关注网络安全
和行业未来

六月行业新闻回顾

本月大事件

网络时间安全(Network Time Security ,NTS)最终可以为经过身份验证的网络时间提供支持。

作为加密周的一部分,Cloudflare公司最近宣布,它将运行一个时间服务器,支持网络时间协议(NTP)的网络时间安全(NTS)扩展。这解决了在安全协议环境中长期存在的时间问题。

如今,大多数计算机和其他联网设备都将时钟与来自互联网的时间源同步。然而,传统的网络时间协议(the Network Time Protocol)在默认情况下不支持对数据进行身份验证。这意味着对于中间人攻击者来说,传递错误的时间是很容易的。

这可能会产生安全后果,因为许多其他安全协议(包括具有有效期的X.509证书和具有生命周期的HSTS等特性)都假定工作时钟是有效的。针对HSTS的实际攻击在过去已经出现过

在过去,TLS时间戳被用作tlsdate工具的替代品,但它不再被维护,TLS 1.3删除了时间戳。OpenNTPD有一个特性,它可以使用TLS提供经过身份验证的时间限制,但是它依赖于LibreSSL,因此不能在许多系统上使用。谷歌的Adam Langley开发了Roughtime协议作为NTP的替代方案,但是它并没有得到广泛的应用。

NTP过去曾试图通过一个名为Autokey的程序来提供身份验证,但它被证明是不安全的。它还支持使用对称密钥进行身份验证,但这并不适合广泛使用。

NTS是解决这个问题的一个新尝试。它在经过身份验证的TLS通道上交换密钥,并使用密钥来保护NTP本身。它已经开发了一段时间了,现在它似乎很快就完成了,如何实现也可以开始着手处理了。有一个NTS的参考实现NTPsec刚刚发布了一个支持NTS的新版本,Chrony有一个NTS支持的实验性分支,更多的实现有望很快到来。

有可能最终会提供一个广泛支持的选项,以一种安全且经过身份验证的方式在internet上同步时间。

 

本月短新闻

 

文章来源:Feisty Duck

评论 抢沙发