Source de temps précise et inexprimable

8

J'ai besoin d'une source de temps inexprimable et précise.

À moins de configurer ma propre horloge atomique (à moins que ce ne soit plus simple qu'il n'y paraît), comment pourrais-je y parvenir?

Ce n'est pas que je ne fais pas confiance aux pools NTP; Je n'ai aucune assurance de qui je parle.

security ntp 84104
la source
2
Unspoofable n'est pas possible (en supposant que vous voulez que votre temps se synchronise avec quelqu'un d'autre). Pour que votre temps se synchronise avec quelqu'un d'autre, vous devez implicitement faire confiance à au moins une autre personne. Il est toujours possible que la personne en qui vous avez confiance vous fournisse des informations que vous jugeriez inexactes. Vous pouvez toutefois prendre des mesures pour vous assurer que les informations que vous recevez sont largement acceptées comme exactes. C'est l'une des raisons pour lesquelles un bon serveur NTP devrait se synchroniser avec de nombreux autres serveurs (8+ IMHO) s'il n'a pas de fournisseur de temps matériel.
Chris S
La configuration de votre propre horloge atomique n'est pas difficile, vous pouvez simplement en acheter une (recherchez une "norme de fréquence"). C'est cher, cependant.
derobert
3
Je pense que si vous ne pouvez pas faire confiance à vos pools NTP ou à votre FAI, il y a d'autres problèmes ...
TheLQ
Je vois que c'est très ancien mais je pense qu'il vaut la peine de mentionner que vous pouvez utiliser manuellement des connexions à clé à des sources de temps fiables. Appelez simplement l'administrateur d'une source de temps fiable et demandez à utiliser son service avec les clés ntp.
mikebabcock du

Réponses:

7

L'une des réponses précédentes mentionnait l'authentification MD5 mais ne mentionnait pas l'authentification par clé publique disponible dans NTP4. De nombreux laboratoires nationaux fournissent des services de temps activés md5 / autokey.

Je ne comprends pas quel est votre modèle de menace; si quelqu'un est capable et désireux d'usurper votre signal GPS, vous avez de plus gros problèmes que l'heure qu'il est. Cela étant dit, vous pouvez combiner une horloge locale en utilisant le GPS ou le CDMA, puis augmenter ce signal horaire avec l'heure authentifiée de certains des laboratoires nationaux qui fournissent des services horaires authentifiés. De cette façon, si votre signal GPS est usurpé, vous pouvez toujours compter sur l'heure authentifiée des laboratoires nationaux.

GPS:

Pour aussi peu que 40 $ et quelques soudures, vous pouvez configurer une source de temps GPS + PPS locale avec une carte d'évaluation GPS Sure Electronics. Parfois, vous pouvez trouver une horloge CDMA pour pas cher sur ebay si vous ne pouvez pas recevoir de signal GPS dans votre centre de données.

Service NTP authentifié:

NIST, NRC et INRIM (laboratoires nationaux pour les États-Unis, le Canada et l'Italie) fournissent des services de temps authentifiés MD5. Contrairement au NIST et à l'INRIM, le service CRC md5 n'est pas gratuit. Le service de temps authentifié Autokey est disponible auprès de l'OBSPM et de l'INRIM (les laboratoires nationaux français et italiens) et ils fournissent ce service gratuitement. Il existe sûrement d'autres laboratoires nationaux avec du temps authentifié mais vous allez avoir besoin de google pour eux.

Liens pour le temps authentifié des laboratoires nationaux:

NIST:

http://www.nist.gov/pml/div688/grp40/auth-ntp.cfm

NRC:

http://www.nrc-cnrc.gc.ca/fra/services/inms/calibration-services/time-frequency.html#Authenticated

OBSPM:

http://syrte.obspm.fr/informatique/ntp_infos.php

https://syrte.obspm.fr/informatique/ntp_keys.php

INRIM:

http://www.inrim.it/ntp/

http://www.inrim.it/ntp/auth_i.shtml

dfc
la source
13

Mon conseil serait de faire confiance à NTP - Ce n'est en aucun cas sécurisé, mais je ne connais pas de vecteurs d'attaque majeurs, et il est aussi sécurisé que votre sélection de pairs (qui sont aussi sûrs que votre résolution DNS et votre routage) table).

Si vous devez envisager d'autres alternatives, voici quelques-unes (précision / sécurité entre parenthèses):

  1. Votre propre horloge atomique comme source PPS. (Über précis. Merde presque inexprimable)
    (Ceux-ci sont disponibles sur eBay. Ce n'est pas impossible à configurer - il y a beaucoup de nerds de temps qui les ont et votre démon NTP peut les utiliser comme source de temps. Vous devrez gérer les secondes intercalaires .)

  2. Un récepteur GPS. (Super précis. Très difficile à usurper).
    (Les signaux GPS PEUVENT être ignorés / usurpés mais c'est une attaque de spécialiste qui nécessiterait un certain effort pour être menée. Une panne totale du système GPS est peu probable, tout comme un arrêt complet.)

  3. NTP (très précis. Usurpable avec un certain effort)
    (les chances que quelqu'un vous attaque via votre source de temps sont assez minces, et si vous configurez votre démon NTP sur plusieurs serveurs de pool, toutes les valeurs aberrantes ou faux-tickers seront rejetées.
    Notez que cela suppose que vous fassiez confiance à votre DNS au moins aussi loin que possible.

  4. Un oscillateur à quartz stabilisé comme source PPS. (Pas très précis. Merde presque inexprimable)
    (Selon l'oscillateur, cela peut ne pas être plus précis que l'horloge de votre ordinateur. Attendez-vous à devoir corriger l'heure périodiquement, et vous devrez gérer les secondes intercalaires.)

  5. Horloge interne de votre ordinateur. (Plus précis qu'un sablier. Merde presque inexprimable.)
    (Pour toute application moderne qui se soucie du temps, c'est à peu près inutilisable.)

voretaq7
la source
1
Malheureusement, l'arrêt total du GPS est en fait un vecteur d'attaque très simple. Si simple, que cela a été fait totalement par accident avant: gizmodo.com.au/2011/03/…
Mark Henderson
Les horloges atomiques que vous trouvez sur eBay (je suppose que vous parlez des HP 5071 qui apparaissent de temps en temps) sont celles assez vieilles pour avoir besoin de nouveaux tubes au césium, qui coûtent environ le prix d'une voiture de taille moyenne. Des normes comme le 5071 ne sont exactes que lorsqu'elles sont moyennes par douzaine (comme le fait USNO) ou dans le cadre d'un système interdisciplinaire avec le GPS. En dépit d'avoir une horloge sur le panneau avant, le 5071 n'a aucun moyen de la régler ou de la lire avec précision, et les sorties 1PPS doivent être dirigées de l'extérieur pour entrer en phase avec l'UTC.
Blrfl
1
Le GPS est en fait inexact et est étonnamment facile à usurper ou à brouiller. Ne vous y fiez pas pour la précision du chronométrage, ni pour la navigation.
Rory Alsop
3
@RoryAlsop Sur quoi, basez-vous l'affirmation selon laquelle le GPS est inexact et ne doit pas être invoqué? Je vais facilement concéder la possibilité de brouillage (et donc d'usurpation), mais en fonctionnant normalement (ce qui est la grande majorité du temps), je peux fixer un avion en mouvement à son envergure sur un aéroport - cela me semble assez précis pour la position, et mon expérience avec le temps GPS a été tout aussi bonne jusqu'à une précision inférieure à la seconde, ce qui est souvent "assez bon".
voretaq7
@Blrfl Le remplacement du tube de césium tous les 3 à 10 ans (selon le tube) est une dépense assez lourde, mais si vous avez besoin de ce type de précision, vous voulez investir de l'argent dans la maintenance. Je ne peux pas commenter la dérive ou le phasage de l'horloge au césium (hors de mon domaine d'expertise, je le crains), mais en tant que source PPS pour discipliner une horloge existante, cela semble une option OK.
voretaq7
8

NTP n'est pas un protocole sécurisé (enfin, il existe un mécanisme d'authentification, mais il n'est pas largement utilisé et l'authentification MD5 n'est pas très sécurisée) - peu importe le serveur de temps Internet auquel vous parlez, vous ne savez pas vraiment que vous leur parlez. La fiabilité des pools mis à part (je ne les aime pas parce que leurs strates sont partout, le NIST a de bonnes sources pour NTP Internet), NTP Internet ne répond pas à vos besoins.

Une horloge matérielle sur le réseau local est vraiment le seul moyen de vous assurer que votre connexion n'est pas interceptée - et même alors, seulement si la sécurité de votre réseau local est en mesure de vous en assurer.

Shane Madden
la source
2
Pouvez-vous vraiment être sûr d'une horloge matérielle? Il ne fait que recevoir un autre signal. Ce serait cher et illégal, mais avec de l'argent et une motivation appropriée, on pourrait brouiller les fréquences utilisées et fournir une source alternative avec un mauvais moment.
Zoredache
Forgé des signaux GPS, j'aime ça!
Shane Madden
2
On pourrait faire valoir que l'interrogation d'un nombre suffisamment important de sources NTP (à la fois certaines choisies au hasard dans un pool et d'autres fixes) donnerait une assurance raisonnable d'une heure précise. Cela dit, si vos FAI se mêlent de paquets NTP, vous êtes toujours assez foutu. Une combinaison de dispositifs NTP et Stratum 0 augmenterait davantage l'assurance.
Chris S
1
Forger (ou brouiller) le GPS n'est pas aussi difficile que les gens le pensent - c'est un signal TRÈS faible au moment où il arrive à votre récepteur. Il y a quelque temps, la communauté aéronautique a fait beaucoup de bruit au sujet des interférences GPS des tours de téléphonie cellulaire - cf. avweb.com/avwebbiz/news/…
voretaq7
@ voretaq7 Cela interfère, bloque le signal GPS. Pour usurper un signal GPS, vous devez générer des données presque correctes à rediffuser. OTOH, maintenant que j'y pense, vous pouvez simplement obtenir les données brutes d'un récepteur à une courte distance, changer les données de coordonnées, puis modifier les données de temps dans le message et rediffuser cela. Toujours assez tiré par les cheveux ..
Ward - Réintégrer Monica
5

Eh bien, achetez un meinberg avec synchronisation GPS. Ce ne sont pas trop chers. Vous devriez pouvoir faire confiance à cela dans une certaine mesure. http://www.meinberg.de . Ou achetez simplement un appareil de synchronisation GPS et connectez-le à un serveur.

cmouse
la source
Pourquoi puis-je faire confiance aux signaux GPS de la bande civile?
84104
1
@ user84104 Il n'y a pas de "bande civile" - les signaux GPS / WAAS (y compris le signal horaire) sont disponibles pour tous ceux qui sont désormais soumis aux caprices de l'armée (et à certaines lois américaines stupides sur l'exportation des récepteurs). Vous pouvez lui faire confiance parce que les voiliers et les avions en dépendent, donc l'éteindre ou le dégrader substantiellement, pour parler franchement, va vraiment
vaincre
@ voretaq7 Je devrais savoir mieux que de croire wikipedia, mais je continue de le faire. en.wikipedia.org/wiki/GPS_signals#Military_.28M-code.29
84104
@ user84104 AFAIK M-Mode n'est pas utilisé (c'est une extension proposée) - si aucun des utilisateurs mentionnés dans mon commentaire n'y aurait accès de toute façon :-)
voretaq7
1
@RoryAlsop Avez-vous des références ou des preuves que des militaires ou d'autres le font réellement?
Chris S
4

Il existe un certain nombre de sources horaires sécurisées disponibles sur Internet. La plupart d'entre eux fonctionnent de cette façon:

  1. Vous générez un défi aléatoire.

  2. Vous envoyez le défi à la source de temps.

  3. La source de temps ajoute un horodatage à votre défi, le signe avec leur clé privée bien connue et vous le renvoie.

  4. Vous confirmez la signature avec leur clé publique.

  5. Vous savez maintenant, en supposant que vous pouvez faire confiance à cette source, que le temps dans l'horodatage reflète un temps quelque part entre le moment où vous avez généré le défi et celui où vous avez reçu la réponse.

Verisign exécute un tel service sur HTTPS. L'URL est http://timestamp.verisign.com/scripts/timstamp.dll. Globalsign en exécute un également, l'URL est http://timestamp.globalsign.com/scripts/timstamp.dll. Le protocole est spécifié dans RFC 3161 et également implémenté dans OpenSSL .

David Schwartz
la source
1
Problème majeur: il n'y a aucun moyen de tenir compte des retards de transit / protocole ici. Comme vous l'avez dit, vous connaissez l'horodatage reflects a time somewhere between when you generated the challenge and when you received the reply- qui peut avoir un délai de 20 ms, 200 ms ou 2000 ms (cas pathologique). La seule garantie de temps "précise" ici est que l'horodatage de la TSA est exact pour quand la TSA l'a émis (pas quand il a été demandé ou reçu par le client)
voretaq7
Chaque schéma de synchronisation de temps a un certain niveau de précision. Pour un schéma à la fois sécurisé et gratuit, une précision de deux secondes est en fait assez bonne.
David Schwartz
Le problème est que la précision de deux secondes (et surtout la précision indéterminée) n'est pas assez bonne pour de nombreux environnements où un temps précis / synchronisé est nécessaire. L'horodatage et la synchronisation de l'heure sont des domaines de problèmes très différents: ces services sont les premiers. Les horloges NTP et PPS locales sont destinées à ces dernières.
voretaq7
Son problème avec NTP ou GPS est qu'il ne peut pas le sécuriser. Il peut le faire avec l'horodatage. Ils se combinent parfaitement, bien qu'il soit difficile d'être sûr car nous ne connaissons pas ses besoins exacts.
David Schwartz