Network Time Security: Sichere Uhrzeit übers Netz

Fast alle modernen Geräte synchronisieren ihre Uhrzeit übers Internet. Das dafür genutzte Network Time Protocol ist nicht gegen Manipulationen geschützt - bisher. Mit der Erweiterung Network Time Security soll sich das ändern.

Artikel veröffentlicht am ,
Dass mit dem Internet verbundene Geräte eine Uhrzeit haben, ist fast selbstverständlich, aber stimmt diese auch?
Dass mit dem Internet verbundene Geräte eine Uhrzeit haben, ist fast selbstverständlich, aber stimmt diese auch? (Bild: Pavel Sevela/Wikimedia Commons/CC-BY-SA 4.0)

Es ist eine Funktion so selbstverständlich, dass man selten über sie nachdenkt: Praktisch alle modernen technischen Geräte können auch als Uhr fungieren und haben somit eine interne Datums- und Zeitfunktion. Manuell stellen muss man die Uhr in aller Regel nicht, denn die Geräte holen sich die Zeit übers Internet.

Inhalt:
  1. Network Time Security: Sichere Uhrzeit übers Netz
  2. Alte NTP-Authentifizierung ist entweder unpraktikabel oder unsicher

Doch das dafür eingesetzte Network Time Protocol (NTP) nutzt normalerweise keinerlei Authentifizierung, somit kann ein Angreifer im Netzwerk die Uhrzeit problemlos fälschen. Das soll sich mit der Erweiterung Network Time Security (NTS) ändern, die kurz vor ihrer Fertigstellung steht.

Eine korrekte Uhrzeit ist in vielen Fällen die Voraussetzung für die korrekte Arbeitsweise von Sicherheitsfunktionen. Beispielsweise haben Zertifikate für TLS-Verbindungen ein Ablaufdatum, was auch dafür sorgt, dass im Fall eines gestohlenen privaten Schlüssels dieser nicht bis in alle Ewigkeiten für Angriffe genutzt werden kann. Doch das setzt voraus, dass das aktuelle Systemdatum korrekt ist.

Angreifer können Client in die Zukunft schicken

Auch gibt es verschiedene Sicherheitsfunktionen, die für einen definierten Zeitraum gültig sind. Ein Beispiel dafür ist HTTP Strict Transport Security (HSTS). Mit diesem HTTP-Header können Webseiten einem Browser signalisieren, dass sie nur über sichere HTTPS-Verbindungen erreichbar sind, HTTP-Verbindungen werden bei HSTS unterbunden. Mit dem HSTS-Header wird ein Wert "max-age" mitgeschickt, der dem Browser sagt, wie lange dieser gültig sein soll.

Stellenmarkt
  1. Wissenschaftliche Mitarbeiterin / Wissenschaftlicher Mitarbeiter (w/m/d) oder Akademische Rätin ... (m/w/d)
    Universität Passau, Passau
  2. Data Scientist (m/f/d)
    Lidl Digital, Berlin, Neckarsulm
Detailsuche

Wenn ein Angreifer in der Lage ist, mittels NTP die Uhrzeit zu manipulieren, kann man den Client einfach weit genug in die virtuelle Zukunft schicken, so dass die entsprechende HSTS-Regel nicht mehr gültig ist.

Verschiedene Workarounds versuchten in der Vergangenheit, dieses Problem anzugehen. Ein Tool namens tlsdate nutzt den im TLS-Handshake vorhandenen Timestamp. Allerdings wurde der Timestamp in TLS 1.3 entfernt, das Tool wird nicht mehr weiterentwickelt und funktioniert nicht mit aktuellen OpenSSL-Versionen.

In OpenNTPD wurde eine Option eingeführt, mit der der Timestamp von HTTPS und NTP kombiniert werden. Das funktioniert aber nur, wenn LibreSSL verwendet wird, somit ist diese Funktion auf den meisten Systemen nicht nutzbar. Von Google gibt es eine Alternative zu NTP, das Roughtime-Protokoll. Es wird allerdings wenig verwendet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Alte NTP-Authentifizierung ist entweder unpraktikabel oder unsicher 
  1. 1
  2. 2
  3.  


Varbin 03. Jul 2019

Als Referenzwert: Der auf Sicherheit optimierte OpenNTP (der über HTTPS die Zeit...

HeroFeat 02. Jul 2019

Also ich habe einfach meine komplette Festplatte verschlüsselt. Also auch noch so jeden...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
    Deutsche Bahn  
    9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

    So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

  2. Cerebras WSE-2: München verbaut riesigen KI-Chip
    Cerebras WSE-2
    München verbaut riesigen KI-Chip

    Als erster Standort in Europa hat das Leibniz-Rechenzentrum (LRZ) ein CS-2-System mit Cerebras' WSE-2 gekauft, welches effizient und schnell ist.

  3. WD Red: 7 US-Dollar für falsch beworbene NAS-Festplatte
    WD Red
    7 US-Dollar für falsch beworbene NAS-Festplatte

    Weil Western Digital einige NAS-Festplatten ohne Hinweis mit SMR-Technik verkauft hatte, muss der Hersteller dafür geradestehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /