Authentifizierbare Zeitserver jetzt auch in der Schweiz verfügbar
Abgesicherte Zeitserver unter NTS, der noch jungen Protokollerweiterung von NTP (Network Time Protocol), sind jetzt auch in der Schweiz verfügbar.
(Bild: Min C. Chiu/Shutterstock.com)
Gleich drei öffentliche, sichere Zeitserver gibt es seit Jahreswechsel in der Schweiz. Zeitserver sorgen dafür, dass an alle verbundenen Rechner und Geräte im Netzwerk eine exakte Uhrzeit übertragen wird und sie sich darauf synchronisieren.
Öffentlich waren sogenannte NTP-Server (Network Time Protocol) zur Zeitsynchronisation auch bisher schon. Aber immer wichtiger wurde in den vergangenen Jahren, etwa für die Zwei-Faktor-Authentifizierung oder das Zertifikate-Handling, nicht nur irgendeine, sondern eine zuverlässig korrekte Zeitangabe. Was mit dem bisher üblichen Protokoll NTP nicht gewährleistet werden konnte.
Angriffe auf NTP-Server
NTP wurde Mitte der 80er-Jahre entwickelt, als das Internet noch ein kleiner, kooperativer, freundlicher Digitalraum war. Deshalb dachte kaum jemand daran, wie man es vermeiden könnte, dass Bösewichte die Uhrzeit manipulieren, welche die Rechnerbenutzer von ihren Netzwerk-Servern beziehen und anwenden.
Mittlerweile werden die dafür bislang eingesetzten öffentlichen NTP-Server als nicht mehr unbedingt vertrauenswürdig betrachtet, da man die Erfahrung machen musste, dass sie Angriffe von Cyberkriminellen auf die Zeitsynchronisierung oder eine Manipulation der Uhrzeit ermöglichen. Die Verwendung der korrekten Uhrzeit und ihre Synchronisation zählt indes zu den wesentlichen Grundlagen der Verarbeitung und Übertragung von Daten. Korrekte Zeitangaben sind etwa für kryptografische Anwendungen wichtig. NTP-Manipulationen könnten also die Datenverschlüsselung angreifbar machen und Schäden anrichten.
Protokollerweiterung für Zeit-Dienste
Ein noch relativ junges Verfahren namens NTS (Network Time Security) soll solche Zeitserver-Sabotage ausschließen. NTS wurde im Oktober 2020 veröffentlicht und ist eine Spezifikation des Standardisierungsgremiums Internet Engineering Task Force (IETF) unter Mitwirkung der deutschen PTB (Physikalisch-Technische Bundesanstalt), die in Deutschland die gesetzlich verbindliche Zeit festlegt und verbreitet.
NTS ist quasi eine Protokollerweiterung um Authentisierung für die bislang kaum abgesicherten NTP-Dienste, analog zur Umstellung von HTTP auf HTTPS. Es ergänzt den Client-Server-Modus von NTP um zwei NTS-Subprotokolle. Zum einen werden dem Client initial über eine (gesicherte) TLS-Verbindung (Transport Layer Security) acht kryptographische Einmal-Cookies zur Verfügung gestellt, zum anderen wird bei jeder erfolgreichen NTP-Abfrage der Cookie-Vorrat wieder aufgefüllt. NTS-Server können natürlich auch wie normale NTP-Dienste benutzt werden, dann aber eben ohne zusätzliche Sicherheit.
Nachholbedarf bei NTS-Infrastruktur
Zeitserver respektive NTP-Dienste werden weltweit angeboten, sei es von Unternehmen oder staatlichen Einrichtungen wie Hochschulen. Global verfügbar ist auch das Community-Projekt „NTP Pool“ www.ntppool.org, eine Sammlung von Tausenden aktiver Zeitserver. Öffentliche NTS-Server machen bisher etwa das Unternehmen Cloudflare weltweit verfügbar unter time.cloudflare.com sowie die PTB für Deutschland. Auf letztere kann unter ptbtime1.ptb.de bis ptbtime3.ptb.de mit einem passendem NTS-Client zugegriffen werden. Nun gibt es seit Jahresbeginn auch drei Server für die Schweiz, die das sichere Zeitsynchronisierungsprotokoll sprechen.
Unter ntp.zeitgitter.net, ntp.trifence.ch und ntp.3eck.net kann jetzt ein abgesicherter Zeitabgleich bezogen werden. Sowohl in der Schweiz als auch international gebe es aber noch viel Nachholbedarf, was die NTS-Infrastruktur betrifft, äußert ein Betreiber gegenüber heise online. Er hofft, dass diese Beispiele auch andere Communities sowie öffentliche und private NTP-Betreiber ermuntern, auf NTS upzugraden.
(axk)