• IT-Karriere:
  • Services:

Network Time Security: Sichere Uhrzeit übers Netz

Fast alle modernen Geräte synchronisieren ihre Uhrzeit übers Internet. Das dafür genutzte Network Time Protocol ist nicht gegen Manipulationen geschützt - bisher. Mit der Erweiterung Network Time Security soll sich das ändern.

Artikel veröffentlicht am ,
Dass mit dem Internet verbundene Geräte eine Uhrzeit haben, ist fast selbstverständlich, aber stimmt diese auch?
Dass mit dem Internet verbundene Geräte eine Uhrzeit haben, ist fast selbstverständlich, aber stimmt diese auch? (Bild: Pavel Sevela/Wikimedia Commons/CC-BY-SA 4.0)

Es ist eine Funktion so selbstverständlich, dass man selten über sie nachdenkt: Praktisch alle modernen technischen Geräte können auch als Uhr fungieren und haben somit eine interne Datums- und Zeitfunktion. Manuell stellen muss man die Uhr in aller Regel nicht, denn die Geräte holen sich die Zeit übers Internet.

Inhalt:
  1. Network Time Security: Sichere Uhrzeit übers Netz
  2. Alte NTP-Authentifizierung ist entweder unpraktikabel oder unsicher

Doch das dafür eingesetzte Network Time Protocol (NTP) nutzt normalerweise keinerlei Authentifizierung, somit kann ein Angreifer im Netzwerk die Uhrzeit problemlos fälschen. Das soll sich mit der Erweiterung Network Time Security (NTS) ändern, die kurz vor ihrer Fertigstellung steht.

Eine korrekte Uhrzeit ist in vielen Fällen die Voraussetzung für die korrekte Arbeitsweise von Sicherheitsfunktionen. Beispielsweise haben Zertifikate für TLS-Verbindungen ein Ablaufdatum, was auch dafür sorgt, dass im Fall eines gestohlenen privaten Schlüssels dieser nicht bis in alle Ewigkeiten für Angriffe genutzt werden kann. Doch das setzt voraus, dass das aktuelle Systemdatum korrekt ist.

Angreifer können Client in die Zukunft schicken

Auch gibt es verschiedene Sicherheitsfunktionen, die für einen definierten Zeitraum gültig sind. Ein Beispiel dafür ist HTTP Strict Transport Security (HSTS). Mit diesem HTTP-Header können Webseiten einem Browser signalisieren, dass sie nur über sichere HTTPS-Verbindungen erreichbar sind, HTTP-Verbindungen werden bei HSTS unterbunden. Mit dem HSTS-Header wird ein Wert "max-age" mitgeschickt, der dem Browser sagt, wie lange dieser gültig sein soll.

Stellenmarkt
  1. BruderhausDiakonie - Stiftung Gustav Werner und Haus am Berg, Reutlingen
  2. INTENSE AG, Würzburg, Köln, Saarbrücken

Wenn ein Angreifer in der Lage ist, mittels NTP die Uhrzeit zu manipulieren, kann man den Client einfach weit genug in die virtuelle Zukunft schicken, so dass die entsprechende HSTS-Regel nicht mehr gültig ist.

Verschiedene Workarounds versuchten in der Vergangenheit, dieses Problem anzugehen. Ein Tool namens tlsdate nutzt den im TLS-Handshake vorhandenen Timestamp. Allerdings wurde der Timestamp in TLS 1.3 entfernt, das Tool wird nicht mehr weiterentwickelt und funktioniert nicht mit aktuellen OpenSSL-Versionen.

In OpenNTPD wurde eine Option eingeführt, mit der der Timestamp von HTTPS und NTP kombiniert werden. Das funktioniert aber nur, wenn LibreSSL verwendet wird, somit ist diese Funktion auf den meisten Systemen nicht nutzbar. Von Google gibt es eine Alternative zu NTP, das Roughtime-Protokoll. Es wird allerdings wenig verwendet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Alte NTP-Authentifizierung ist entweder unpraktikabel oder unsicher 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. (-72%) 8,50€
  2. 2,99€
  3. (-77%) 13,99€
  4. (-79%) 5,99€

Varbin 03. Jul 2019

Als Referenzwert: Der auf Sicherheit optimierte OpenNTP (der über HTTPS die Zeit...

HeroFeat 02. Jul 2019

Also ich habe einfach meine komplette Festplatte verschlüsselt. Also auch noch so jeden...


Folgen Sie uns
       


Pixel 4 XL - Test

Das Pixel 4 XL ist Googles erstes Smartphone mit einer Dualkamera. Im Test haben wir uns diese genau angeschaut.

Pixel 4 XL - Test Video aufrufen
Razer Blade Stealth 13 im Test: Sieg auf ganzer Linie
Razer Blade Stealth 13 im Test
Sieg auf ganzer Linie

Gute Spieleleistung, gute Akkulaufzeit, helles Display und eine exzellente Tastatur: Mit dem Razer Blade Stealth 13 machen Käufer eigentlich kaum einen Fehler - es sei denn, sie kaufen die 4K-Version.
Ein Test von Oliver Nickel

  1. Naga Left-Handed Edition Razer will seine Linkshändermaus wieder anbieten
  2. Junglecat Razer-Controller macht das Smartphone zur Switch
  3. Tartarus Pro Razers Tastenpad hat zwei einstellbare Schaltpunkte

Apex Pro im Test: Tastatur für glückliche Gamer und Vielschreiber
Apex Pro im Test
Tastatur für glückliche Gamer und Vielschreiber

Steelseries bietet seine mechanische Tastatur Apex 7 auch als Pro-Modell mit besonderen Switches an: Zum Einsatz kommen sogenannte Hall-Effekt-Schalter, die ohne mechanische Kontakte auskommen. Besonders praktisch ist der einstellbare Auslösepunkt.
Ein Test von Tobias Költzsch

  1. Bluetooth und Ergonomic Keyboard Microsoft-Tastaturen kommen nach Deutschland
  2. Peripheriegeräte Microsofts neue Tastaturen haben Office- und Emoji-Tasten
  3. G Pro X Gaming Keyboard Logitech lässt E-Sportler auf austauschbare Tasten tippen

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

    •  /