Sorgente temporale precisa e insostituibile

8

Ho bisogno di una fonte di tempo insopportabile e precisa.

A meno di impostare il mio orologio atomico (a meno che non sia più facile di quanto sembri) come potrei farlo?

Non è che non mi fido dei pool NTP; Non ho alcuna certezza di chi sto parlando.

security  ntp 
84104
fonte
2
Insostituibile non è possibile (supponendo che tu voglia sincronizzare il tuo tempo con chiunque altro). Affinché il tuo tempo si sincronizzi con chiunque altro, devi implicitamente fidarti di almeno un'altra persona. È sempre possibile che la persona di cui ti fidi ti fornisca informazioni che ritieni inaccurate. Puoi tuttavia adottare misure per garantire che le informazioni che ricevi siano ampiamente accettate come accurate. Questo è uno dei motivi per cui un buon server NTP dovrebbe sincronizzarsi con molti (8+ IMHO) altri server se non ha un provider di tempo hardware.
Chris S,
Configurare il tuo orologio atomico non è difficile, puoi semplicemente comprarne uno (cerca uno "standard di frequenza"). È costoso, però.
derobert,
3
Penso che se non puoi fidarti dei tuoi pool NTP o del tuo ISP, ci sono altri problemi ...
TheLQ
Vedo che questo è molto vecchio, ma sento la pena menzionare che è possibile utilizzare manualmente le connessioni con chiave a fonti di tempo affidabili. Basta chiamare l'amministratore di una fonte di tempo affidabile e chiedere di usare il loro servizio con le chiavi ntp.
mikebabcock,

Risposte:

7

Una delle risposte precedenti menzionava l'autenticazione MD5 ma non menzionava l'autenticazione pubkey disponibile in NTP4. Molti laboratori nazionali forniscono servizi orari abilitati per md5 / autokey.

Non capisco quale sia il tuo modello di minaccia; se qualcuno è capace e disposto a falsificare il tuo segnale GPS hai problemi più grandi di che ore sono. Detto questo, è possibile combinare un refclock locale tramite GPS o CDMA e quindi aumentare questo segnale orario con il tempo autenticato da alcuni dei laboratori nazionali che forniscono servizi di tempo autenticato. In questo modo, se il segnale GPS viene falsificato, è comunque possibile fare affidamento sul tempo autenticato dai laboratori nazionali.

GPS:

Per un minimo di $ 40 e un po 'di saldatura, è possibile impostare una sorgente di tempo GPS + PPS locale con una scheda di valutazione GPS Sure Electronics. Di tanto in tanto puoi trovare un refclock CDMA abbastanza economico su ebay se non riesci a ricevere un segnale GPS nel tuo data center.

Servizio NTP autenticato:

NIST, NRC e INRIM (laboratori nazionali per Stati Uniti, Canada e Italia) forniscono servizi orari autenticati MD5. A differenza di NIST e INRIM, il servizio CRC md5 non è gratuito. Il servizio orario autenticato Autokey è disponibile da OBSPM e INRIM (i laboratori nazionali francesi e italiani) e forniscono questo servizio gratuitamente. Ci sono sicuramente altri laboratori nazionali con tempo autenticato, ma dovrai cercarli su Google.

Link per tempo autenticato dai laboratori nazionali:

NIST:

http://www.nist.gov/pml/div688/grp40/auth-ntp.cfm

NRC:

http://www.nrc-cnrc.gc.ca/eng/services/inms/calibration-services/time-frequency.html#Authenticated

OBSPM:

http://syrte.obspm.fr/informatique/ntp_infos.php

https://syrte.obspm.fr/informatique/ntp_keys.php

INRIM:

http://www.inrim.it/ntp/

http://www.inrim.it/ntp/auth_i.shtml

DFC
fonte
13

Il mio consiglio sarebbe di fidarmi di NTP - Non è affatto sicuro, ma non sono a conoscenza di alcun importante vettore di attacco, ed è tanto sicuro quanto la tua selezione di peer (che sono altrettanto sicuri della tua risoluzione DNS e del tuo routing tavolo).

Se hai bisogno di considerare altre alternative qui ce ne sono alcune (precisione / sicurezza tra parentesi):

  1. Il tuo orologio atomico come sorgente PPS. (Molto accurato. Accidenti quasi impercettibile)
    (Questi sono disponibili su eBay. Non è impossibile impostare - ci sono molti nerd che li hanno e il tuo demone NTP può usarli come fonte di tempo. Dovrai gestire i secondi bisestili .)

  2. Un ricevitore GPS. (Super accurato. Molto difficile da falsificare).
    (I segnali GPS POSSONO essere sovrascritti / falsificati ma si tratta di un attacco specialistico che richiederebbe qualche sforzo per essere eseguito. È improbabile un guasto totale del sistema GPS, così come un arresto completo.)

  3. NTP (Molto preciso. Spoofing con qualche sforzo)
    (le probabilità che qualcuno si attaccano tramite la vostra fonte di tempo sono abbastanza sottile, e se si configura il demone NTP contro diversi dei server piscina eventuali valori anomali o falsi ticker sarà scartato.
    Si noti che questo presuppone che ti fidi del tuo DNS almeno per quanto è possibile farlo cadere.)

  4. Un oscillatore al quarzo stabilizzato come sorgente PPS. (Non molto preciso. Accidenti quasi insostenibile)
    (A seconda dell'oscillatore potrebbe non essere più preciso dell'orologio del tuo computer. Aspettati di dover correggere periodicamente l'ora e dovrai gestire i secondi bisestili.)

  5. L'orologio interno del tuo computer. (Più preciso di una clessidra. Accidenti quasi insostituibile.)
    (Per qualsiasi applicazione moderna che si preoccupa del tempo, questo è praticamente inutilizzabile.)

voretaq7
fonte
1
Sfortunatamente, l'arresto GPS totale è in realtà un vettore di attacco molto semplice. Così semplice, che è stato fatto completamente per caso prima: gizmodo.com.au/2011/03/…
Mark Henderson,
Gli orologi atomici che trovi su eBay (suppongo tu stia parlando degli HP 5071 che saltano fuori di tanto in tanto) sono quelli abbastanza grandi da aver bisogno di nuovi tubi al cesio, che arrivano al prezzo di un'auto di medie dimensioni. Standard come il 5071 sono accurati solo se mediati dalla dozzina (come USNO) o come parte di un sistema interdisciplinato con il GPS. Nonostante abbia un orologio sul pannello frontale, il 5071 non ha modo di impostarlo o leggerlo con precisione, e le uscite 1PPS devono essere orientate esternamente per entrare in fase con UTC.
Blrfl,
1
Il GPS è in realtà impreciso ed è sorprendentemente facile da falsificare o inceppare. Non fare affidamento su di esso per la precisione dei tempi, o in effetti per la navigazione.
Rory Alsop,
3
@RoryAlsop Su cosa, si basa l'affermazione che il GPS è impreciso e su cui non si deve fare affidamento? Concederò prontamente la possibilità di inceppamento (e quindi di spoofing), ma quando opero normalmente (che è la stragrande maggioranza delle volte) posso sistemare un aereo in movimento nella sua apertura alare su un aeroporto - che mi sembra abbastanza preciso per posizione, e la mia esperienza con il tempo GPS è stata altrettanto buona nella precisione dei secondi, che è spesso "abbastanza buona".
voretaq7,
@Blrfl La sostituzione del tubo di cesio ogni 3-10 anni (a seconda del tubo) è una spesa piuttosto pesante, ma se hai bisogno di quel tipo di precisione vuoi investire i soldi nella manutenzione. Non posso commentare la deriva o il phasing dell'orologio al cesio (dalla mia area di competenza temo), ma come fonte PPS per disciplinare un orologio esistente sembra un'opzione OK.
voretaq7,
8

NTP non è un protocollo sicuro (beh, esiste un meccanismo di autenticazione, ma non è ampiamente usato e l'autenticazione MD5 non è terribilmente sicura) - non importa con quale server dell'ora di Internet stai parlando, non sai davvero che stai parlando con loro. Affidabilità dei pool a parte (non mi piacciono perché i loro strati sono ovunque , NIST ha buone fonti per Internet NTP), Internet NTP non soddisfa i tuoi requisiti.

Un orologio hardware sulla rete locale è davvero l'unico modo in cui puoi essere certo che la tua connessione non viene intercettata - e anche in questo caso, solo se la sicurezza della tua rete locale è in grado di assicurarti questo.

Shane Madden
fonte
2
Puoi davvero essere sicuro di un orologio hardware? Sta solo ricevendo un altro segnale. Sarebbe costoso e illegale, ma con i soldi e la motivazione adeguata si potrebbero inceppare le frequenze utilizzate e fornire a una fonte alternativa un brutto momento.
Zoredache,
Segnali GPS forgiati, mi piace!
Shane Madden,
2
Si potrebbe sostenere che il polling di un numero sufficientemente elevato di fonti NTP (sia alcune scelte casualmente da un pool sia altre fisse) darebbe ragionevoli garanzie di un tempo preciso. Detto questo, se i tuoi ISP si intromettono con i pacchetti NTP, sei ancora piuttosto fregato. Una combinazione di dispositivi NTP e Stratum 0 aumenterebbe ulteriormente la garanzia.
Chris S,
1
Forgiare (o bloccare) il GPS non è così difficile come la gente pensa - è un segnale MOLTO debole quando arriva al tuo ricevitore. C'è stato molto scalpore nella comunità dell'aviazione qualche tempo fa sulle interferenze GPS delle torri cellulari - cfr. avweb.com/avwebbiz/news/…
voretaq7
@ voretaq7 Interferisce, bloccando il segnale GPS. Per falsificare un segnale GPS, dovresti generare dati quasi corretti da ritrasmettere. OTOH, ora che ci penso, potresti semplicemente ottenere i dati grezzi da un ricevitore a breve distanza, cambiare i dati delle coordinate, quindi modificare i dati temporali nel messaggio e ritrasmetterli. Ancora piuttosto inverosimile ..
Ward - Ripristina Monica
5

Bene, acquista un Meinberg con sincronizzazione GPS. Quelli non sono troppo costosi. Dovresti essere in grado di fidarti di ciò in una certa misura. http://www.meinberg.de . O semplicemente acquista un dispositivo di sincronizzazione GPS e collegalo a un server.

cmouse
fonte
Perché posso fidarmi dei segnali GPS della banda civile?
84104,
1
@ user84104 Non esiste una "banda civile": i segnali GPS / WAAS (incluso il segnale orario) sono disponibili a tutti ora soggetti ai capricci dell'esercito (e ad alcune stupide leggi statunitensi sull'esportazione dei ricevitori). Ci si può fidare perché le navi a vela e gli aerei si basano su di esso, quindi spegnerlo o degradarlo sostanzialmente, per dire senza mezzi termini, rovinare davvero un sacco di gente :-)
voretaq7
@ voretaq7 Dovrei sapere meglio che credere a Wikipedia, ma continuo a farlo. en.wikipedia.org/wiki/GPS_signals#Military_.28M-code.29
84104
@ user84104 AFAIK M-Mode non è in uso (è un'estensione proposta) - se non fosse nessuno degli utenti che ho delineato nel mio commento avrebbe comunque accesso ad esso :-)
voretaq7
1
@RoryAlsop Hai riferimenti o prove di militari o di altri che lo stanno effettivamente facendo?
Chris S,
4

Esistono numerose fonti di tempo sicure disponibili su Internet. La maggior parte di loro funziona in questo modo:

  1. Generi una sfida casuale.

  2. Invia la sfida alla fonte temporale.

  3. La fonte del tempo accoda un timestamp alla tua sfida, lo firma con la sua chiave privata ben nota e te lo restituisce.

  4. Confermate la firma con la loro chiave pubblica.

  5. Ora sai, supponendo di poterti fidare di questa fonte, che il tempo nel timestamp riflette un tempo compreso tra quando hai generato la sfida e quando hai ricevuto la risposta.

Verisign esegue tale servizio su HTTPS. L'URL è http://timestamp.verisign.com/scripts/timstamp.dll. Globalsign ne esegue anche uno, l'URL è http://timestamp.globalsign.com/scripts/timstamp.dll. Il protocollo è specificato in RFC 3161 e implementato anche in OpenSSL .

David Schwartz
fonte
1
Problema principale: non è possibile tenere conto dei ritardi di transito / protocollo qui. Come hai detto, conosci il timestamp reflects a time somewhere between when you generated the challenge and when you received the reply- Che potrebbe avere un ritardo di 20ms, 200ms o 2000ms (caso patologico). L'unica garanzia "accurata" del tempo qui è che il timestamp del TSA è preciso per quando il TSA lo ha emesso (non quando è stato richiesto o ricevuto dal cliente)
voretaq7
Ogni volta che lo schema di sincronizzazione ha un certo livello di precisione. Per uno schema che è sia sicuro che gratuito, la precisione di due secondi è in realtà dannatamente buona.
David Schwartz,
Il problema è che l'accuratezza di due secondi (e soprattutto l'indeterminazione precisa) non è abbastanza buona per molti ambienti in cui è necessario un tempo preciso / sincronizzato. Il timestamp e la sincronizzazione dell'ora sono domini problematici molto diversi: questi servizi sono i primi. Gli orologi NTP e PPS locali sono per quest'ultimo.
voretaq7,
Il suo problema con NTP o GPS è che non può proteggerlo. Può farlo con il timestamp. Si combinano perfettamente, anche se è difficile essere sicuri poiché non conosciamo i suoi esatti requisiti.
David Schwartz,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.