Cet article a été publié pour la première fois sur le blog de Netnod. Il est publié ici avec leur autorisation.
Un grand nombre des principaux outils de sécurité sur Internet dépendent de la précision de l’heure. Jusqu’à récemment cependant, il n’y avait aucun moyen de s’assurer que l’heure fournie provenait d’une source fiable. La nouvelle norme Network Time Security (NTS) a été conçue pour remédier à ce problème. Dans cet article, nous résumerons les principaux développements de la NTS et nous ferons le lien avec une série d’articles récents de Netnod qui fournissent plus d’informations sur le contexte, la norme NTS et les dernières mises en œuvre.
Qu’est-ce que la NTS et pourquoi est-elle importante ?
La NTS est un développement essentiel du Network Time Protocol (NTP). Elle a été développée au sein de l’Internet Engineering Task Force (IETF) et ajoute une couche de sécurité indispensable à un protocole vieux de plus de 30 ans et vulnérable à certains types d’attaques. Netnod a joué un rôle important dans le développement de la Network Time Security (NTS), depuis l’effort de normalisation au sein de l’IETF jusqu’au développement de plusieurs mises en œuvre et au lancement de l’un des premiers services NTP compatibles NTS au monde.
La NTS se compose de deux protocoles, un échange de clés et un NTP amélioré. Cela permet aux clients de vérifier que l’heure qu’ils reçoivent a été envoyée par le bon serveur. Des informations plus détaillées sur le fonctionnement de la NTS et son importance sont disponibles ici ainsi que dans un article récemment publié sur RIPE Labs.
La norme NTS de l’IETF
En mars 2020, le projet Internet « Network Time Security for the Network Time Protocol » a été approuvé en tant que proposition de norme. Il décrit la NTS comme : « un mécanisme permettant d’utiliser la sécurité de la couche transport (TLS) et le cryptage authentifié avec données associées (AEAD) pour assurer la sécurité cryptographique du mode client-serveur du Network Time Protocol (NTP) ». Il se trouve actuellement dans la file d’attente des éditeurs de RFC dans la perspective d’une publication en tant que RFC proprement dite.
Implémentations du NTP
Le 28 octobre 2019, Netnod a lancé l’un des premiers services NTP au monde, basé sur la NTS. Il est accessible au public aux adresses suivantes :
- nts.ntp.se (pour les utilisateurs partout dans le monde)
- nts.q1.ntp.se et nts.q2.ntp.se (pour les utilisateurs proches de Stockholm)
Pour plus d’informations sur ce service, cliquez ici. Netnod a également publié un guide expliquant comment configurer un client NTS et se connecter aux serveurs NTS de Netnod. Découvrez-le ici. Parmi les clients NTP actuels qui supportent les NTS (dont deux ont été écrits par le personnel de Netnod), citons :
- ntpsec (écrit par Eric Raymond)
- A Python implementation (écrit par Christer Weinigel, Netnod)
- A Go implementation (écrit par Michael Cardell Widerkrantz (Netnod), Daniel Lublin et Martin Samuelsson)
Joachim Strömbergson et Peter Magnusson d’Assured ont été sollicités par Netnod pour collaborer à la mise en œuvre de Verilog du NTP amélioré. De plus amples informations à ce sujet seront disponibles plus tard dans l’année.
Pourquoi utiliser l’heure exacte de Netnod ?
Netnod, pour le compte de l’Autorité suédoise des postes et des télécommunications (PTS), gère une implémentation Verilog de NTP avec des horloges atomiques connectées qui fonctionnent dans des lieux répartis dans toute la Suède. Cela signifie que vous parlez NTP directement à la puce du FPGA ! Comme aucun logiciel n’est impliqué, vous obtenez l’heure la plus précise possible. Le service est disponible gratuitement pour le grand public dans le monde entier sur ntp.se, qui résout les adresses IPv4 et IPv6 anycast.
Dans un récent billet de blog, Netnod a examiné certains des principes fondamentaux de la diffusion d’une heure précise. Parmi ceux-ci figurent l’étude des caractéristiques d’une horloge, la manière de garantir une précision de l’ordre de la nanoseconde et les mesures prises par Netnod pour garantir la précision de l’heure dans toute la Suède.
L’Internet Society estime que la sécurité de l’infrastructure de synchronisation du temps de l’Internet a un impact direct sur la fiabilité globale de l’Internet mondial. Nous nous efforçons d’encourager le déploiement mondial des protocoles de Time Security et de favoriser les meilleures pratiques opérationnelles. Consultez la page d’accueil de notre projet Time Security pour en savoir plus sur notre travail.