Abo
  • IT-Karriere:

Network Time Security: Sichere Uhrzeit übers Netz

Fast alle modernen Geräte synchronisieren ihre Uhrzeit übers Internet. Das dafür genutzte Network Time Protocol ist nicht gegen Manipulationen geschützt - bisher. Mit der Erweiterung Network Time Security soll sich das ändern.

Artikel veröffentlicht am ,
Dass mit dem Internet verbundene Geräte eine Uhrzeit haben, ist fast selbstverständlich, aber stimmt diese auch?
Dass mit dem Internet verbundene Geräte eine Uhrzeit haben, ist fast selbstverständlich, aber stimmt diese auch? (Bild: Pavel Sevela/Wikimedia Commons/CC-BY-SA 4.0)

Es ist eine Funktion so selbstverständlich, dass man selten über sie nachdenkt: Praktisch alle modernen technischen Geräte können auch als Uhr fungieren und haben somit eine interne Datums- und Zeitfunktion. Manuell stellen muss man die Uhr in aller Regel nicht, denn die Geräte holen sich die Zeit übers Internet.

Inhalt:
  1. Network Time Security: Sichere Uhrzeit übers Netz
  2. Alte NTP-Authentifizierung ist entweder unpraktikabel oder unsicher

Doch das dafür eingesetzte Network Time Protocol (NTP) nutzt normalerweise keinerlei Authentifizierung, somit kann ein Angreifer im Netzwerk die Uhrzeit problemlos fälschen. Das soll sich mit der Erweiterung Network Time Security (NTS) ändern, die kurz vor ihrer Fertigstellung steht.

Eine korrekte Uhrzeit ist in vielen Fällen die Voraussetzung für die korrekte Arbeitsweise von Sicherheitsfunktionen. Beispielsweise haben Zertifikate für TLS-Verbindungen ein Ablaufdatum, was auch dafür sorgt, dass im Fall eines gestohlenen privaten Schlüssels dieser nicht bis in alle Ewigkeiten für Angriffe genutzt werden kann. Doch das setzt voraus, dass das aktuelle Systemdatum korrekt ist.

Angreifer können Client in die Zukunft schicken

Auch gibt es verschiedene Sicherheitsfunktionen, die für einen definierten Zeitraum gültig sind. Ein Beispiel dafür ist HTTP Strict Transport Security (HSTS). Mit diesem HTTP-Header können Webseiten einem Browser signalisieren, dass sie nur über sichere HTTPS-Verbindungen erreichbar sind, HTTP-Verbindungen werden bei HSTS unterbunden. Mit dem HSTS-Header wird ein Wert "max-age" mitgeschickt, der dem Browser sagt, wie lange dieser gültig sein soll.

Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. operational services GmbH & Co. KG, Wolfsburg

Wenn ein Angreifer in der Lage ist, mittels NTP die Uhrzeit zu manipulieren, kann man den Client einfach weit genug in die virtuelle Zukunft schicken, so dass die entsprechende HSTS-Regel nicht mehr gültig ist.

Verschiedene Workarounds versuchten in der Vergangenheit, dieses Problem anzugehen. Ein Tool namens tlsdate nutzt den im TLS-Handshake vorhandenen Timestamp. Allerdings wurde der Timestamp in TLS 1.3 entfernt, das Tool wird nicht mehr weiterentwickelt und funktioniert nicht mit aktuellen OpenSSL-Versionen.

In OpenNTPD wurde eine Option eingeführt, mit der der Timestamp von HTTPS und NTP kombiniert werden. Das funktioniert aber nur, wenn LibreSSL verwendet wird, somit ist diese Funktion auf den meisten Systemen nicht nutzbar. Von Google gibt es eine Alternative zu NTP, das Roughtime-Protokoll. Es wird allerdings wenig verwendet.

Alte NTP-Authentifizierung ist entweder unpraktikabel oder unsicher 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 4,49€
  2. (-70%) 14,99€
  3. 0,00€ im Epic Store
  4. (aktuell u. a. Asus PG279Q ROG Monitor 689€, Corsair Glaive RGB Maus 34,99€)

Varbin 03. Jul 2019 / Themenstart

Als Referenzwert: Der auf Sicherheit optimierte OpenNTP (der über HTTPS die Zeit...

HeroFeat 02. Jul 2019 / Themenstart

Also ich habe einfach meine komplette Festplatte verschlüsselt. Also auch noch so jeden...

Kommentieren


Folgen Sie uns
       


Asus Zenfone 6 - Test

Das Zenfone 6 fällt durch seine Klappkamera auf, hat aber auch abseits dieses Gimmicks eine Menge zu bieten, wie unser Test zeigt.

Asus Zenfone 6 - Test Video aufrufen
Ursula von der Leyen: Von Zensursula zur EU-Kommissionspräsidentin
Ursula von der Leyen
Von "Zensursula" zur EU-Kommissionspräsidentin

Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.
Ein Bericht von Justus Staufburg

  1. Adsense for Search Neue Milliardenstrafe gegen Google in der EU

Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

iPad OS im Test: Apple entdeckt den USB-Stick
iPad OS im Test
Apple entdeckt den USB-Stick

Zusammen mit iOS 13 hat Apple eine eigene Version für seine iPads vorgestellt: iPad OS verbessert die Benutzung als Tablet tatsächlich, ein Notebook-Ersatz ist ein iPad Pro damit aber immer noch nicht. Apple bringt aber endlich Funktionen, die wir teilweise seit Jahren vermisst haben.
Ein Test von Tobias Költzsch

  1. Tablets Apple bringt neues iPad Air und iPad Mini
  2. Eurasische Wirtschaftskommission Apple registriert sieben neue iPads
  3. Apple Es ändert sich einiges bei der App-Entwicklung für das iPad

    •  /