Internet Society tiene el placer de ver la publicación del documeto RFC 8915: seguridad de tiempo de red para el protocolo de tiempo de red de la mano del Grupo de Trabajo de Ingeniería de Internet (IETF, por sus siglas en inglés). Este estándar representa un mecanismo de seguridad nuevo para uno de los protocolos más antiguos de Internet, es decir, el protocolo de tiempo de red (NTP, por sus siglas en inglés).
Hora segura y precisa
El protocolo NTP sirve para sincronizar los relojes de los ordenadores conectados a una red. La hora es muy importante para una gran cantidad de funciones cotidianas indispensables como, por ejemplo, las transacciones financieras y el funcionamiento correcto de los sistemas de energía eléctrica y sistemas de transporte. Una hora segura y precisa también es fundamental para muchas tecnologías de seguridad de Internet, incluida la seguridad básica de un sitio web. A medida que aumenta la distribución y presencia online de todas las cosas, la sincronización horaria en los ordenadores es cada vez más importante. Pero a pesar de todo ello, la seguridad del protocolo NTP se ha quedado rezagada en cuanto a desarrollo e implantación. El protocolo de seguridad de tiempo de red (NTS, por sus siglas en inglés) se desarrolló para subsanar esta laguna.
La publicación del protocolo NTS el 1 de octubre de 2020 representa la culminación de muchos años de trabajo del grupo de trabajo IETF NTP. El NTS añade seguridad criptográfica al modo cliente-servidor del protocolo NTP. Entonces, ¿qué quiere decir esto? Esto quiere decir que ahora el protocolo NTP puede confirmar la identidad de los relojes de red que están intercambiando información y proteger la transmisión de esa información de tiempo por toda la red.
Básicamente, el NTS son dos subprotocolos individuales acoplados que juntos refuerzan la seguridad del protocolo NTP. El intercambio de clave NTS (NTS-KE) está basado en TLS 1.3 y realiza la autenticanción inicial del servidor e intercambia los tokens de seguridad con el cliente. El cliente NTP usa estos tokens en los campos de extensión NTP para la comprobación de la autenticación e integridad de los mensajes del protocolo NTP que intercambian la información horaria.
Iniciativa colaborativa global
Muchas organizaciones y personas merecen el reconocimiento por su contribución a la publicación de este nuevo estándar. Aquí se incluye a todas las personas que ayudaron a escribir el documento en sí, aquellas que desarrollaron las primeras implementaciones de código abierto y ofrecieron datos al grupo de trabajo NTP y aquellas que participaron en las primeras hackatones y pruebas de interoperabilidad. Si bien no es posible mencionar a todas la personas involucradas, creo que es importante reconocer a los autores del RFC:
- Dieter Sibold y Kristof Teichel del Instituto Nacional de Metrología de la República Federal de Alemania (PTB, por sus siglas en alemán)
- Ragnar Sundblad y Marcus Dansarie de Netnod
- Daniel Franke de Akamai
Estos autores, junto al grupo de trabajo NTP, dedicaron una gran cantidad de tiempo y esfuerzo durante muchos años para alcanzar este hito.
Además, me gustaría reconocer a los pioneros de la implementación y la información fundamental que facilitaron. Martin Langer de la Universidad de Ciencias Aplicadas de Ostfalia merece una mención especial por ser la persona que escribió la primera implementación de prototipo que demostró la viabilidad del enfoque NTS y fomentó el trabajo colectivo de otros desarrolladores. Ahora también están disponibles las implementaciones de servidor de código abierto de chrony (github) y NTPsec (github). Netnod y Cloudflare han puesto en marcha servidores de tiempo con protocolo NTS abierto.
¡Enhorabuena a todos los que participaron en esta iniciativa! Internet Society cree que la publicación del RFC 8915 será un paso importante para subsanar una laguna importante en la seguridad del protocolo NTP.
Más información
Internet Society fomenta la implantación global del protocolo de seguridad de tiempo colaborando y apoyando a la comunidad de desarrollo de código abierto, a los proveedores de productos destinados al protocolo de tiempo, proveedores de servicios de sincronización, operadores de red y legisladores para promover la implementación. Sigue informándote sobre nuestro trabajo en la seguridad de tiempo, protocolos NTP y NTS en la página de inicio del proyecto Time Security y en esta entrada del blog.
También encontrarás más información sobre el trabajo en materia de seguridad de tiempo que están haciendo algunas organizaciones involucradas en la finalización del protocolo NTS:
- Cloudflare: ahora el NTS es un RFC
- Netnod: nueva propuesta de estándar para proteger la hora en Internet
Imagen de Ariel Pilotto vía Unsplash