准确,不可欺骗的时间源

8

我需要一个准确无误的时间来源。

如果没有设置自己的原子钟(除非这比听起来容易),我如何才能做到这一点?

这并不是说我不信任NTP池。我无法确定我在跟谁说话。

security  ntp 
84104
source
2
无法伪造(假设您希望自己的时间与其他任何人同步)。为了使您的时间与其他任何人同步,您暗中必须信任至少一个其他人。您信任的人总是有可能向您提供您认为不准确的信息。但是,您可以采取措施来确保您收到的信息被广泛接受为准确的。如果没有硬件时间提供程序,好的NTP服务器应该与许多(8个以上IMHO)其他服务器同步的原因之一。
克里斯S
设置自己的原子钟并不难,您可以去买一个(寻找“频率标准”)。不过它很贵。
derobert
3
我认为,如果您不能信任NTP池或ISP,则还有其他问题……
TheLQ 2011年
我看到这已经很老了,但是值得一提的是,您可以手动使用键控连接来信任时间源。只需打电话给受信任时间源的管理员,并要求将其服务与ntp密钥一起使用。
mikebabcock 2013年

Answers:

7

先前的答案之一提到了MD5身份验证,但没有提及NTP4中可用的pubkey身份验证。许多国家实验室提供md5 / autokey启用时间服务。

我不了解您的威胁模型是什么;如果某人有能力并且愿意欺骗您的GPS信号,那么您遇到的问题要比现在几点大。话虽如此,您可以使用GPS或CDMA组合本地时钟,然后使用一些提供认证时间服务的国家实验室的认证时间来增强此时间信号。这样,如果您的GPS信号被欺骗,您仍然可以依靠国家实验室的认证时间。

全球定位系统:

只需40美元和一些焊接,您就可以通过Sure Electronics GPS评估板设置本地GPS + PPS时间源。如果您无法在数据中心接收GPS信号,有时您可以在ebay上找到相当便宜的CDMA refclock。

经过身份验证的NTP服务:

NIST,NRC和INRIM(美国,加拿大和意大利的国家实验室)提供MD5认证的时间服务。与NIST和INRIM不同,CRC md5服务不是免费的。OBSPM和INRIM(法国和意大利国家实验室)可以提供Autokey认证的时间服务,他们免费提供此服务。当然,还有其他国家实验室具有经过验证的时间,但是您将需要Google对其进行搜索。

国家实验室的认证时间链接:

NIST:

http://www.nist.gov/pml/div688/grp40/auth-ntp.cfm

NRC:

http://www.nrc-cnrc.gc.ca/eng/services/inms/calibration-services/time-frequency.html#Authenticated

OBSPM:

http://syrte.obspm.fr/informatique/ntp_infos.php

https://syrte.obspm.fr/informatique/ntp_keys.php

INRIM:

http://www.inrim.it/ntp/

http://www.inrim.it/ntp/auth_i.shtml

DFC
source
13

我的建议是信任NTP-这绝对不是安全的,但是我不知道任何主要的攻击媒介,它与您选择的对等方一样安全(其有效性与DNS解析和路由一样安全)表)。

如果您需要考虑其他替代方法,请参考以下几种方法(括号中的准确性/安全性):

  1. 您自己的原子钟作为PPS源。(Überacurate。该死的几乎不可欺骗)
    (在eBay上可用。这不是不可能的设置-有很多时间书呆子拥有它们,您的NTP守护程序可以将它们用作时间源。您将需要处理seconds秒)

  2. GPS接收器。(超级准确。很难欺骗)。
    (GPS信号CAN覆盖/欺骗,但是这是一个专门攻击将需要一些努力来进行。GPS系统的完全失效的可能性不大,因为是一个完整的关机)。

  3. NTP (非常准确。可以通过某些努力进行欺骗)
    (有人通过您的时间源攻击您的可能性很小,如果您针对多个池服务器配置NTP守护程序,则所有异常值或错误行情指示器都将被丢弃。
    请注意这是假设您至少可以信任DNS才能信任它。)

  4. 稳定的石英振荡器作为PPS源。(不是很准确。该死的几乎无法欺骗)
    (取决于振荡器,它可能不会比您的计算机时钟更准确。期望必须定期更正时间,并且您需要处理leap秒。)

  5. 您计算机的内部时钟。(比沙漏更精确。该死的几乎不可伪装。)
    (对于任何关心时间的现代应用程序,这几乎是不可用的。)

voretaq7
source
1
不幸的是,完全关闭GPS实际上是一个非常简单的攻击手段。如此简单,以至于之前完全是偶然地完成的:gizmodo.com.au/2011/03/…–
Mark Henderson
您在eBay上发现的原子钟(我想您正在谈论的是不时弹出的HP 5071s)的原子钟足够老,需要新的铯铯管,其价格大约是中型车的价格。像5071这样的标准只有在按一打取平均值(如USNO所做的)或作为与GPS交叉管理的系统的一部分时才是准确的。尽管前面板有时钟,但5071无法准确设置或读取时钟,并且必须从外部控制1PPS输出才能与UTC同步。
Blrfl 2011年
1
GPS实际上是不准确的,并且非常容易被欺骗或阻塞。不要依靠它来保证时间准确性,或者实际上是为了导航。
罗里·阿尔索普
3
@RoryAlsop基于什么,您是否认为GPS不准确且不应被依赖?我会轻易承认这种干扰(并因此而进行欺骗)的可能性,但是当正常运行时(这是绝大多数时间),我可以在飞机的翼展内固定一架正在运行的飞机,这对我的定位非常准确,并且我在GPS时间方面的经验在亚秒级精度方面同样出色,通常“足够好”。
voretaq7 2011年
@Blrfl每3到10年更换一次铯管(视管而定)一笔不菲的费用,但是如果您需要这种准确性,则需要投资进行维护。我无法评论铯钟的漂移或定相(恐怕超出了我的专业领域),但是作为PPS来源来约束现有时钟,这似乎是一个不错的选择。
voretaq7 2011年
8

NTP不是一个安全协议(嗯,有一个身份验证机制,但是它没有得到广泛使用,并且MD5身份验证也不是很安全)-不管您正在与哪个Internet时间服务器进行通信,您都不知道你在和他们说话。除了池的可信赖性(我不喜欢它们,因为它们的层次遍布各处,NIST有很好的Internet NTP 来源),Internet NTP无法满足您的要求。

局域网上的硬件时钟实际上是唯一可以确保您的连接不会被拦截的方法-即使如此,前提是局域网的安全性可以向您保证。

沙恩·马登(Shane Madden)
source
2
您真的可以确定硬件时钟吗?它只是在接收另一个信号。这将是昂贵且非法的,但是只要有钱和适当的动力,人们就可能会阻塞所使用的频率,并为时光倒流提供另一个来源。
Zoredache
伪造的GPS信号,我喜欢!
Shane Madden
2
可以说,轮询足够多的NTP源(从池中随机选择一些NTP源)可以合理保证准确的时间。就是说,如果您的ISP干扰了NTP数据包,那么您还是很困惑。NTP和Stratum 0设备的组合将进一步提高安全性。
克里斯·S
1
伪造(或干扰)GPS并不像人们想象的那么难- 到接收器时,这是一个非常微弱的信号。关于蜂窝塔对GPS的干扰,在航空界引起了不小的轰动。avweb.com/avwebbiz/news/...
voretaq7
@ voretaq7干扰了,阻止了GPS信号。为了欺骗GPS信号,您必须生成几乎正确的数据才能重新广播。OTOH,现在我想到了,您可以仅从短距离的接收器获取原始数据,更改坐标数据,然后修改消息中的时间数据并重新广播。还是蛮牵强..
沃德-恢复莫妮卡
5

好吧,购买带有GPS同步功能的Meinberg。那些不太贵。您应该可以在某种程度上相信它。http://www.meinberg.de。或者只是购买GPS同步设备并将其连接到服务器。

ous
source
为什么我可以信任民用频段GPS信号?
84104
1
@ user84104没有“平民乐队”-GPS / WAAS信号(包括时间信号)现在对每个人都适用,这取决于军队的要求(以及一些针对接收器的愚蠢的美国出口法)。您可以信任它,因为帆船和飞机都依赖它,因此直言不讳地说,将其关闭或对其进行实质性降级实际上会使很多人
陷入困境
@ voretaq7我应该比相信维基百科更了解,但是我一直在这样做。zh.wikipedia.org/wiki/GPS_signals#Military_.28M-code.29
84104
@ user84104 AFAIK M-Mode未使用(它是建议的扩展)-如果它不在我在评论中概述的所有用户都可以访问:-)
voretaq7 2011年
1
@RoryAlsop您是否有任何参考资料或证据证明任何军事人员或其他人确实在这样做?
克里斯·S
4

Internet上有许多安全时间源。他们大多数人是这样工作的:

  1. 您会产生随机挑战。

  2. 您将质询发送到时间源。

  3. 时间源向您的挑战附加时间戳,并使用其众所周知的私钥对其进行签名,然后将其发送回给您。

  4. 您用他们的公钥确认签名。

  5. 现在您可以知道,假设您可以信任此来源,那么时间戳记中的时间将反映出您提出挑战和收到回复之间的时间。

威瑞信通过HTTPS运行此类服务。网址为http://timestamp.verisign.com/scripts/timstamp.dll。Globalsign也运行一个,URL为http://timestamp.globalsign.com/scripts/timstamp.dll。该协议在RFC 3161中指定,并且也在OpenSSL中实现。

大卫·施瓦兹
source
1
主要问题:这里无法解决传输/协议延迟。如您所说,您知道时间戳记reflects a time somewhere between when you generated the challenge and when you received the reply-可能有20ms,200ms或2000ms(病理情况)的延迟时间。唯一的“准确”时间保证是,TSA的时间戳准确到TSA发出它的时间(而不是客户请求或接收的时间)
voretaq7
每次同步方案都有一定程度的准确性。对于既安全又免费的方案,实际上只有两秒的准确性。
David Schwartz
问题是两秒的精度(更重要的是不确定的精度)对于许多需要精确/同步时间的环境来说不够好。时间戳记和时间同步是截然不同的问题领域:这些服务是前者。NTP和本地PPS时钟用于后者。
voretaq7 2011年
NTP或GPS的问题在于他无法保护它。他可以通过加盖时间戳来做到这一点。它们完美地结合在一起,但是由于我们不知道他的确切要求而很难确定。
大卫·史瓦兹
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.