindung zu Cloudflares Zeitserver aufzubauen.

 Network Time Security: Sichere Uhrzeit übers Netz
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 3,83€
  2. 2,80€
  3. 21,99€
  4. (-78%) 4,39€

Varbin 03. Jul 2019

Als Referenzwert: Der auf Sicherheit optimierte OpenNTP (der über HTTPS die Zeit...

HeroFeat 02. Jul 2019

Also ich habe einfach meine komplette Festplatte verschlüsselt. Also auch noch so jeden...


Folgen Sie uns
       


Acer Predator Helios 700 - Hands on (Ifa 2019)

Was für ein skurriles Gerät: Golem.de schaut sich das Gaming-Notebook Predator Triton 700 von Acer an und probiert die Schiebetastatur aus.

Acer Predator Helios 700 - Hands on (Ifa 2019) Video aufrufen
IMHO: Porsche prescht beim Preis übers Ziel hinaus
IMHO
Porsche prescht beim Preis übers Ziel hinaus

Die technischen Werte der beiden elektrischen Porsche Taycan-Versionen sind beeindruckend. Viele werden sie als "Tesla-Killer" bezeichnen. Doch preislich peilt Porsche damit eine extrem kleine Zielgruppe an: Ein gut ausgestatteter Turbo S kostet 214.000 Euro.
Ein IMHO von Dirk Kunde

  1. Gaming Konsolenkrieg statt Spielestreaming
  2. IMHO Valve, so geht es nicht weiter!
  3. Onlinehandel Tesla schlägt Kaufinteressenten die Ladentür vor der Nase zu

MX Series im Hands on: Logitechs edle Eingabegeräte
MX Series im Hands on
Logitechs edle Eingabegeräte

Beleuchtet, tolles Tippgefühl und kabellos, dazu eine Maus mit magnetischem Schweizer Präzisionsrad: Logitech hat neue Eingabegeräte für seine Premium-Reihe veröffentlicht - beide unterstützen USB Typ C. Golem.de konnte MX Keys und MX Master 3 unter Windows und MacOS bereits ausprobieren.
Ein Hands on von Peter Steinlechner

  1. Unifying Sicherheitsupdate für Logitech-Tastaturen umgangen
  2. Gaming Logitech bringt mechanische Tastaturen mit flachen Schaltern
  3. Logitacker Kabellose Logitech-Tastaturen leicht zu hacken

IT-Studium: Kein Abitur? Kein Problem!
IT-Studium
Kein Abitur? Kein Problem!

Martin Fricke studiert Informatik, obwohl er kein Abitur hat. Das darf er, weil Universitäten Berufserfahrung für die Zulassung anerkennen. Davon profitieren Menschen wie Unternehmen gleichermaßen.
Von Tarek Barkouni

  1. IT Welches Informatikstudium passt zu mir?
  2. Bitkom Nur jeder siebte Bewerber für IT-Jobs ist weiblich

    •  /