Sichere Synchronisation der „Computer-Zeit“
Neuer Standard für das Network Time Protokoll (NTP)
Die Synchronisation der Uhren von vernetzten Computern und digitalen Geräten ist grundlegende Voraussetzung vieler verteilter Anwendungen. Das am weitesten verbreitete Protokoll zur Synchronisation digitaler Uhren ist das Network Time Protocol (NTP), welches auch von der PTB zur Weitergabe von UTC(PTB) verwendet wird. Trotz seines hohen Verbreitungsgrades bietet NTP einem Client bis dato kein state-of-the-art Verfahren, mit dem er die Identität des Zeit-Servers und die Integrität und Authentizität der ausgetauschten Zeitinformation sicherstellen könnte. Unter Beteiligung der PTB wurde daher innerhalb des Standardisierungsgremiums IETF das Network Time Security (NTS) Protokoll spezifiziert und im RFC 8915 [1] veröffentlicht. NTS verfolgt u. a. folgende Ziele:
- Authentifizierbarkeit des Zeitservers
- Verifizierbarkeit der Integrität und Authentizität von NTP-Paketen
- Skalierbarkeit, d. h. Versorgung vieler Clients durch einen Server
- kein negativer Einfluss auf die Genauigkeit der Uhrensynchronisation
Zur Umsetzung dieser Ziele gliedert sich NTS in zwei Unterprotokolle. In der ersten Phase werden im sogenannten Key Establishment Protocol eine TLS-basierte Authentifizierung des Zeitservers durchgeführt und die in der zweiten Phase benötigten Kommunikationsparameter und kryptographischen Schlüssel zwischen NTP-Client und -Server ausgetauscht.
Für die zweite Phase des Protokolls wurden innerhalb von NTS verschiedene NTP-Erweiterungsfelder spezifiziert. Diese NTS-Erweiterungsfelder werden vom NTP-Client verwendet, um Integrität und Authentizität der ausgetauschten Zeitinformation mit dem NTP-Server zu verifizieren und, um weitere Sicherheitsziele wie die Replay Protection sicherzustellen. Verschiedene NTP-Anwendungen haben inzwischen NTS implementiert (u. a. NTPsec und Chrony). Die PTB stellt einen NTS-fähigen NTP-Server öffentlich unter der Adresse ptbnts1.ptb.de zur Verfügung. Hinweise zur Verwendung sind hier zu finden: https://www.ptb.de/cms/ptb/fachabteilungen/abtq/gruppe-q4/ref-q42/zeitsynchronisation-von-rechnern-mit-hilfe-des-network-time-protocol-ntp.html
Weitere Information ist unter https://www.internetsociety.org/blog/2020/08/working-collaboratively-to-improve-emerging-network-time-security-implementations/ zu finden.
es/ptb
Ansprechpartner
Dr. Dieter Sibold, Informationssicherheitsbeauftragter der PTB, Telefon: (0531) 592-8462, E-Mail: dieter.sibold(at)ptb.de
Kristof Teichel, PTB-Arbeitsgruppe 4.42 Zeitübertragung, Telefon: (0531) 592-4471, E-Mail: kristof.teichel(at)ptb.de
Der Standard
[1] Franke, D. F., Sibold, D., Teichel, K., Dansarie, M. & Sundblad, R. Network Time Security for the Network Time Protocol. RFC 8915, doi:10.17487/RFC8915 (2020)