Точный, неподкупный источник времени

8

Мне нужен безошибочный и точный источник времени.

Если не считать настройки собственных атомных часов (разве это проще, чем кажется), как я могу это сделать?

Дело не в том, что я не доверяю пулам NTP; У меня нет уверенности в том, с кем я разговариваю.

security  ntp 
84104
источник
2
Невосполнимое невозможно (если вы хотите, чтобы ваше время синхронизировалось с кем-либо еще). Чтобы ваше время синхронизировалось с кем-либо еще, вы должны безоговорочно доверять хотя бы одному другому человеку. Всегда возможно, что человек, которому вы доверяете, предоставит вам информацию, которую вы считаете неточной. Однако вы можете принять меры к тому, чтобы полученная вами информация была признана точной. Это одна из причин, по которой хороший NTP-сервер должен синхронизироваться со многими (более 8 IMHO) другими серверами, если у него нет аппаратного поставщика времени.
Крис С
Настроить свои собственные атомные часы несложно, вы можете просто купить их (ищите «стандарт частоты»). Это дорого, хотя.
Дероберт
3
Я думаю, что если вы не можете доверять своим NTP-пулам или провайдеру, есть другие проблемы ...
TheLQ
Я вижу, что это очень старая версия, но я считаю, что стоит упомянуть, что вы можете использовать ключевые соединения с доверенными источниками времени вручную. Просто позвоните администратору доверенного источника времени и попросите использовать его сервис с ключами ntp.
Майкбабкок

Ответы:

7

В одном из предыдущих ответов упоминалась аутентификация MD5, но не упоминалась аутентификация pubkey, доступная в NTP4. Многие национальные лаборатории предоставляют услуги времени с поддержкой md5 / autokey.

Я не понимаю, какова ваша модель угрозы; если кто-то способен и хочет подделать ваш сигнал GPS, у вас больше проблем, чем сейчас. Тем не менее, вы можете объединить локальный рефлок с использованием GPS или CDMA, а затем увеличить этот сигнал времени с аутентифицированным временем из некоторых национальных лабораторий, которые предоставляют аутентифицированные сервисы времени. Таким образом, если ваш GPS-сигнал подделан, вы все равно можете рассчитывать на аутентифицированное время из национальных лабораторий.

GPS:

Всего за 40 долларов и немного пайки вы можете установить локальный источник времени GPS + PPS с оценочной платой Sure Electronics GPS. Время от времени вы можете найти CDMA-рефлок за довольно дешевую цену на ebay, если вы не можете получить сигнал GPS в своем дата-центре.

Служба аутентификации NTP:

NIST, NRC и INRIM (национальные лаборатории для США, Канады и Италии) предоставляют услуги времени с аутентификацией MD5. В отличие от NIST и INRIM, услуга CRC md5 не является бесплатной. Служба аутентификации Autokey доступна в OBSPM и INRIM (французская и итальянская национальные лаборатории), и они предоставляют эту услугу бесплатно. Конечно, есть и другие национальные лаборатории с проверенным временем, но вам нужно будет поискать их в Google.

Ссылки для аутентифицированного времени из национальных лабораторий:

NIST:

http://www.nist.gov/pml/div688/grp40/auth-ntp.cfm

NRC:

http://www.nrc-cnrc.gc.ca/eng/services/inms/calibration-services/time-frequency.html#Authenticated

OBSPM:

http://syrte.obspm.fr/informatique/ntp_infos.php

https://syrte.obspm.fr/informatique/ntp_keys.php

INRIM:

http://www.inrim.it/ntp/

http://www.inrim.it/ntp/auth_i.shtml

DFC
источник
13

Мой совет - доверять NTP - это ни в коем случае не безопасно, но я не знаю ни о каких основных направлениях атак, и это так же безопасно, как ваш выбор пиров (которые в равной степени безопасны, как ваше разрешение DNS и ваша маршрутизация Таблица).

Если вам нужно рассмотреть другие альтернативы, вот несколько (точность / безопасность в скобках):

  1. Ваши собственные атомные часы в качестве источника PPS. (Über acurate. Черт, почти неоспоримый)
    (Они доступны на eBay. Настроить не невозможно - есть много временных ботаников, у которых они есть, и ваш демон NTP может использовать их в качестве источника времени. Вам нужно будет обрабатывать дополнительные секунды .)

  2. Приемник GPS. (Супер точный. Очень трудно подделать).
    (Сигналы GPS МОГУТ быть переопределены / подделаны, но это специальная атака, которая потребует определенных усилий. Полный отказ системы GPS маловероятен, как и полное отключение.)

  3. NTP (Очень точный. Поддельный с некоторыми усилиями)
    (Шансы на то, что кто-то атакует вас через ваш источник времени, весьма невелики, и если вы настроите своего NTP-демона на несколько серверов пула, любые выбросы или ложные тикеры будут отброшены.
    Обратите внимание, что это предполагает, что вы доверяете своему DNS, по крайней мере, настолько, насколько это возможно.)

  4. Стабилизированный кварцевый генератор как источник PPS. (Не очень точно. Черт, почти неоспоримо)
    (В зависимости от осциллятора это может быть не точнее, чем часы вашего компьютера. Ожидайте, что вам придется периодически корректировать время, и вам придется обрабатывать дополнительные секунды.)

  5. Внутренние часы вашего компьютера. (Точнее, чем песочные часы. Черт, почти неоспоримо.)
    (Для любого современного приложения, которое заботится о времени, это практически невозможно.)

voretaq7
источник
1
К сожалению, полное отключение GPS на самом деле является очень простым вектором атаки. Так просто, что раньше это было сделано совершенно случайно: gizmodo.com.au/2011/03/…
Марк Хендерсон,
Атомные часы, которые вы найдете на eBay (я полагаю, вы говорите о HP 5071, которые время от времени появляются), достаточно стары, чтобы нуждаться в новых цезиевых трубках, которые стоят примерно по цене автомобиля среднего размера. Стандарты, такие как 5071, являются точными только при усреднении по дюжине (как USNO) или как часть системы, кросс-дисциплинированной с GPS. Несмотря на то, что на передней панели есть часы, у 5071 нет возможности установить или прочитать их точно, и выходы 1PPS должны управляться извне, чтобы войти в фазу с UTC.
Blrfl
1
GPS на самом деле неточен, и удивительно легко подделать или замять. Не полагайтесь на это для точности синхронизации или фактически для навигации.
Рори Олсоп
3
@RoryAlsop На чем вы основываете утверждение, что GPS неточен и на него нельзя полагаться? Я с готовностью признаю возможность глушения (и, следовательно, спуфинга), но при работе в обычном режиме (что в подавляющем большинстве случаев) я могу зафиксировать движущийся самолет в размахе его крыла в аэропорту - что мне кажется достаточно точным для определения местоположения, и мой опыт работы со временем GPS был одинаково хорош с точностью до секунды, что часто "достаточно хорошо".
voretaq7
@Blrfl Замена цезиевой трубки каждые 3-10 лет (в зависимости от трубки) - это довольно дорогое удовольствие , но если вам нужна такая точность, вы хотите вкладывать деньги в техническое обслуживание. Я не могу комментировать дрейф или фазировку цезиевых часов (боюсь, что это не из моей области знаний), но в качестве источника PPS для дисциплины существующих часов это кажется приемлемым вариантом.
voretaq7
8

NTP не является безопасным протоколом (ну, есть механизм аутентификации, но он не очень широко используется, а аутентификация MD5 не очень безопасна) - независимо от того, с каким интернет-сервером времени вы разговариваете, вы на самом деле не знаете что ты с ними разговариваешь. За исключением надежности пулов (мне они не нравятся, потому что их страты повсюду, у NIST есть хорошие источники для интернет-NTP), интернет-NTP не отвечает вашим требованиям.

Аппаратные часы в локальной сети - это действительно единственный способ гарантировать, что ваше соединение не будет перехвачено - и даже тогда, только если безопасность вашей локальной сети сможет вас в этом убедиться.

Шейн Мэдден
источник
2
Вы действительно можете быть уверены в аппаратных часах? Это просто получение другого сигнала. Это было бы дорого и незаконно, но с деньгами и надлежащей мотивацией можно было бы затормозить используемые частоты и обеспечить альтернативный источник плохим временем.
Зоредаче
Подделанные сигналы GPS, мне это нравится!
Шейн Мэдден
2
Можно утверждать, что опрос достаточно большого количества источников NTP (как случайно выбранных из пула, так и фиксированных) даст разумную уверенность в точном времени. Тем не менее, если ваш провайдер (-ы) вмешивается в NTP-пакеты, вы все еще очень испорчены. Комбинация устройств NTP и Stratum 0 повысила бы надежность.
Крис С
1
Подделать (или глушить) GPS не так сложно, как думают люди, - это ОЧЕНЬ слабый сигнал к тому времени, когда он попадает в приемник. Некоторое время назад в авиационном сообществе был настоящий ажиотаж вокруг помех GPS от вышек сотовой связи - ср. avweb.com/avwebbiz/news/...
voretaq7
@ voretaq7 Это мешает, блокирует сигнал GPS. Чтобы подделать сигнал GPS, вам нужно будет генерировать почти правильные данные для ретрансляции. OTOH, теперь, когда я думаю об этом, вы можете просто получить необработанные данные от приемника на небольшом расстоянии, изменить данные координат, затем изменить данные времени в сообщении и повторно передать их. Все еще довольно притянутый за уши ..
Опека - Восстановите Монику
5

Ну что ж, купи майнберг с синхронизацией GPS. Это не слишком дорого. Вы должны быть в состоянии доверять этому до некоторой степени. http://www.meinberg.de . Или просто купите устройство синхронизации GPS и подключите его к серверу.

cmouse
источник
Почему я могу доверять гражданским сигналам GPS?
84104 13.10.11
1
@ user84104 «Гражданской полосы» не существует - сигналы GPS / WAAS (включая сигнал времени) теперь доступны всем, кто подчиняется прихотям военных (и некоторым тупым американским законам об экспорте для приемников). Вы можете доверять этому, потому что парусные суда и самолёты полагаются на него, поэтому отключение или существенное ухудшение этого, прямо
скажем
@ voretaq7 Я должен знать лучше, чем верить википедии, но я продолжаю это делать. en.wikipedia.org/wiki/GPS_signals#Military_.28M-code.29
84104
@ user84104 AFAIK M-Mode не используется (это предлагаемое расширение) - если бы ни один из пользователей, о которых я говорил в своем комментарии, не имел бы к нему доступа в любом случае :-)
voretaq7
1
@RoryAlsop Есть ли у вас какие-либо ссылки или доказательства того, что военные или другие действительно делают это?
Крис С
4

В Интернете доступно любое количество безопасных источников времени. Большинство из них работают так:

  1. Вы генерируете случайный вызов.

  2. Вы отправляете вызов источнику времени.

  3. Источник времени добавляет к вашему запросу метку времени, подписывает ее своим известным секретным ключом и отправляет обратно вам.

  4. Вы подтверждаете подпись своим открытым ключом.

  5. Теперь вы знаете, предполагая, что можете доверять этому источнику, что время в метке времени отражает время где-то между тем, когда вы сгенерировали запрос и когда вы получили ответ.

Verisign запускает такой сервис через HTTPS. URL есть http://timestamp.verisign.com/scripts/timstamp.dll. Globalsign также запускает один, URL-адрес http://timestamp.globalsign.com/scripts/timstamp.dll. Протокол указан в RFC 3161, а также реализован в OpenSSL .

Дэвид Шварц
источник
1
Основная проблема: здесь нет способа учесть задержки транзита / протокола. Как вы сказали, вы знаете reflects a time somewhere between when you generated the challenge and when you received the replyвременную метку - она ​​может иметь время задержки 20 мс, 200 мс или 2000 мс (патологический случай). Единственная «точная» временная гарантия здесь состоит в том, что временная метка TSA является точной для того, когда TSA выпустил ее (не когда она была запрошена или получена клиентом)
voretaq7
Каждый раз схема синхронизации имеет определенный уровень точности. Для схемы, которая является одновременно безопасной и бесплатной, точность в две секунды на самом деле чертовски хороша.
Дэвид Шварц
Проблема в том, что двухсекундная точность (и, что более важно, неопределенная точность) недостаточна для многих сред, где необходимо точное / синхронизированное время. Метка времени и синхронизация времени - это совершенно разные проблемные области: эти сервисы являются первыми. NTP и локальные часы PPS для последнего.
voretaq7
Его проблема с NTP или GPS заключается в том, что он не может защитить его. Он может сделать это с отметкой времени. Они прекрасно сочетаются, хотя в этом сложно убедиться, поскольку мы не знаем его точных требований.
Дэвид Шварц
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.