Categories
Renforcer l'Internet Sécurité de synchronisation

Collaborer pour améliorer les nouvelles implémentations de sécurisation de l’heure des réseaux

Une heure précise et sûre est essentielle pour la sécurité et la fiabilité de l’Internet. De nombreux systèmes avec lesquels nous interagissons régulièrement reposent sur la précision horaire pour fonctionner correctement. L’heure précise constitue également une base essentielle pour la sécurité en ligne, et de nombreux mécanismes de sécurité, tels que les certificats numériques utilisés pour la sécurité de la couche transport (TLS), dépendent de la précision de la comptabilisation du temps. Le protocole NTP (Network Time Protocol) permet la synchronisation des horloges sur les réseaux informatiques.

Les mécanismes de sécurité du NTP ont été conçus à une époque où la plupart du trafic Internet était fiable et où le risque d’attaque était peu probable. En raison de l’expansion exponentielle continue d’Internet, ces mécanismes sont devenus obsolètes et ont dû être repensés. L’Internet Engineering Task Force (IETF) travaille depuis plusieurs années à l’élaboration d’une spécification pour la sécurité de l’heure des réseaux (NTS). Cette spécification a été approuvée par l’Internet Engineering Steering Group (IESG) en mars dernier et est actuellement en cours de révision par le RFC pour la publication finale. Au cours des deux dernières années, une série de projets NTS ont été menés dans le cadre des Hackathons de l’IETF. Ces projets ont permis d’identifier les erreurs et les ambiguïtés dans la spécification mais aussi de tester et d’améliorer l’interopérabilité entre les implémentations.

Collaboration communautaire à l’heure

Récemment, dans le cadre du hackathon virtuel de l’IETF 108, un autre événement de cette série a été couronné de succès. Des représentants de plusieurs organisations dont chrony, Cloudflare, Netnod, Orolia, l’Université des sciences appliquées d’Ostfalia, la Physikalisch-Technische Bundesanstalt (PTB) et l’Internet Society ont participé au projet sur la sécurisation de l’heure des réseaux (NTS) en juillet 2020. À la fin de la semaine, on comptait 13 installations de six serveurs NTS différents. Ces implémentations de serveurs ont été testées par rapport à cinq implémentations de clients différentes, montrant des améliorations dans la maturité et l’interopérabilité des implémentations de NTS, tant pour les clients que pour les serveurs.

En outre, l’un des points forts de cet effort a été la contribution du premier outil de test des NTS. Miroslav Lichvar a fourni cet outil, qui a permis de vérifier la conformité d’une implémentation à la spécification et d’effectuer quelques tests de performance de base. Découvrez ici une brève présentation des résultats du projet NTS lors du Hackathon virtuel de l’IETF 108.

Prise en charge NTS

À ce stade, il existe maintenant deux implémentations NTP open source principales qui ont ajouté la prise en charge NTS : chrony et NTPsec. Par ailleurs, il existe des implémentations NTS à source ouverte de Netnod, Ostfalia et Cloudflare. Le projet Time Security de l’Internet Society établit un banc d’essai distribué avec certaines de ces implémentations afin de fournir des possibilités de test et d’implémentation supplémentaires pour la communauté au sens large.

Pour en savoir plus :


Image de Josh Redd via Unsplash

Categories
Renforcer l'Internet Sécurité de synchronisation

Tout ce que vous devez savoir sur la Network Time Security

Cet article a été publié pour la première fois sur le blog de Netnod. Il est publié ici avec leur autorisation.

Un grand nombre des principaux outils de sécurité sur Internet dépendent de la précision de l’heure. Jusqu’à récemment cependant, il n’y avait aucun moyen de s’assurer que l’heure fournie provenait d’une source fiable. La nouvelle norme Network Time Security (NTS) a été conçue pour remédier à ce problème. Dans cet article, nous résumerons les principaux développements de la NTS et nous ferons le lien avec une série d’articles récents de Netnod qui fournissent plus d’informations sur le contexte, la norme NTS et les dernières mises en œuvre.

Qu’est-ce que la NTS et pourquoi est-elle importante ?

La NTS est un développement essentiel du Network Time Protocol (NTP). Elle a été développée au sein de l’Internet Engineering Task Force (IETF) et ajoute une couche de sécurité indispensable à un protocole vieux de plus de 30 ans et vulnérable à certains types d’attaques. Netnod a joué un rôle important dans le développement de la Network Time Security (NTS), depuis l’effort de normalisation au sein de l’IETF jusqu’au développement de plusieurs mises en œuvre et au lancement de l’un des premiers services NTP compatibles NTS au monde.

La NTS se compose de deux protocoles, un échange de clés et un NTP amélioré. Cela permet aux clients de vérifier que l’heure qu’ils reçoivent a été envoyée par le bon serveur. Des informations plus détaillées sur le fonctionnement de la NTS et son importance sont disponibles ici ainsi que dans un article récemment publié sur RIPE Labs.

La norme NTS de l’IETF

En mars 2020, le projet Internet “Network Time Security for the Network Time Protocol” a été approuvé en tant que proposition de norme. Il décrit la NTS comme : “un mécanisme permettant d’utiliser la sécurité de la couche transport (TLS) et le cryptage authentifié avec données associées (AEAD) pour assurer la sécurité cryptographique du mode client-serveur du Network Time Protocol (NTP)”. Il se trouve actuellement dans la file d’attente des éditeurs de RFC dans la perspective d’une publication en tant que RFC proprement dite.

Implémentations du NTP

Le 28 octobre 2019, Netnod a lancé l’un des premiers services NTP au monde, basé sur la NTS. Il est accessible au public aux adresses suivantes :

  1. nts.ntp.se (pour les utilisateurs partout dans le monde)
  2. nts.q1.ntp.se et nts.q2.ntp.se (pour les utilisateurs proches de Stockholm)

Pour plus d’informations sur ce service, cliquez ici. Netnod a également publié un guide expliquant comment configurer un client NTS et se connecter aux serveurs NTS de Netnod. Découvrez-le ici. Parmi les clients NTP actuels qui supportent les NTS (dont deux ont été écrits par le personnel de Netnod), citons :

  1. ntpsec (écrit par Eric Raymond)
  2. A Python implementation (écrit par Christer Weinigel, Netnod)
  3. A Go implementation (écrit par Michael Cardell Widerkrantz (Netnod), Daniel Lublin et Martin Samuelsson)

Joachim Strömbergson et Peter Magnusson d’Assured ont été sollicités par Netnod pour collaborer à la mise en œuvre de Verilog du NTP amélioré. De plus amples informations à ce sujet seront disponibles plus tard dans l’année.

Pourquoi utiliser l’heure exacte de Netnod ?

Netnod, pour le compte de l’Autorité suédoise des postes et des télécommunications (PTS), gère une implémentation Verilog de NTP avec des horloges atomiques connectées qui fonctionnent dans des lieux répartis dans toute la Suède. Cela signifie que vous parlez NTP directement à la puce du FPGA ! Comme aucun logiciel n’est impliqué, vous obtenez l’heure la plus précise possible. Le service est disponible gratuitement pour le grand public dans le monde entier sur ntp.se, qui résout les adresses IPv4 et IPv6 anycast.

Dans un récent billet de blog, Netnod a examiné certains des principes fondamentaux de la diffusion d’une heure précise. Parmi ceux-ci figurent l’étude des caractéristiques d’une horloge, la manière de garantir une précision de l’ordre de la nanoseconde et les mesures prises par Netnod pour garantir la précision de l’heure dans toute la Suède.

L’Internet Society estime que la sécurité de l’infrastructure de synchronisation du temps de l’Internet a un impact direct sur la fiabilité globale de l’Internet mondial. Nous nous efforçons d’encourager le déploiement mondial des protocoles de Time Security et de favoriser les meilleures pratiques opérationnelles. Consultez la page d’accueil de notre projet Time Security pour en savoir plus sur notre travail.

Categories
Améliorer la sécurité technique Renforcer la confiance Sécurité de synchronisation

Synchronisation de l’heure, sécurité et confiance

Le temps est souvent ignoré ou pris pour acquis, mais l’exactitude et la fiabilité du temps sont essentielles à nos vies et doivent être protégées. Les systèmes informatiques distribués, clés pour de nombreuses fonctions inhérentes à notre vie quotidienne, dépendent d’un temps précis et fiable, mais nous nous arrêtons rarement et pensons à la façon dont ce temps est construit et représenté. Un temps précis et fiable est nécessaire pour déterminer quand un événement se produit, dans quel ordre une séquence particulière d’événements se produit ou pour programmer un événement qui se déroulera à un moment donné dans l’avenir. D’où on voudrait attirer votre attention à notre programme de confiance ici sur Internet Society , Un temps fiable et de qualité est nécessaire pour de nombreuses technologies et cette sécurité du temps constitue une partie essentielle et souvent négligée de l’infrastructure Internet. Il y a plusieurs domaines ou la précisions du temps est nécessaire..

Lire plus en Anglais…ainsi que accéder aux présentations sur ce thème.