Fonte de Tempo Precisa e Intocável

Navegue suas respostas
8

Eu preciso de uma fonte de tempo não preciável e precisa.

Curto de configurar meu próprio relógio atômico (a menos que seja mais fácil do que parece), como eu poderia fazer isso?

Não é que eu não confie nos pools NTP; Eu não tenho garantia de com quem estou falando.

    
por 84104 13.10.2011 / 20:20

5 respostas

7

Uma das respostas anteriores mencionou a autenticação MD5, mas não mencionou a autenticação pubkey disponível no NTP4. Muitos laboratórios nacionais fornecem serviços de tempo habilitados para md5 / autokey.

Eu não entendo qual é o seu modelo de ameaça; se alguém é capaz e disposto a falsificar seu sinal de GPS, você tem problemas maiores do que o tempo que é. Dito isto, você poderia combinar um novo relógio local usando GPS ou CDMA e, em seguida, aumentar este sinal de tempo com o tempo autenticado de alguns dos laboratórios nacionais que fornecem serviços de tempo autenticados. Desta forma, se o seu sinal de GPS for falsificado, você ainda pode confiar no tempo autenticado dos laboratórios nacionais.

GPS:

Por apenas US $ 40 e algumas soldas você pode configurar uma fonte de tempo local GPS + PPS com uma placa de avaliação GPS da Sure Electronics. Ocasionalmente, você pode encontrar um reclock CDMA por bastante barato no ebay se você não pode receber um sinal de GPS no seu centro de dados.

Serviço NTP Autenticado:

NIST, NRC e INRIM (laboratórios nacionais dos EUA, Canadá e Itália) fornecem serviços de horário autenticados MD5. Ao contrário do NIST e do INRIM, o serviço CRC md5 não é gratuito. Autokey serviço de tempo autenticado está disponível a partir de OBSPM e INRIM (os laboratórios nacional francês e italiano) e eles fornecem este serviço gratuitamente. Há certamente outros laboratórios nacionais com tempo autenticado, mas você vai precisar do google para eles.

Links para tempo autenticado de laboratórios nacionais:

NIST:

link

NRC:

link

OBSPM:

link

link

INRIM:

link

link

    
por 14.10.2011 / 23:10
13

Meu conselho seria confiar no NTP - Não é de forma alguma seguro, mas não tenho conhecimento de nenhum dos principais vetores de ataque e é tão seguro quanto a sua seleção de pares (que são tão seguros quanto a sua resolução de DNS). e sua tabela de roteamento).

Se você precisar considerar outras alternativas, aqui estão algumas (precisão / segurança entre parênteses):

  1. Seu próprio relógio atômico como uma fonte PPS. (Über acurate. Maldita, não intocável)
    (Estes estão disponíveis no eBay. Não é impossível configurar - há muitos nerds de tempo que os possuem e seu daemon NTP pode usá-los como fonte de tempo. Você precisará lidar com segundos bissextos.)

  2. Um receptor de GPS. (Super preciso. Muito difícil de falsificar). (Sinais de GPS CAN são substituídos / falsos, mas isso é um ataque especializado que exigiria algum esforço para ser executado. Uma falha total do sistema GPS é improvável, assim como um desligamento completo.)

  3. NTP (Muito preciso. Falsa com algum esforço)
    (As chances de alguém te atacar através da sua fonte de tempo são muito pequenas, e se você configurar o daemon NTP contra vários dos servidores de pool < todos os outliers ou falsos-tickers serão descartados.
    Observe que isso pressupõe que você confie em seu DNS pelo menos até o ponto em que você pode chutá-lo.)

  4. Um oscilador de quartzo estabilizado como fonte de PPS. (Não muito preciso. Mal acabado perto de não ser descoberto)
    (Dependendo do oscilador, isso pode não ser mais preciso do que o relógio do seu computador. Espere ter que corrigir o tempo periodicamente e você precisará lidar com segundos bissextos.)

  5. O relógio interno do seu computador. (Mais preciso do que uma ampulheta. Mal acabado perto de não ser descoberto.)
    (Para qualquer aplicação moderna que se preocupa com o tempo isso é praticamente inutilizável.)

por 13.10.2011 / 21:15
8

O NTP não é um protocolo seguro (bem, existe um mecanismo de autenticação, mas não é amplamente utilizado, e a autenticação MD5 não é muito segura) - não importa o servidor de horário da Internet com o qual você está falando, você não Eu realmente sei que você está falando com eles. Confiabilidade das pools de lado (eu não gosto deles porque seus estratos estão em todo o lugar, NIST tem boas fontes para internet NTP), internet NTP não atende às suas necessidades.

Um relógio de hardware na rede local é realmente a única maneira de ter certeza de que sua conexão não está sendo interceptada - e, mesmo assim, somente se a segurança da sua rede local for capaz de garantir isso.

    
por 13.10.2011 / 20:33
5

Bem, compre um meinberg com a sincronização GPS. Aqueles não são muito caros. Você deve ser capaz de confiar nisso até certo ponto. link . Ou apenas compre um dispositivo de sincronização GPS e conecte-o a um servidor.

    
por 13.10.2011 / 20:25
4

Existem várias fontes de tempo seguras disponíveis na Internet. A maioria deles funciona assim:

  1. Você gera um desafio aleatório.

  2. Você envia o desafio para a fonte de tempo.

  3. A fonte de tempo anexa um registro de data e hora ao seu desafio, assina-o com a chave privada conhecida e o envia de volta para você.

  4. Você confirma a assinatura com sua chave pública.

  5. Agora você sabe, supondo que pode confiar nessa fonte, que a hora no registro de data e hora reflete um tempo em algum lugar entre quando você gerou o desafio e quando recebeu a resposta.

A Verisign executa esse serviço por HTTPS. O URL é http://timestamp.verisign.com/scripts/timstamp.dll . Globalsign também executa um, a URL é http://timestamp.globalsign.com/scripts/timstamp.dll . O protocolo é especificado em RFC 3161 e também implementado em OpenSSL .

    
por 13.10.2011 / 21:26

Tags

Debian - A porta 80 está bloqueada, mas não sei por que Como configurar o ntpd para sincronizar o tempo com mais frequência?