Abo
  • IT-Karriere:

OpenBSD: Sichere Uhrzeit mit NTP und HTTPS

Das NTP-Protokoll, mit dem man die Systemzeit über das Internet stellen kann, bietet keine sichere Authentifizierung und ist anfällig für Man-in-the-Middle-Angriffe. Von OpenBSD kommt jetzt eine Lösung für dieses Problem - eine Kombination aus NTP und HTTPS zum sicheren Stellen der Uhrzeit.

Artikel veröffentlicht am , Hanno Böck
OpenNTPD wird bald eine Möglichkeit zum sicheren Stellen der Systemzeit bieten.
OpenNTPD wird bald eine Möglichkeit zum sicheren Stellen der Systemzeit bieten. (Bild: OpenNTPD)

Praktisch alle modernen Betriebssysteme bieten die Möglichkeit, die Systemzeit über das Internet zu stellen. Zu diesem Zweck kommt üblicherweise das NTP-Protokoll zum Einsatz. NTP ist eines der ältesten Internetprotokolle überhaupt, es wurde bereits Mitte der 80er Jahre entwickelt. Für heutige Sicherheitsanforderungen taugt NTP eigentlich nicht mehr, denn es bietet keinerlei kryptographische Absicherung der übertragenen Daten. Zwar muss die Uhrzeit nicht verschlüsselt werden, denn geheim ist sie natürlich nicht, aber NTP wird üblicherweise auch ohne Authentifizierung eingesetzt. Dadurch kann ein Angreifer einem System eine gefälschte Uhrzeit unterschieben. Das kann wiederum in weiteren Angriffen ausgenutzt werden.

NTP-Authentifizierung unsicher

Stellenmarkt
  1. Miles & More GmbH, Frankfurt am Main
  2. Hays AG, Großraum Frankfurt

Es gibt zwar eine authentifizierte Version von NTP, doch die wird kaum genutzt, und das aus gutem Grund: Vor einigen Jahren konnte gezeigt werden, dass diese Authentifizierung gravierende Sicherheitslücken hat und praktisch keinen Schutz gegen Angriffe bietet.

Einen alternativen Ansatz zum Setzen der Systemzeit verfolgt das von Jacob Appelbaum entwickelte Tool Tlsdate. Es nutzt den Timestamp einer TLS-Verbindung. Das ist zwar sicherer, hat aber einen Nachteil: Der Timestamp von TLS ist lediglich sekundengenau, außerdem wird die Laufzeit, die ein Datenpaket durchs Netz benötigt, nicht berücksichtigt. Damit sind bei Tlsdate Ungenauigkeiten im Bereich von ein bis zwei Sekunden möglich. Das ist für die meisten Desktop- und Serveranwendungen zwar egal, aber für Spezialanwendungen werden häufig genauere Uhrzeiten benötigt. Ein weiteres Problem von Tlsdate: Für die kommende TLS-Version 1.3 ist geplant, den Timestamp aus den TLS-Datenpaketen zu entfernen. Alternativ kann Tlsdate daher bereits heute auch die Zeit aus einem HTTP-Header nutzen.

HTTPS definiert Grenzen für NTP-Zeit

Die OpenBSD-Entwickler Reyk Flöter, Henning Brauer und Theo de Raadt haben nun eine neue Lösung für eine sichere Systemzeit vorgestellt. Bevor eine NTP-Abfrage gestartet wird, schickt der NTP-Daemon eine Anfrage an einen oder mehrere HTTPS-Server und liest die Zeit des HTTP-Headers aus. Die daraus ausgelesene Zeit wird allerdings wegen ihrer Ungenauigkeit nicht direkt genutzt. Sie dient nur dazu, eine Begrenzung der gültigen Zeit zu definieren. Anschließend wird wie bisher ein NTP-Server abgefragt. Sollte eine deutliche Abweichung zwischen der Zeit des HTTPS-Servers und des NTP-Servers bestehen, wird die Antwort des NTP-Servers verworfen.

Versucht nun ein Angreifer mittels einer Man-in-the-Middle-Attacke, die Systemzeit zu manipulieren, so fällt dies in der Regel auf. Lediglich im niedrigen Sekundenbereich fällt dabei eine Manipulation nicht auf. Das dürfte für praktische Angriffe kaum zu gebrauchen sein. Das Attraktive an dieser Lösung: Sie vereint die Vorteile von Tlsdate und NTP, gleichzeitig basiert das Konzept ausschließlich auf bestehenden Protokollen. Es sind keine Änderungen an der Serversoftware notwendig, man kann bestehende HTTPS- und NTP-Server nutzen.

Der Code ist Teil des NTP-Servers von OpenBSD. Dieser steht unter dem Namen OpenNTPD auch für andere Betriebssysteme zur Verfügung. Die aktuelle Version von OpenNTPD enthält die neue HTTPS-Funktionalität allerdings noch nicht. OpenBSD-Nutzer können die neue Funktion im CVS-Code des NTP-Daemons bereits testen.

Delorean ermöglicht Man-in-the-Middle-Angriffe

Dass Angriffe auf NTP-Verbindungen ein sehr praktisches Sicherheitsproblem sein können, zeigte im vergangenen Jahr der Sicherheitsforscher Jose Selvi auf der Black-Hat-Konferenz in Amsterdam. Wenn man einen PC mittels einer Man-in-the-Middle-Attacke in die Zukunft schickt, kann man die HTTPS-Erweiterung HTTP Strict Transport Security umgehen. Selvi entwickelte dafür das Tool Delorean, mit dem man Man-in-the-Middle-Angriffe auf NTP durchführen kann. Das Tool steht im Quellcode auf Github zur Verfügung.



Anzeige
Top-Angebote
  1. ab 1.244,99€ und damit günstiger als bei Apple (Release am 20.09.)
  2. 189,00€
  3. (Restposten und Einzelstücke reduziert)
  4. 64,90€ (zzgl. Versandkosten)

Rabbit 17. Feb 2015

Weil NTP auf UDP basiert und nicht TCP, drum kann man nicht einfach TLS drum herum...

Wimmmmmmmmy 16. Feb 2015

Wie gesagt. NTP braucht vielleicht 40 kb. Die SSL Erweiterung kann gut es um 2-5 MB...

barforbarfoo 16. Feb 2015

Ohne Uhrzeit Zertifikate überprüfen, wer denkt sich so einen Mist aus.

Joe User 16. Feb 2015

Dass das NTP in seiner aktuellen Form suboptimal ist, steht ausser Frage. Aber man muss...

humpfor 16. Feb 2015

Das NTP ist ein Zustand der Oberklasse! Viele DDOS Attacken werden sogar von Servern...


Folgen Sie uns
       


Asus ROG Phone 2 ausprobiert

Das neue ROG Phone II von Asus richtet sich an Mobile Gamer - ist angesichts der Topausstattung aber auch für alle anderen Nutzer interessant.

Asus ROG Phone 2 ausprobiert Video aufrufen
Astrobiologie: Woher kommen das Leben, das Universum und der ganze Rest?
Astrobiologie
Woher kommen das Leben, das Universum und der ganze Rest?

Erst kam der Urknall, dann entstand zufällig Leben - oder es war alles vollkommen anders. Statt Materie und Energie könnten Informationen das Wichtigste im Universum sein, und vielleicht leben wir in einer Simulation.
Von Miroslav Stimac

  1. Astronomie Amateur entdeckt ersten echten interstellaren Kometen
  2. Astronomie Forscher entdeckten uralte Galaxien
  3. 2019 LF6 Großer Asteroid im Innern des Sonnensystems entdeckt

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

TVs, Konsolen und HDMI 2.1: Wann wir mit 8K rechnen können
TVs, Konsolen und HDMI 2.1
Wann wir mit 8K rechnen können

Ifa 2019 Die Ifa 2019 ist bezüglich 8K nüchtern. Wird die hohe Auflösung wie 4K fast eine Dekade lang eine Nische bleiben? Oder bringen kommende Spielekonsolen und Anschlussstandards die Auflösung schneller als gedacht?
Eine Analyse von Oliver Nickel

  1. Kameras und Fernseher Ein 120-Zoll-TV mit 8K reicht Sharp nicht
  2. Sony ZG9 Erste 8K-Fernseher werden bald verkauft
  3. 8K Sharp schließt sich dem Micro-Four-Thirds-System an

    •  /