Fuente de tiempo precisa e insondable

8

Necesito una fuente de tiempo inexpresable y precisa.

A falta de configurar mi propio reloj atómico (a menos que sea más fácil de lo que parece), ¿cómo podría lograr esto?

No es que no confíe en los grupos de NTP; No tengo ninguna garantía de con quién estoy hablando.

security ntp 84104
fuente
2
Intocable no es posible (suponiendo que desea que su tiempo se sincronice con cualquier otra persona) Para que su tiempo se sincronice con cualquier otra persona, implícitamente debe confiar en al menos otra persona. Siempre es posible que la persona en la que confía le proporcione información que usted considere inexacta. Sin embargo, puede tomar medidas para garantizar que la información que recibe sea ampliamente aceptada como precisa. Esta es una de las razones por las que un buen servidor NTP debería sincronizarse con muchos otros servidores (8+ IMHO) si no tiene un proveedor de tiempo de hardware.
Chris S
Configurar su propio reloj atómico no es difícil, simplemente puede comprar uno (busque un "estándar de frecuencia"). Sin embargo, es caro.
derobert
3
Creo que si no se puede confiar en sus mezclas de NTP o al ISP, hay otras cuestiones ...
TheLQ
Veo que esto es muy antiguo, pero creo que vale la pena mencionar que puede usar conexiones con clave a fuentes de tiempo confiables manualmente. Simplemente llame al administrador de una fuente de tiempo confiable y solicite usar su servicio con las teclas ntp.
mikebabcock

Respuestas:

7

Una de las respuestas anteriores mencionó la autenticación MD5 pero no mencionó la autenticación de clave pública disponible en NTP4. Muchos laboratorios nacionales ofrecen servicios de tiempo habilitados para md5 / autokey.

No entiendo cuál es su modelo de amenaza; Si alguien es capaz y está dispuesto a falsificar su señal de GPS, tiene problemas más grandes que la hora. Dicho esto, puede combinar un reloj de refclock local usando GPS o CDMA y luego aumentar esta señal horaria con hora autenticada de algunos de los laboratorios nacionales que brindan servicios de hora autenticados. De esta manera, si su señal GPS es falsificada, aún puede confiar en el tiempo autenticado de los laboratorios nacionales.

GPS:

Por tan solo $ 40 y un poco de soldadura, puede configurar una fuente de tiempo local GPS + PPS con una placa de evaluación GPS Sure Electronics. Ocasionalmente, puede encontrar un reloj de CDMA por un precio bastante barato en eBay si no puede recibir una señal de GPS en su centro de datos.

Servicio NTP autenticado:

NIST, NRC e INRIM (laboratorios nacionales para EE. UU., Canadá e Italia) brindan servicios de tiempo autenticado MD5. A diferencia de NIST e INRIM, el servicio CRC md5 no es gratuito. El servicio de hora autenticado Autokey está disponible en OBSPM e INRIM (los laboratorios nacionales francés e italiano) y proporcionan este servicio de forma gratuita. Seguramente hay otros laboratorios nacionales con tiempo autenticado, pero necesitarás buscarlos en Google.

Enlaces para tiempo autenticado de laboratorios nacionales:

NIST:

http://www.nist.gov/pml/div688/grp40/auth-ntp.cfm

NRC:

http://www.nrc-cnrc.gc.ca/eng/services/inms/calibration-services/time-frequency.html#Authenticated

OBSPM:

http://syrte.obspm.fr/informatique/ntp_infos.php

https://syrte.obspm.fr/informatique/ntp_keys.php

INRIM:

http://www.inrim.it/ntp/

http://www.inrim.it/ntp/auth_i.shtml

dfc
fuente
13

Mi consejo sería confiar en NTP: de ninguna manera es seguro, pero no conozco ningún vector de ataque importante, y es tan seguro como su selección de pares (que son tan seguros como su resolución de DNS y su enrutamiento mesa).

Si necesita considerar otras alternativas, aquí hay algunas (precisión / seguridad entre paréntesis):

  1. Su propio reloj atómico como fuente PPS. (Über acurate. Maldita sea casi inexpugnable)
    (Estos están disponibles en eBay. No es imposible de configurar, hay muchos nerds de tiempo que los tienen y su demonio NTP puede usarlos como fuente de tiempo. Deberá manejar los segundos intercalares. .)

  2. Un receptor GPS. (Súper preciso. Muy difícil de falsificar).
    (Las señales de GPS PUEDEN ser anuladas / falsificadas, pero ese es un ataque especializado que requeriría cierto esfuerzo para llevarse a cabo. Una falla total del sistema GPS es poco probable, ya que es un apagado completo).

  3. NTP (muy precisa. Falsificables con un poco de esfuerzo)
    (Las posibilidades de que alguien que atacan a través de su fuente de tiempo son bastante escasas, y si configura el demonio NTP contra varios de los camareros de la piscina cualquier valor atípico o falsos teletipos será descartado.
    Tenga en cuenta que esto supone que confía en su DNS al menos en la medida en que puede lanzarlo.)

  4. Un oscilador de cuarzo estabilizado como fuente de PPS. (No muy preciso. Maldita sea casi insondable)
    (Dependiendo del oscilador, esto puede no ser más preciso que el reloj de su computadora. Espere tener que corregir la hora periódicamente, y necesitará manejar los segundos bisiestos).

  5. El reloj interno de tu computadora. (Más preciso que un reloj de arena. Maldita sea, casi insondable).
    (Para cualquier aplicación moderna que se preocupe por el tiempo, esto es prácticamente inutilizable).

voretaq7
fuente
1
Desafortunadamente, el apagado total del GPS es en realidad un vector de ataque muy simple. Tan simple, que se ha hecho totalmente por accidente antes: gizmodo.com.au/2011/03/…
Mark Henderson
Los relojes atómicos que encuentra en eBay (supongo que está hablando de los HP 5071 que aparecen de vez en cuando) son los que tienen la edad suficiente para necesitar nuevos tubos de cesio, que cuestan aproximadamente el precio de un automóvil de tamaño mediano. Los estándares como el 5071 solo son precisos cuando se promedian por docena (como lo hace USNO) o como parte de un sistema de disciplina cruzada con GPS. A pesar de tener un reloj en el panel frontal, el 5071 no tiene forma de configurarlo o leerlo con precisión, y las salidas 1PPS tienen que ser dirigidas externamente para entrar en fase con UTC.
Blrfl
1
El GPS es realmente inexacto y es asombrosamente fácil de falsificar o atascar. No confíe en él para la precisión del tiempo, o de hecho para la navegación.
Rory Alsop
3
@RoryAlsop ¿En qué se basa la afirmación de que el GPS no es exacto y no se debe confiar en él? Reconoceré fácilmente la posibilidad de atasco (y por lo tanto suplantación de identidad), pero cuando opero normalmente (que es la gran mayoría del tiempo) puedo arreglar un avión en movimiento dentro de su envergadura en un aeropuerto, lo que me parece bastante preciso para la posición, y mi experiencia con el tiempo GPS ha sido igualmente buena en precisión de menos de un segundo, que a menudo es "lo suficientemente buena".
voretaq7
@Blrfl Reemplazar el tubo de cesio cada 3-10 años (dependiendo del tubo) es un gasto bastante considerable, pero si necesita ese tipo de precisión, desea invertir el dinero en mantenimiento. No puedo comentar sobre la deriva del reloj de cesio o la eliminación gradual (fuera de mi área de especialización, me temo), pero como fuente de PPS para disciplinar un reloj existente, parece una buena opción.
voretaq7
8

NTP no es un protocolo seguro (bueno, hay un mecanismo de autenticación, pero no se usa ampliamente, y la autenticación MD5 no es terriblemente segura): no importa con qué servidor de hora de Internet esté hablando, realmente no sabe que les estás hablando a ellos Dejando a un lado la confiabilidad de las piscinas (no me gustan porque sus estratos están por todas partes, NIST tiene buenas fuentes para Internet NTP), Internet NTP no cumple con sus requisitos.

Un reloj de hardware en la red local es realmente la única forma en que puede estar seguro de que su conexión no está siendo interceptada, e incluso entonces, solo si la seguridad de su red de área local puede garantizarle eso.

Shane Madden
fuente
2
¿Realmente puedes estar seguro de un reloj de hardware? Solo está recibiendo otra señal. Sería costoso e ilegal, pero con el dinero y la motivación adecuada, uno podría atascar las frecuencias utilizadas y proporcionar una fuente alternativa con el mal momento.
Zoredache
Señales GPS falsificadas, ¡me gusta!
Shane Madden
2
Se podría argumentar que sondear un número suficientemente grande de fuentes NTP (tanto algunas elegidas al azar de un grupo como otras fijas) daría una seguridad razonable de un momento preciso. Dicho esto, si sus ISP se están entrometiendo con paquetes NTP, todavía está bastante jodido. Una combinación de NTP y Stratum 0 dispositivo (s) aumentaría aún más la seguridad.
Chris S
1
Forjar (o bloquear) el GPS no es tan difícil como la gente piensa: es una señal MUY débil para cuando llega a su receptor. Hubo un gran revuelo en la comunidad de la aviación hace un tiempo acerca de la interferencia del GPS de las torres de telefonía celular (cf. avweb.com/avwebbiz/news/…
voretaq7
@ voretaq7 Eso está interfiriendo, bloqueando la señal del GPS. Para falsificar una señal GPS, tendría que generar datos casi correctos para retransmitir. OTOH, ahora que lo pienso, podría obtener los datos sin procesar de un receptor a una corta distancia, cambiar los datos de coordenadas, luego modificar los datos de tiempo en el mensaje y retransmitirlos. Todavía es bastante descabellado ...
Ward - Restablece a Monica
5

Bueno, compre un meinberg con sincronización GPS. Esos no son demasiado caros. Deberías poder confiar en eso hasta cierto punto. http://www.meinberg.de . O simplemente compre un dispositivo de sincronización GPS y conéctelo a un servidor.

cmouse
fuente
¿Por qué puedo confiar en las señales de GPS de banda civil?
84104
1
@ user84104 No existe una "banda civil": las señales GPS / WAAS (incluida la señal horaria) están disponibles para todos los que ahora están sujetos a los caprichos de los militares (y algunas leyes de exportación tontas de los EE. UU. sobre receptores). Puede confiar en él porque los veleros y las aeronaves dependen de él, por lo que apagarlo o degradarlo sustancialmente, para hablar sin rodeos, realmente fastidiaría a mucha gente :-)
voretaq7
@ voretaq7 Debería saber mejor que creer en Wikipedia, pero sigo haciéndolo. en.wikipedia.org/wiki/GPS_signals#Military_.28M-code.29
84104
@ user84104 AFAIK M-Mode no está en uso (es una extensión propuesta) - si no fuera ninguno de los usuarios que describí en mi comentario, tendría acceso a él de todos modos :-)
voretaq7
1
@RoryAlsop ¿Tiene alguna referencia o prueba de que algún militar u otros realmente estén haciendo esto?
Chris S
4

Hay muchas fuentes de tiempo seguras disponibles en Internet. La mayoría de ellos trabajan de esta manera:

  1. Generas un desafío aleatorio.

  2. Envías el desafío a la fuente de tiempo.

  3. La fuente de tiempo agrega una marca de tiempo a su desafío, la firma con su conocida clave privada y se la envía de vuelta.

  4. Confirmas la firma con su clave pública.

  5. Ahora sabe, suponiendo que puede confiar en esta fuente, que el tiempo en la marca de tiempo refleja un tiempo entre el momento en que generó el desafío y el momento en que recibió la respuesta.

Verisign ejecuta dicho servicio a través de HTTPS. La URL es http://timestamp.verisign.com/scripts/timstamp.dll. Globalsign también ejecuta uno, la URL es http://timestamp.globalsign.com/scripts/timstamp.dll. El protocolo se especifica en RFC 3161 y también se implementa en OpenSSL .

David Schwartz
fuente
1
Problema importante: no hay forma de dar cuenta de los retrasos de tránsito / protocolo aquí. Como dijiste, conoces la marca de tiempo reflects a time somewhere between when you generated the challenge and when you received the reply: eso podría tener un tiempo de retraso de 20 ms, 200 ms o 2000 ms (caso patológico). La única garantía de tiempo "precisa" aquí es que la marca de tiempo de la TSA es precisa para cuando la TSA la emitió (no cuando fue solicitada o recibida por el cliente)
voretaq7
Cada vez que el esquema de sincronización tiene cierto nivel de precisión. Para un esquema que es seguro y gratuito, la precisión de dos segundos es bastante buena.
David Schwartz
El problema es la precisión de dos segundos (y lo que es más importante, la precisión indeterminada) no es lo suficientemente bueno para muchos entornos donde es necesario un tiempo preciso / sincronizado. La marca de tiempo y la sincronización de tiempo son dominios de problemas muy diferentes: estos servicios son los primeros. Los relojes NTP y PPS locales son para este último.
voretaq7
Su problema con NTP o GPS es que no puede asegurarlo. Él puede hacer eso con marca de tiempo. Se combinan perfectamente, aunque es difícil estar seguro ya que no conocemos sus requisitos exactos.
David Schwartz