Abo
  • IT-Karriere:

Network Time Security: Sichere Uhrzeit übers Netz

Fast alle modernen Geräte synchronisieren ihre Uhrzeit übers Internet. Das dafür genutzte Network Time Protocol ist nicht gegen Manipulationen geschützt - bisher. Mit der Erweiterung Network Time Security soll sich das ändern.

Artikel veröffentlicht am ,
Dass mit dem Internet verbundene Geräte eine Uhrzeit haben, ist fast selbstverständlich, aber stimmt diese auch?
Dass mit dem Internet verbundene Geräte eine Uhrzeit haben, ist fast selbstverständlich, aber stimmt diese auch? (Bild: Pavel Sevela/Wikimedia Commons/CC-BY-SA 4.0)

Es ist eine Funktion so selbstverständlich, dass man selten über sie nachdenkt: Praktisch alle modernen technischen Geräte können auch als Uhr fungieren und haben somit eine interne Datums- und Zeitfunktion. Manuell stellen muss man die Uhr in aller Regel nicht, denn die Geräte holen sich die Zeit übers Internet.

Inhalt:
  1. Network Time Security: Sichere Uhrzeit übers Netz
  2. Alte NTP-Authentifizierung ist entweder unpraktikabel oder unsicher

Doch das dafür eingesetzte Network Time Protocol (NTP) nutzt normalerweise keinerlei Authentifizierung, somit kann ein Angreifer im Netzwerk die Uhrzeit problemlos fälschen. Das soll sich mit der Erweiterung Network Time Security (NTS) ändern, die kurz vor ihrer Fertigstellung steht.

Eine korrekte Uhrzeit ist in vielen Fällen die Voraussetzung für die korrekte Arbeitsweise von Sicherheitsfunktionen. Beispielsweise haben Zertifikate für TLS-Verbindungen ein Ablaufdatum, was auch dafür sorgt, dass im Fall eines gestohlenen privaten Schlüssels dieser nicht bis in alle Ewigkeiten für Angriffe genutzt werden kann. Doch das setzt voraus, dass das aktuelle Systemdatum korrekt ist.

Angreifer können Client in die Zukunft schicken

Auch gibt es verschiedene Sicherheitsfunktionen, die für einen definierten Zeitraum gültig sind. Ein Beispiel dafür ist HTTP Strict Transport Security (HSTS). Mit diesem HTTP-Header können Webseiten einem Browser signalisieren, dass sie nur über sichere HTTPS-Verbindungen erreichbar sind, HTTP-Verbindungen werden bei HSTS unterbunden. Mit dem HSTS-Header wird ein Wert "max-age" mitgeschickt, der dem Browser sagt, wie lange dieser gültig sein soll.

Stellenmarkt
  1. BSI Systeme GmbH, Mönchengladbach
  2. Formel D GmbH, München

Wenn ein Angreifer in der Lage ist, mittels NTP die Uhrzeit zu manipulieren, kann man den Client einfach weit genug in die virtuelle Zukunft schicken, so dass die entsprechende HSTS-Regel nicht mehr gültig ist.

Verschiedene Workarounds versuchten in der Vergangenheit, dieses Problem anzugehen. Ein Tool namens tlsdate nutzt den im TLS-Handshake vorhandenen Timestamp. Allerdings wurde der Timestamp in TLS 1.3 entfernt, das Tool wird nicht mehr weiterentwickelt und funktioniert nicht mit aktuellen OpenSSL-Versionen.

In OpenNTPD wurde eine Option eingeführt, mit der der Timestamp von HTTPS und NTP kombiniert werden. Das funktioniert aber nur, wenn LibreSSL verwendet wird, somit ist diese Funktion auf den meisten Systemen nicht nutzbar. Von Google gibt es eine Alternative zu NTP, das Roughtime-Protokoll. Es wird allerdings wenig verwendet.

Alte NTP-Authentifizierung ist entweder unpraktikabel oder unsicher 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 2,80€
  2. 3,99€
  3. 3,99€
  4. 43,99€

Varbin 03. Jul 2019

Als Referenzwert: Der auf Sicherheit optimierte OpenNTP (der über HTTPS die Zeit...

HeroFeat 02. Jul 2019

Also ich habe einfach meine komplette Festplatte verschlüsselt. Also auch noch so jeden...


Folgen Sie uns
       


Fairphone 3 - Fazit

Behebt das Fairphone 3 die Mängel der Vorgänger? Wir haben es getestet.

Fairphone 3 - Fazit Video aufrufen
Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. 16-Kern-CPU Ryzen 9 3950X erscheint mit Threadripper v3 im November
  2. Epyc 7H12 & Ryzen 5 3500X AMD bringt 280-Watt-CPU und plant günstigen Sechskerner
  3. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher

    •  /