Fonte de tempo precisa e inviável

8

Preciso de uma fonte de tempo inabalável e precisa.

Com falta de configurar meu próprio relógio atômico (a menos que isso seja mais fácil do que parece), como eu poderia fazer isso?

Não é que eu não confie nos pools NTP; Não tenho garantia de quem estou falando.

security ntp 84104
fonte
2
Não é possível inviabilizar (supondo que você deseja que seu tempo seja sincronizado com mais ninguém). Para que seu tempo seja sincronizado com mais alguém, você deve implicitamente confiar em pelo menos uma outra pessoa. É sempre possível que a pessoa em quem você confia forneça informações que você consideraria imprecisas. No entanto, você pode tomar medidas para garantir que as informações recebidas sejam amplamente aceitas como precisas. Essa é uma das razões pelas quais um bom servidor NTP deve sincronizar com muitos outros servidores (8+ IMHO), se não tiver um provedor de tempo de hardware.
Chris S
Não é difícil configurar seu próprio relógio atômico, você pode simplesmente comprar um (procure um "padrão de frequência"). É caro, no entanto.
Derobert 13/10
3
Eu acho que se você não pode confiar em seus pools NTP ou o seu ISP, há outras questões ...
TheLQ
Vejo que isso é muito antigo, mas acho que vale a pena mencionar que você pode usar conexões com chave para fontes de tempo confiáveis ​​manualmente. Basta ligar para o administrador de uma fonte de tempo confiável e pedir para usar o serviço com chaves ntp.
Mikebabcock 15/10

Respostas:

7

Uma das respostas anteriores mencionou a autenticação MD5, mas não mencionou a autenticação pubkey disponível no NTP4. Muitos laboratórios nacionais fornecem serviços de horário habilitados para md5 / autokey.

Eu não entendo qual é o seu modelo de ameaça; se alguém é capaz e deseja falsificar seu sinal de GPS, você tem problemas maiores do que a hora. Dito isto, você pode combinar um relógio local usando GPS ou CDMA e aumentar esse sinal de tempo com o tempo autenticado de alguns laboratórios nacionais que fornecem serviços de tempo autenticados. Dessa forma, se o seu sinal de GPS for falsificado, você ainda poderá contar com o tempo autenticado dos laboratórios nacionais.

GPS:

Por apenas US $ 40 e algumas soldas, você pode configurar uma fonte de tempo local GPS + PPS com uma placa de avaliação GPS da Sure Electronics. Ocasionalmente, você pode encontrar um refclock CDMA por um preço bastante baixo no ebay se não conseguir receber um sinal de GPS no seu data center.

Serviço NTP autenticado:

O NIST, o NRC e o INRIM (laboratórios nacionais dos EUA, Canadá e Itália) fornecem serviços de hora autenticados pelo MD5. Ao contrário do NIST e do INRIM, o serviço CRC md5 não é gratuito. O serviço de horário autenticado da Autokey está disponível no OBSPM e no INRIM (laboratórios nacionais francês e italiano) e eles fornecem esse serviço gratuitamente. Certamente existem outros laboratórios nacionais com tempo autenticado, mas você precisará pesquisar no Google.

Links para o tempo autenticado dos laboratórios nacionais:

NIST:

http://www.nist.gov/pml/div688/grp40/auth-ntp.cfm

NRC:

http://www.nrc-cnrc.gc.ca/eng/services/inms/calibration-services/time-frequency.html#Authenticated

OBSPM:

http://syrte.obspm.fr/informatique/ntp_infos.php

https://syrte.obspm.fr/informatique/ntp_keys.php

INRIM:

http://www.inrim.it/ntp/

http://www.inrim.it/ntp/auth_i.shtml

dfc
fonte
13

Meu conselho seria confiar no NTP - não é seguro, mas não conheço nenhum vetor de ataque importante e é tão seguro quanto sua seleção de pares (que são tão seguros quanto a resolução de DNS e o roteamento) mesa).

Se você precisar considerar outras alternativas, aqui estão algumas (precisão / segurança entre parênteses):

  1. Seu próprio relógio atômico como fonte PPS. (Über acurate. Porra, quase invencível)
    (Estes estão disponíveis no eBay. Não é impossível configurar - existem muitos nerds que os possuem e o seu daemon NTP pode usá-los como uma fonte de tempo. Você precisará lidar com segundos bissextos .)

  2. Um receptor GPS. (Super preciso. Muito difícil de falsificar).
    (Os sinais de GPS PODEM ser substituídos / falsificados, mas esse é um ataque especializado que exigiria algum esforço para ser realizado. Uma falha total do sistema GPS é improvável, assim como um desligamento completo.)

  3. NTP (muito preciso. Spoofable com algum esforço)
    (As chances de alguém atacando você através de sua fonte de tempo são bastante reduzidas, e se você configurar o seu daemon NTP contra vários dos servidores de pool os valores atípicos ou falso-tickers serão descartadas.
    Note-se que isso pressupõe que você confia no seu DNS pelo menos na medida do possível.

  4. Um oscilador de quartzo estabilizado como fonte de PPS. (Não é muito preciso. É quase imperceptível)
    (Dependendo do oscilador, isso pode não ser mais preciso do que o relógio do seu computador. Espere corrigir o horário periodicamente e você precisará lidar com segundos bissextos.)

  5. O relógio interno do seu computador. (Mais preciso do que uma ampulheta. É quase imperturbável.)
    (Para qualquer aplicativo moderno que se preocupa com o tempo, isso é praticamente inutilizável.)

voretaq7
fonte
1
Infelizmente, o desligamento total do GPS é na verdade um vetor de ataque muito simples. Tão simples, que tem sido feito totalmente por acidente antes: gizmodo.com.au/2011/03/...
Mark Henderson
Os relógios atômicos que você encontra no eBay (presumo que você esteja falando dos HP 5071 que aparecem de tempos em tempos) são os que têm idade suficiente para precisar de novos tubos de césio, que custam mais ou menos o preço de um carro de tamanho médio. Padrões como o 5071 são precisos somente quando calculados em média pela dúzia (como o USNO faz) ou como parte de um sistema disciplinado com GPS. Apesar de ter um relógio no painel frontal, o 5071 não tem como configurá-lo ou lê-lo com precisão, e as saídas de 1PPS precisam ser direcionadas externamente para entrar em fase com o UTC.
Blrfl
1
O GPS é realmente impreciso e é incrivelmente fácil de falsificar ou obstruir. Não confie nele para precisão de tempo ou de fato para navegação.
Rory Alsop 14/10
3
@RoryAlsop Sobre o quê, você baseia a afirmação de que o GPS é impreciso e não deve ser invocado? Concordo prontamente com a possibilidade de interferência (e, portanto, falsificação), mas ao operar normalmente (que é a grande maioria das vezes), posso consertar uma aeronave em movimento dentro de sua envergadura em um aeroporto - o que me parece bastante preciso para a posição, e minha experiência com o tempo de GPS foi igualmente boa em precisão de segundos, o que geralmente é "bom o suficiente".
voretaq7
@Blrfl Substituir o tubo de césio a cada 3-10 anos (dependendo do tubo) é uma despesa bastante pesada, mas se você precisar desse tipo de precisão, deseja investir o dinheiro em manutenção. Não posso comentar sobre a deriva ou faseamento do relógio de césio (fora da minha área de especialização, receio), mas como fonte de PPS para disciplinar um relógio existente, parece uma boa opção.
voretaq7
8

O NTP não é um protocolo seguro (bem, existe um mecanismo de autenticação, mas não é amplamente usado, e a autenticação MD5 não é terrivelmente segura) - independentemente do servidor de horário da Internet com o qual você está falando, você realmente não sabe que você está falando com eles. Confiabilidade das piscinas à parte (não gosto delas porque seus estratos estão espalhados por todo o lugar, o NIST tem boas fontes de internet NTP), a internet NTP não atende às suas necessidades.

Um relógio de hardware na rede local é realmente a única maneira de garantir que sua conexão não esteja sendo interceptada - e mesmo assim, apenas se a segurança da sua rede de área local puder garantir isso.

Shane Madden
fonte
2
Você pode realmente ter certeza de um relógio de hardware? Está apenas recebendo outro sinal. Seria caro e ilegal, mas com o dinheiro e a motivação adequada, você poderia bloquear as frequências usadas e fornecer uma fonte alternativa com mau tempo.
Zoredache
Sinais GPS forjados, eu gosto!
Shane Madden
2
Pode-se argumentar que a pesquisa de um número suficientemente grande de fontes NTP (algumas escolhidas aleatoriamente de um pool e outras fixas) daria garantia razoável de um tempo preciso. Dito isto, se seu ISP (s) está se intrometendo com pacotes NTP, você ainda está ferrado. Uma combinação de dispositivos NTP e Stratum 0 aumentaria ainda mais a garantia.
Chris S
1
Forjar (ou bloquear) o GPS não é tão difícil quanto as pessoas pensam - é um sinal MUITO fraco no momento em que chega ao seu receptor. Há algum tempo a comunidade da aviação se manifestou sobre a interferência do GPS nas torres de celular - cf. avweb.com/avwebbiz/news/...
voretaq7
@ voretaq7 Isso está interferindo, bloqueando o sinal do GPS. Para falsificar um sinal de GPS, você precisa gerar dados quase corretos para retransmitir. OTOH, agora que penso nisso, você pode obter os dados brutos de um receptor a uma curta distância, alterar os dados de coordenadas, modificar os dados de tempo na mensagem e retransmiti-los. Ainda muito exagerado ..
Ward - Reinstate Monica
5

Bem, compre um meinberg com sincronização GPS. Aqueles não são muito caros. Você deve confiar nisso até certo ponto. http://www.meinberg.de . Ou simplesmente compre um dispositivo de sincronização GPS e conecte-o a um servidor.

cmouse
fonte
Por que posso confiar nos sinais GPS da banda civil?
84104 13/10/11
1
@ user84104 Não existe "faixa civil" - os sinais de GPS / WAAS (incluindo o sinal horário) estão disponíveis para todos os que estão sujeitos aos caprichos das forças armadas (e algumas leis estúpidas de exportação dos EUA sobre receptores). Você pode confiar nele porque embarcações à vela e aeronaves contar com ele, então desligá-lo ou substancialmente degradar seria, para falar sem rodeios, realmente parafuso sobre um monte de gente :-)
voretaq7
@ voretaq7 Eu deveria saber melhor do que acreditar na wikipedia, mas continuo fazendo isso. en.wikipedia.org/wiki/GPS_signals#Military_.28M-code.29
84104
@ user84104 AFAIK M-Mode não estiver em uso (que é uma extensão proposta) - se fosse nenhum dos usuários que descrevi no meu comentário teria acesso a ele de qualquer maneira :-)
voretaq7
1
@RoryAlsop Você tem alguma referência ou prova de que algum militar ou outro está realmente fazendo isso?
Chris S
4

Há várias fontes de tempo seguras disponíveis na Internet. A maioria deles funciona desta maneira:

  1. Você gera um desafio aleatório.

  2. Você envia o desafio para a fonte de tempo.

  3. A fonte de tempo anexa um carimbo de data / hora ao seu desafio, assina com a conhecida chave privada e envia de volta para você.

  4. Você confirma a assinatura com sua chave pública.

  5. Agora você sabe, supondo que possa confiar nessa fonte, que o horário no registro de data e hora reflete um horário entre quando você gerou o desafio e quando recebeu a resposta.

A Verisign executa esse serviço por HTTPS. A URL é http://timestamp.verisign.com/scripts/timstamp.dll. O Globalsign também executa um, o URL é http://timestamp.globalsign.com/scripts/timstamp.dll. O protocolo é especificado na RFC 3161 e também implementado no OpenSSL .

David Schwartz
fonte
1
Grande problema: não há como contabilizar atrasos de trânsito / protocolo aqui. Como você disse, você conhece o carimbo de data reflects a time somewhere between when you generated the challenge and when you received the reply/ hora - isso pode ter um atraso de 20 ms, 200 ms ou 2000 ms (caso patológico). A única garantia de tempo "precisas" aqui é que timestamp da TSA é preciso para quando o TSA emitiu (não quando foi solicitada ou recebida pelo cliente)
voretaq7
Toda vez que o esquema de sincronização tem algum nível de precisão. Para um esquema que é seguro e gratuito, a precisão de dois segundos é realmente muito boa.
David Schwartz
O problema é que a precisão de dois segundos (e, mais importante ainda, a indeterminada) não é boa o suficiente para muitos ambientes onde é necessário tempo preciso / sincronizado. O registro de data e hora e a sincronização de horário são domínios de problemas muito diferentes: esses serviços são os primeiros. Os relógios NTP e PPS local são para este último.
voretaq7
Seu problema com NTP ou GPS é que ele não pode protegê-lo. Ele pode fazer isso com registro de data e hora. Eles combinam perfeitamente, embora seja difícil ter certeza, pois não sabemos exatamente seus requisitos.
David Schwartz