Network Time Security: Sichere Uhrzeit übers Netz

Fast alle modernen Geräte synchronisieren ihre Uhrzeit übers Internet. Das dafür genutzte Network Time Protocol ist nicht gegen Manipulationen geschützt - bisher. Mit der Erweiterung Network Time Security soll sich das ändern.

Artikel veröffentlicht am ,
Dass mit dem Internet verbundene Geräte eine Uhrzeit haben, ist fast selbstverständlich, aber stimmt diese auch?
Dass mit dem Internet verbundene Geräte eine Uhrzeit haben, ist fast selbstverständlich, aber stimmt diese auch? (Bild: Pavel Sevela/Wikimedia Commons/CC-BY-SA 4.0)

Es ist eine Funktion so selbstverständlich, dass man selten über sie nachdenkt: Praktisch alle modernen technischen Geräte können auch als Uhr fungieren und haben somit eine interne Datums- und Zeitfunktion. Manuell stellen muss man die Uhr in aller Regel nicht, denn die Geräte holen sich die Zeit übers Internet.

Inhalt:
  1. Network Time Security: Sichere Uhrzeit übers Netz
  2. Alte NTP-Authentifizierung ist entweder unpraktikabel oder unsicher

Doch das dafür eingesetzte Network Time Protocol (NTP) nutzt normalerweise keinerlei Authentifizierung, somit kann ein Angreifer im Netzwerk die Uhrzeit problemlos fälschen. Das soll sich mit der Erweiterung Network Time Security (NTS) ändern, die kurz vor ihrer Fertigstellung steht.

Eine korrekte Uhrzeit ist in vielen Fällen die Voraussetzung für die korrekte Arbeitsweise von Sicherheitsfunktionen. Beispielsweise haben Zertifikate für TLS-Verbindungen ein Ablaufdatum, was auch dafür sorgt, dass im Fall eines gestohlenen privaten Schlüssels dieser nicht bis in alle Ewigkeiten für Angriffe genutzt werden kann. Doch das setzt voraus, dass das aktuelle Systemdatum korrekt ist.

Angreifer können Client in die Zukunft schicken

Auch gibt es verschiedene Sicherheitsfunktionen, die für einen definierten Zeitraum gültig sind. Ein Beispiel dafür ist HTTP Strict Transport Security (HSTS). Mit diesem HTTP-Header können Webseiten einem Browser signalisieren, dass sie nur über sichere HTTPS-Verbindungen erreichbar sind, HTTP-Verbindungen werden bei HSTS unterbunden. Mit dem HSTS-Header wird ein Wert "max-age" mitgeschickt, der dem Browser sagt, wie lange dieser gültig sein soll.

Wenn ein Angreifer in der Lage ist, mittels NTP die Uhrzeit zu manipulieren, kann man den Client einfach weit genug in die virtuelle Zukunft schicken, so dass die entsprechende HSTS-Regel nicht mehr gültig ist.

Verschiedene Workarounds versuchten in der Vergangenheit, dieses Problem anzugehen. Ein Tool namens tlsdate nutzt den im TLS-Handshake vorhandenen Timestamp. Allerdings wurde der Timestamp in TLS 1.3 entfernt, das Tool wird nicht mehr weiterentwickelt und funktioniert nicht mit aktuellen OpenSSL-Versionen.

In OpenNTPD wurde eine Option eingeführt, mit der der Timestamp von HTTPS und NTP kombiniert werden. Das funktioniert aber nur, wenn LibreSSL verwendet wird, somit ist diese Funktion auf den meisten Systemen nicht nutzbar. Von Google gibt es eine Alternative zu NTP, das Roughtime-Protokoll. Es wird allerdings wenig verwendet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Alte NTP-Authentifizierung ist entweder unpraktikabel oder unsicher 
  1. 1
  2. 2
  3.  
Aktuell auf der Startseite von Golem.de
Grace Hopper Superchip
Nvidia zeigt den DGX GH200 AI-Supercomputer

Die Kombination aus Grace Hopper, Bluefield 3 und NVLink ergibt funktional eine riesige GPU mit der Rechenkapazität eines Supercomputers und 144 TByte Grafikspeicher.

Grace Hopper Superchip: Nvidia zeigt den DGX GH200 AI-Supercomputer
Artikel
  1. Gefangen im Zeitstrom, verloren im All: Die zehn besten Sci-Fi-Serien der 1960er
    Gefangen im Zeitstrom, verloren im All
    Die zehn besten Sci-Fi-Serien der 1960er

    Sie sind die Klassiker, auf denen das ganze Genre aufbaut: die großen Science-Fiction-Serien der 1960er. Neben Star Trek gab es hier noch viel mehr.
    Von Peter Osteried

  2. Reiner Haseloff: Ministerpräsident fordert Nullrunde bei Rundfunkbeitrag
    Reiner Haseloff
    Ministerpräsident fordert Nullrunde bei Rundfunkbeitrag

    Zwei Jahre soll der Rundfunkbeitrag eingefroren werden, die Zukunftskommission derweil Reformideen vorlegen, schlägt Sachsen-Anhalts Ministerpräsident vor.

  3. Speicherleaks vermeiden: Ressourcen- und typensicheres Programmieren in C++
    Speicherleaks vermeiden
    Ressourcen- und typensicheres Programmieren in C++

    Bei C++ liegt alles in der Hand der Entwickler - und das kann gut und schlecht sein. Richtig angewendet, ist die Sprache aber alles andere als unsicher.
    Eine Anleitung von Adam Jaskowiec

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Microsoft Xbox Wireless Controller 40,70€ • Lexar Play 1 TB 99,60€ • DAMN!-Deals mit AMD-Bundle-Aktion • MindStar: AMD Ryzen 9 5950X 429€, MSI RTX 3060 Gaming Z Trio 12G 329€, GIGABYTE RTX 3060 Eagle OC 12G 299€, be quiet! Pure Base 500DX 89€ • Logitech bis -46% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /