我们常说的网络时间协议 (NTP) 是一种非常古老的用于同步时间的Internet协议。至少自1985年以来,它一直是我们常用的计算机系统时间同步协议,它使连接到Internet的设备能够与可靠的时间源保持时钟同步,也就是时间相同。
NTP安全吗?
遗憾的是,NTP很容易受到网络中间人(MITM)攻击。这是恶意行为者位于您和NTP服务器之间、监听对话、伪造消息并向您谎报时间的地方。这有多严重?由于许多过程都依赖于确定准确的时间,因此后果确实非常严重。它们可以包括:建立加密会话的问题,例如传输层安全(TLS)日志和交易上的时间戳不正确,可能支持欺诈活动或帮助掩饰其他犯罪行为身份验证问题、攻击和身份验证安全措施问(例如 Kerberos)DNS安全(DNSSEC) 问题NTP版本3引入了对使用预共享密钥的对称身份验证的支持,但在现代人眼中这看起来非常过时。这意味着您必须将一个新的密钥分发给您想与之交谈的每个对等方。这在今天不太现实,尤其是在运行像大型公共NTP 服务时。
解决方案:网络时间安全(NTS)
网络时间安全(NTS)是Internet工程任务组的NTP工作组尝试 将NTP身份验证更改为更有用的东西。NTS实际上是两种协议:密钥交换和扩展NTP。首先,客户端发起密钥交换。在此交换中,它会获得一些密钥和一些稍后使用的cookie。cookie以只有服务器知道的形式包含密钥。客户端还获取有关要查询时间的服务器的信息。接下来,客户端向服务器查询时间。它使用其中一个密钥对其查询进行签名,并包括它从密钥交换中获得的一个cookie。服务器知道如何解压cookie,然后使用里面的密钥来验证查询的签名并对响应进行签名。它还可以生成并发送一个新的cookie以及时间响应。客户端验证传入数据包上的签名,然后可以设置时间,知道它是从正确的服务器发送的。它存储新的cookie以供以后使用。关于 cookie 处理的真正巧妙之处在于NTS服务器不必保存有关客户端的任何状态。
