Genaue, nicht fälschbare Zeitquelle

8

Ich brauche eine unberührbare und genaue Zeitquelle.

Wie könnte ich dies erreichen, ohne meine eigene Atomuhr einzurichten (es sei denn, das ist einfacher als es sich anhört)?

Es ist nicht so, dass ich den NTP-Pools nicht vertraue. Ich habe keine Gewissheit darüber, mit wem ich spreche.

security ntp 84104
quelle
2
Unspoofable ist nicht möglich (vorausgesetzt, Sie möchten, dass Ihre Zeit mit anderen synchronisiert wird). Damit Ihre Zeit mit anderen synchronisiert werden kann, müssen Sie implizit mindestens einer anderen Person vertrauen. Es ist immer möglich, dass die Person, der Sie vertrauen, Ihnen Informationen zur Verfügung stellt, die Sie für ungenau halten. Sie können jedoch Maßnahmen ergreifen, um sicherzustellen, dass die Informationen, die Sie erhalten, allgemein als korrekt akzeptiert werden. Dies ist einer der Gründe, warum ein guter NTP-Server mit vielen (IMHO) anderen Servern synchronisiert werden sollte, wenn er keinen Hardware-Zeitanbieter hat.
Chris S
Das Einrichten einer eigenen Atomuhr ist nicht schwer, Sie können einfach eine kaufen (suchen Sie nach einem "Frequenzstandard"). Es ist allerdings teuer.
Derobert
3
Ich denke, wenn Sie Ihren NTP-Pools oder Ihrem ISP nicht vertrauen können, gibt es andere Probleme ...
TheLQ
Ich sehe, dass dies sehr alt ist, aber ich denke, es ist erwähnenswert, dass Sie verschlüsselte Verbindungen zu vertrauenswürdigen Zeitquellen manuell verwenden können. Rufen Sie einfach den Administrator einer vertrauenswürdigen Zeitquelle an und fragen Sie, ob Sie deren Dienst mit NTP-Schlüsseln verwenden möchten.
Mikebabcock

Antworten:

7

In einer der vorherigen Antworten wurde die MD5-Authentifizierung erwähnt, die in NTP4 verfügbare Pubkey-Authentifizierung wurde jedoch nicht erwähnt. Viele nationale Labors bieten md5 / autokey-fähige Zeitdienste an.

Ich verstehe nicht, was Ihr Bedrohungsmodell ist. Wenn jemand in der Lage und bereit ist, Ihr GPS-Signal zu fälschen, haben Sie größere Probleme als zu welcher Zeit. Abgesehen davon können Sie eine lokale Uhr mit GPS oder CDMA kombinieren und dieses Zeitsignal dann mit der authentifizierten Zeit einiger nationaler Labors ergänzen, die authentifizierte Zeitdienste anbieten. Auf diese Weise können Sie sich bei gefälschten GPS-Signalen immer noch auf die authentifizierte Zeit der nationalen Labors verlassen.

GEOGRAPHISCHES POSITIONIERUNGS SYSTEM:

Für nur 40 US-Dollar und etwas Löten können Sie eine lokale GPS + PPS-Zeitquelle mit einer GPS-Evaluierungskarte von Sure Electronics einrichten. Gelegentlich finden Sie bei ebay eine CDMA-Nachuhr für ziemlich günstig, wenn Sie in Ihrem Rechenzentrum kein GPS-Signal empfangen können.

Authentifizierter NTP-Dienst:

NIST, NRC und INRIM (nationale Labors für USA, Kanada und Italien) bieten MD5-authentifizierte Zeitdienste an. Im Gegensatz zu NIST und INRIM ist der CRC md5-Dienst nicht kostenlos. Der Autokey-authentifizierte Zeitdienst ist bei OBSPM und INRIM (den französischen und italienischen nationalen Labors) erhältlich und bietet diesen Dienst kostenlos an. Es gibt sicherlich andere nationale Labors mit authentifizierter Zeit, aber Sie müssen nach ihnen suchen.

Links für authentifizierte Zeit von nationalen Labors:

NIST:

http://www.nist.gov/pml/div688/grp40/auth-ntp.cfm

NRC:

http://www.nrc-cnrc.gc.ca/eng/services/inms/calibration-services/time-frequency.html#Authenticated

OBSPM:

http://syrte.obspm.fr/informatique/ntp_infos.php

https://syrte.obspm.fr/informatique/ntp_keys.php

INRIM:

http://www.inrim.it/ntp/

http://www.inrim.it/ntp/auth_i.shtml

dfc
quelle
13

Mein Rat wäre, NTP zu vertrauen - Es ist keineswegs sicher, aber mir sind keine größeren Angriffsmethoden bekannt, und es ist so sicher wie Ihre Auswahl von Peers (die im Endeffekt so sicher sind wie Ihre DNS-Auflösung und Ihr Routing Tabelle).

Wenn Sie andere Alternativen in Betracht ziehen müssen, sind hier einige (Genauigkeit / Sicherheit in Klammern):

  1. Ihre eigene Atomuhr als PPS-Quelle. (Über acurate. Verdammt nahezu unberührbar)
    (Diese sind bei eBay erhältlich. Es ist nicht unmöglich einzurichten - es gibt viele Zeit-Nerds, die sie haben, und Ihr NTP-Daemon kann sie als Zeitquelle verwenden . Sie müssen Schaltsekunden verarbeiten .)

  2. Ein GPS-Empfänger. (Super genau. Sehr schwer zu fälschen).
    (GPS - Signale CAN außer Kraft gesetzt werden / Spoofing , aber das ist ein Spezialist Angriff, einige Anstrengungen erfordern würde , durchzuführen. Ein Totalausfall des GPS - Systems ist unwahrscheinlich, da eine vollständige Abschaltung.)

  3. NTP (sehr genau. Fälschbare mit einiger Mühe)
    (Die Chancen , dass jemand Sie über Ihre Zeit Quelle angreifenden sind ziemlich dünn, und wenn Sie Ihren NTP - Daemon gegen mehrere der konfigurieren Pool Server Ausreißer oder falsch-Tickers werden verworfen.
    Beachten Sie, dass Dies setzt voraus, dass Sie Ihrem DNS mindestens so weit vertrauen, wie Sie es fallen lassen können.)

  4. Ein stabilisierter Quarzoszillator als PPS-Quelle. (Nicht sehr genau. Verdammt nahezu unantastbar.)
    (Je nach Oszillator ist dies möglicherweise nicht genauer als die Uhr Ihres Computers. Erwarten Sie, dass Sie die Zeit regelmäßig korrigieren müssen, und Sie müssen Schaltsekunden verarbeiten.)

  5. Die interne Uhr Ihres Computers. (Genauer als eine Sanduhr. Verdammt fast unantastbar.)
    (Für jede moderne Anwendung, die sich um die Zeit kümmert, ist dies so gut wie unbrauchbar.)

voretaq7
quelle
1
Leider ist das vollständige Herunterfahren des GPS ein sehr einfacher Angriffsvektor. So einfach, dass es schon einmal ganz zufällig gemacht wurde: gizmodo.com.au/2011/03/…
Mark Henderson
Die Atomuhren, die Sie bei eBay finden (ich nehme an, Sie sprechen von den HP 5071, die von Zeit zu Zeit auftauchen), sind alt genug, um neue Cäsiumröhren zu benötigen, die ungefähr den Preis eines mittelgroßen Autos kosten. Standards wie der 5071 sind nur dann genau, wenn sie im Dutzend (wie USNO) oder als Teil eines mit GPS interdisziplinierten Systems gemittelt werden. Obwohl sich auf der Vorderseite eine Uhr befindet, kann der 5071 diese nicht genau einstellen oder ablesen, und die 1PPS-Ausgänge müssen extern gesteuert werden, um mit UTC in Phase zu kommen.
Blrfl
1
GPS ist tatsächlich ungenau und erstaunlich leicht zu fälschen oder zu stören. Verlassen Sie sich nicht auf die Timing-Genauigkeit oder die Navigation.
Rory Alsop
3
@RoryAlsop Worauf stützen Sie die Aussage, dass GPS ungenau ist und nicht als verlässlich angesehen werden sollte? Ich werde die Möglichkeit des Störens (und damit des Spoofings) ohne weiteres einräumen, aber wenn ich normal arbeite (was die überwiegende Mehrheit der Zeit ist), kann ich ein sich bewegendes Flugzeug innerhalb seiner Flügelspannweite auf einem Flughafen reparieren - das scheint mir für die Position ziemlich genau zu sein, und Meine Erfahrung mit der GPS-Zeit war ebenso gut wie die Genauigkeit von weniger als einer Sekunde, was oft "gut genug" ist.
voretaq7
@Blrfl Das Ersetzen der Cäsiumröhre alle 3-10 Jahre (abhängig von der Röhre) ist eine ziemlich hohe Ausgabe , aber wenn Sie diese Genauigkeit benötigen, möchten Sie das Geld in die Wartung investieren. Ich kann keine Kommentare zur Drift oder Phaseneinstellung der Cäsiumuhr abgeben (aus meinem Fachgebiet, fürchte ich), aber als PPS-Quelle zur Disziplinierung einer vorhandenen Uhr scheint dies eine OK-Option zu sein.
voretaq7
8

NTP ist kein sicheres Protokoll (nun, es gibt einen Authentifizierungsmechanismus, der jedoch nicht weit verbreitet ist und die MD5-Authentifizierung ist nicht besonders sicher) - egal mit welchem ​​Internet-Zeitserver Sie sprechen, Sie wissen es nicht wirklich dass du mit ihnen sprichst. Abgesehen von der Vertrauenswürdigkeit der Pools (ich mag sie nicht, weil ihre Schichten überall sind, NIST hat gute Quellen für Internet-NTP), erfüllt Internet-NTP Ihre Anforderungen nicht.

Eine Hardware-Uhr im lokalen Netzwerk ist wirklich die einzige Möglichkeit, sicher zu sein, dass Ihre Verbindung nicht abgefangen wird - und selbst dann nur, wenn die Sicherheit Ihres lokalen Netzwerks dies sicherstellen kann.

Shane Madden
quelle
2
Können Sie sich bei einer Hardware-Uhr wirklich sicher sein? Es empfängt nur ein weiteres Signal. Es wäre teuer und illegal, aber mit Geld und der richtigen Motivation könnte man die verwendeten Frequenzen stören und eine alternative Quelle mit schlechter Zeit bereitstellen.
Zoredache
Gefälschte GPS-Signale, ich mag es!
Shane Madden
2
Es könnte argumentiert werden, dass die Abfrage einer ausreichend großen Anzahl von NTP-Quellen (sowohl einige zufällig aus einem Pool ausgewählt als auch einige feste) eine hinreichende Sicherheit für eine genaue Zeit geben würde. Das heißt, wenn sich Ihre ISPs in NTP-Pakete einmischen, sind Sie immer noch ziemlich durcheinander. Eine Kombination von NTP- und Stratum 0-Geräten würde die Sicherheit weiter erhöhen.
Chris S
1
Das Schmieden (oder Stören) von GPS ist nicht so schwierig wie man denkt - es ist ein SEHR schwaches Signal, wenn es bei Ihrem Empfänger ankommt. In der Luftfahrtgemeinschaft herrschte vor einiger Zeit großes Aufsehen über GPS-Störungen durch Zelltürme - vgl. avweb.com/avwebbiz/news/…
voretaq7
@ voretaq7 Das stört und blockiert das GPS-Signal. Um ein GPS-Signal zu fälschen, müssten Sie fast korrekte Daten generieren, um sie erneut zu senden. OTOH, jetzt wo ich darüber nachdenke, könnten Sie einfach die Rohdaten von einem Empfänger in kurzer Entfernung erhalten, die Koordinatendaten ändern, dann die Zeitdaten in der Nachricht ändern und diese erneut senden. Immer noch ziemlich weit hergeholt.
Ward - Reinstate Monica
5

Kaufen Sie einen Meinberg mit GPS-Synchronisierung. Die sind nicht zu teuer. Sie sollten dem bis zu einem gewissen Grad vertrauen können. http://www.meinberg.de . Oder kaufen Sie einfach ein GPS-Synchronisierungsgerät und schließen Sie es an einen Server an.

cmouse
quelle
Warum kann ich den zivilen GPS-Signalen vertrauen?
84104
1
@ user84104 Es gibt kein "ziviles Band" - GPS / WAAS-Signale (einschließlich des Zeitsignals) stehen allen zur Verfügung, die jetzt den Launen des Militärs (und einigen dummen US-Exportgesetzen für Empfänger) unterliegen. Sie können ihm vertrauen, weil Segelschiffe und Flugzeuge darauf angewiesen sind.
Wenn
@ voretaq7 Ich sollte es besser wissen als Wikipedia zu glauben, aber ich mache es weiter. en.wikipedia.org/wiki/GPS_signals#Military_.28M-code.29
84104
@ user84104 AFAIK M-Mode wird nicht verwendet (es ist eine vorgeschlagene Erweiterung) - wenn es keiner der Benutzer wäre, die ich in meinem Kommentar skizziert habe, hätte ich trotzdem Zugriff darauf :-)
voretaq7
1
@RoryAlsop Haben Sie Referenzen oder Beweise dafür, dass ein Militär oder andere dies tatsächlich tun?
Chris S
4

Im Internet stehen beliebig viele sichere Zeitquellen zur Verfügung. Die meisten von ihnen arbeiten so:

  1. Sie generieren eine zufällige Herausforderung.

  2. Sie senden die Herausforderung an die Zeitquelle.

  3. Die Zeitquelle hängt einen Zeitstempel an Ihre Herausforderung an, signiert ihn mit ihrem bekannten privaten Schlüssel und sendet ihn an Sie zurück.

  4. Sie bestätigen die Signatur mit ihrem öffentlichen Schlüssel.

  5. Vorausgesetzt, Sie können dieser Quelle vertrauen, wissen Sie jetzt, dass die Zeit im Zeitstempel eine Zeit zwischen dem Zeitpunkt, zu dem Sie die Herausforderung generiert haben, und dem Zeitpunkt, zu dem Sie die Antwort erhalten haben, widerspiegelt.

Verisign führt einen solchen Dienst über HTTPS aus. Die URL lautet http://timestamp.verisign.com/scripts/timstamp.dll. Globalsign führt auch eine aus, die URL lautet http://timestamp.globalsign.com/scripts/timstamp.dll. Das Protokoll ist in RFC 3161 angegeben und auch in OpenSSL implementiert .

David Schwartz
quelle
1
Hauptproblem: Es gibt hier keine Möglichkeit, Transit- / Protokollverzögerungen zu berücksichtigen. Wie Sie sagten, kennen Sie den Zeitstempel reflects a time somewhere between when you generated the challenge and when you received the reply- Das kann eine Verzögerungszeit von 20 ms, 200 ms oder 2000 ms (pathologischer Fall) haben. Die einzige "genaue" Zeitgarantie hier ist, dass der Zeitstempel der TSA genau ist, wenn die TSA ihn ausgestellt hat (nicht als er vom Kunden angefordert oder empfangen wurde)
voretaq7
Jedes Mal hat das Synchronisationsschema eine gewisse Genauigkeit. Für ein Schema, das sowohl sicher als auch kostenlos ist, ist eine Genauigkeit von zwei Sekunden verdammt gut.
David Schwartz
Das Problem ist, dass eine Genauigkeit von zwei Sekunden (und vor allem eine unbestimmte Genauigkeit) für viele Umgebungen, in denen eine genaue / synchronisierte Zeit erforderlich ist, nicht gut genug ist. Zeitstempel und Zeitsynchronisation sind sehr unterschiedliche Problembereiche: Diese Dienste sind die ersteren. NTP und lokale PPS-Uhren sind für letztere.
voretaq7
Sein Problem mit NTP oder GPS ist, dass er es nicht sichern kann. Er kann das mit Zeitstempel machen. Sie lassen sich perfekt kombinieren, obwohl es schwierig ist, sicher zu sein, da wir seine genauen Anforderungen nicht kennen.
David Schwartz