The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой защищённого протокола NTS"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой защищённого протокола NTS"  +/
Сообщение от opennews (?), 09-Окт-20, 21:57 
Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола NTS (Network Time Security) и опубликовал связанную с ним спецификацию под идентификатором RFC 8915. RFC получил статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53862

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от сукуб (?), 09-Окт-20, 21:57   +6 +/
Ну хоть кому-то мозга хватило этим занятся.
И хорошо что не завернули в смузихлёбный http + json
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #7

3. Сообщение от пох. (?), 09-Окт-20, 22:29   –4 +/
> Ну хоть кому-то мозга хватило этим занятся.

тем кому не хватило мозга банально настроить авторизацию в банальном ntpd ?

> И хорошо что не завернули в смузихлёбный http + json

у них и так оверинжинеренное ненужно успешно получилось.

И, разумеется, вместо распределенной сети пиров - потреблять завязанная на единственный глючный сервер "авторизации" с меганавороченным протоколом, при сдыхании которого вся блоатварь превращается в тыкву.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5

5. Сообщение от RomanCh (ok), 09-Окт-20, 22:34   +/
> вместо распределенной сети пиров - потреблять завязанная на единственный глючный сервер "авторизации" с меганавороченным протоколом, при сдыхании которого вся блоатварь превращается в тыкву.

Но ведь это универсальная современная концепция внедряемая решительно везде. Вы так говорите, будто не довольны прогрессом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6

6. Сообщение от ПэЖэ (?), 09-Окт-20, 23:21   +6 +/
>Но ведь это универсальная современная концепция внедряемая решительно везде. Вы так говорите, будто не довольны прогрессом.

не всё что развивается со временем является прогрессом - например ржавчина, гниение и плесень  

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #9, #17, #48

7. Сообщение от Annoynymous (ok), 09-Окт-20, 23:58   +5 +/
> И хорошо что не завернули в смузихлёбный http + json

https + json!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #32

8. Сообщение от Dzen Python (ok), 10-Окт-20, 00:08   –1 +/
1/10
Добавлять теперь ключи для NTP-серверов. А потом для чего? Для небав, для алл*ха?
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от RomanCh (ok), 10-Окт-20, 02:53   +1 +/
>  ржавчина, гниение и плесень  

Вы так говорите, будто не знаете что всё относительно, и что кому-то гниение, другому - жизненно необходимый процесс.

И в конце концов, вы будто бы имеете что-то предложить лучше чем вот это всё?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #11

10. Сообщение от Аноним (10), 10-Окт-20, 04:02   +8 +/
Т.е. теперь если у тебя неправильное время, то его и синхронизировать не получится, потому что TLS работать не будет?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #20

11. Сообщение от Аноним (11), 10-Окт-20, 05:08   +/
Ты ещё вирусы вспомни и не лечись от них никогда!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14, #16, #21

13. Сообщение от malloc (?), 10-Окт-20, 08:33   +5 +/
Да, именно так. Пир с неправильным временем потенциально опасен. Потому что не исключено, что он жертва злоумышленников, которые манипулировали временем на нём. Такой хост вообще подлежит немедленной физической утилизации. А то мало ли что злоумышленники там подменили? Вдруг местная фирмварь уже не подлинная или iME (или аналог)? Вы же как администратор NTP-сервера не можете ручаться за клиентов, так?
Скажите спасибо, что новый протокол не предусматривает высылку пативанов всем, чей тайм скью превышает условную 1 секунду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #15

14. Сообщение от Ковид20 (?), 10-Окт-20, 08:40   –1 +/
В ананиме бактерий больше, чем клеток.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #24

15. Сообщение от Аноним (11), 10-Окт-20, 08:42   +2 +/
> новый протокол не предусматривает высылку пативанов всем ...

Там, это, святой Илон обещает исправить клиента в любой точке Земли менее, чем за час, путём высылки 80-тонного патча.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от YetAnotherOnanym (ok), 10-Окт-20, 09:39   +1 +/
Строго говоря, гниение, происходящее в компостной куче, есть процесс жизненно необходимый для плодородия почвы. Равно же и размножение плесени в жбане на фармзаводе есть также процесс жизненно необходимый для пациентов, ожидающих лекарства.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

17. Сообщение от Аноним (17), 10-Окт-20, 09:51   +/
В экосфере гниение является удалением отходов филогенеза и созданием топлива для более неизких уровней и таким образом является неотделимой частью прогресса первой. Тут претензии, пока, только к тепловой смерти вселенной
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

18. Сообщение от Ананимус (?), 10-Окт-20, 10:37   +1 +/
Забавно, что в openbsd додумались сделать констрейнты с любой https страницы (привет, поле date), а эти целый протокол нагородили.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

19. Сообщение от Аноним (19), 10-Окт-20, 10:42   –2 +/
Чего только не выдумывают люди, чтобы не использовать IPSec!
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Ordu (ok), 10-Окт-20, 10:59   –2 +/
Надо выводить на рынок астрономические часы. Эдакую инсталляцию на крышу с камерой, которая будет снимать картинки неба и на основании них определять дату/время. Работать будет через раз из-за погодных условий, точность будет не фонтан, но позволит разорвать порочный круг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #23, #64

21. Сообщение от RomanCh (ok), 10-Окт-20, 11:30   +/
То есть, по существу вам ответить таки нечего. Так и запишем, противник современного прогресса. Чтобы Илон Маск не давал тебе благословенного небесного интернета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

22. Сообщение от Онаним (?), 10-Окт-20, 11:43   +2 +/
Спасибо, ребята, но нет.
Особенно с отдельным сервером ключей.
Свой GPS-источник выйдет дешевле, проще и надёжнее.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #35

23. Сообщение от Аноним (23), 10-Окт-20, 11:43   +/
Может лучше не стоит создавать этот порочнй круг? Это дешевле и проще, и никакого оверинжиниринга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #26

24. Сообщение от Онаним (?), 10-Окт-20, 11:44   –1 +/
Внезапно бактерии - тоже клетки.
Марш в школу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

25. Сообщение от YetAnotherOnanym (ok), 10-Окт-20, 11:56   +2 +/
Пц... И всё это для того, чтобы спросить "мусью, скольки время?".
Нагородили кучу лишнего обвеса, чтобы в вопросе об источнике доверия перевести стрелки на PKI.
Проще было бы скачать с сайта NIST или ВНИИФТРИ (когда у ВНИИФТРИ появится доступ к сайту по https) открытый ключ и проверять им ответы, подписанные соответствующим закрытым ключом. В этом случае цепочка доверия идёт от УЦ, записанного в моём броузере, т.е. опирается на ту же инфраструктуру PKI.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30, #36, #40

26. Сообщение от Ordu (ok), 10-Окт-20, 12:18   –1 +/
> Может лучше не стоит создавать этот порочнй круг? Это дешевле и проще,
> и никакого оверинжиниринга.

Тут вопрос в том, насколько возможно сделать прибыльным бизнес с астрономическими часами. Если возможно, то лучше с порочным кругом -- возможность заработать инженеру.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

27. Сообщение от Аноним (27), 10-Окт-20, 13:57   +/
htpdate уже сто лет в обед, но точность у этого механизма — плюс-минус секунда. У NTP эдак в тысячу-другую раз точнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #33

28. Сообщение от Аноним (27), 10-Окт-20, 14:00   –1 +/
В целях безопасности, GPS скоро тоже будет только шифрованный.
Остается глонасс и галилео с полутора подводными спутниками. Точность такая себе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #29, #31, #65

29. Сообщение от Онаним (?), 10-Окт-20, 14:22   +/
Вам лично Трамп нашептал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

30. Сообщение от OpenEcho (?), 10-Окт-20, 16:38   +1 +/
> Пц... И всё это для того, чтобы спросить "мусью, скольки время?".

Нет, это все для того, что бы идентифицировать весь трафик, что бы знать who is who

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

31. Сообщение от Сейд (ok), 10-Окт-20, 18:35   +2 +/
Ещё есть служба времени «Бета».
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #43

32. Сообщение от Annoynymous5123123 (?), 10-Окт-20, 21:26   +1 +/
http2 + grpc!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #34

33. Сообщение от Ананимус (?), 10-Окт-20, 22:17   +/
Ты не понял фишки. У них NTP, просто приходящие значения сравниваются с указанной тобой страницей, чтобы проверить, что время от пира выглядит как что-то вменяемое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #44

34. Сообщение от онанимуз (?), 10-Окт-20, 22:22   –1 +/
http3 тогда уж
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #53

35. Сообщение от пох. (?), 11-Окт-20, 08:51   –3 +/
> Свой GPS-источник выйдет дешевле, проще и надёжнее.

Вот самое интересное как раз в том, что в отличие от очень теоретической возможности правдоподобно подделать ответы ntpd, совершенно практические и активно применяемые на территории как минимум одной ресурсной ფедерации технологии подделки данных gps существуют давным-давно.

Кто-нибудь, расскажите эту ценную новость придуркам из ietf.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #37, #38

36. Сообщение от Аноним (-), 11-Окт-20, 11:43   –1 +/
Это как с https - чтоб сливали всю инфу более ахотно чем через просто http
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

37. Сообщение от Аноним (-), 11-Окт-20, 11:47   +1 +/
Да да, вот когда начнут глушить спутники у тебя обязательно будет интернет с доступом к любимому нтп серверу где ты вот так вот безпалевно будешь синхронизироваться.. Именно так все и будет, Ванга предсказала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #39, #59

38. Сообщение от Онаним (?), 11-Окт-20, 12:18   +/
Ну кстати да, спуфинг GPS не дешёвое удовольствие, но локально возможен.
Можно в дубль поставить цезиевый источник рядом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #42

39. Сообщение от Онаним (?), 11-Окт-20, 12:20   +/
Не, он прав. GPS как единственный источник может быть стрёмно в определённых условиях.

Менее стрёмно чем удалённые NTP (которые даже шифрованными могут попасть под контроль хакеров), но всё равно стрёмно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #45

40. Сообщение от Онаним (?), 11-Окт-20, 12:21   +1 +/
Кстати да. Самым простым решением видится gpg. Или даже тупо DTLS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #41, #61

41. Сообщение от Аноним (-), 11-Окт-20, 14:10   +/
И повесить его через cloudflare обязательно, для безопасности :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

42. Сообщение от Аноним (27), 11-Окт-20, 16:06   +/
> Можно в дубль поставить цезиевый источник рядом.

Дёшево, удобно, сердито!

К тому же, при наличии двух источников синхронизации (GPS и PPS), ntpd выберет за "правильный" один из них, причём выбор зависит от такого множества факторов, что его можно считать случайным.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #49, #50

43. Сообщение от Аноним (27), 11-Окт-20, 16:09   +/
В случае кризиса демократии, Бету западные партнёры уничтожат первым делом (по основному назначению — это радиокомплекс ВМФ России для связи с подводными лодками).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #46

44. Сообщение от Аноним (27), 11-Окт-20, 16:12   +1 +/
То есть уход времени на одну секунду оно не заметит, потому что это укладывается в погрешность.

А вообще, в NTP редко используется менее трех серверов синхронизации, и если уж злой дядя перехватил и переписал показания минимум двух, то веб-запросы до одного сайта зарезать ему вообще не проблема.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #54

45. Сообщение от Аноним (27), 11-Окт-20, 16:19   +/
Те конторы, которым действительно есть основания опасаться подобной атаки, как правило, могут себе позволить ящик с PPS, типа Meinberg LANTIME.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #47, #52

46. Сообщение от Сейд (ok), 11-Окт-20, 16:53   –1 +/
Деградация ГЛОНАСС вероятнее кризиса демократии (если спутники начнут выходить из строя в ближайшие год-два, заменить их будет нечем).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #56

47. Сообщение от Сейд (ok), 11-Окт-20, 19:12   +/
У которого источник синхронизации — ГЛОНАСС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

48. Сообщение от БСФК (?), 11-Окт-20, 19:34   +/
все вами перечисленное и есть прогресс, именно ржавчина дает вам возможность жить, этот процесс называется газообмен при помощи эритроцитов, плесень - основа всех антибиотиков, ну а гниение это естественный механизм очистки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

49. Сообщение от Онаним (?), 11-Окт-20, 20:09   +/
Смотри. Допустим GPS использовать для начальной синхронизации, PPS для поддержания незыблемости тиков.
Таким образом спуфинг GPS становится не актуальным за исключением рестарта всех локальных нод NTP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

50. Сообщение от Онаним (?), 11-Окт-20, 20:13   +/
И это только если ну реально нужно сделать так, чтобы спуфинг GPS вообще был фиолетов.
Если же уровень доверия к GPS достаточен и риск спуфинга ключевой роли не играет, то достаточно просто GPS.

А предлагаемое извращение над инфраструктурой в этом смысле ничем не лучше "просто GPS", по сути. Потому что возможна компрометация источника, при сохранении валидности ключей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

51. Сообщение от Старый ниггер (?), 11-Окт-20, 20:24   +1 +/
Почему не использовать путь разных серверов? Всех же не захакают. А те кто не парятся и так не будут заморачиваться всем этим.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

52. Сообщение от Аноним (52), 11-Окт-20, 21:15   +1 +/
Ну а по большому счету, все это гнилые отмазки лишь бы сделать "ненужным" протокол udp и потом его запретить, причем запретить так чтоб кроме определенных пакетов tcp в определенных направляниях не ходило ничего, а пользователи приходили со своими бутылками. И вот тогда будет счастье, свобода и демократия !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #57

53. Сообщение от Аноним (53), 11-Окт-20, 21:59   +/
И в asn.1
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

54. Сообщение от Ананимус (?), 11-Окт-20, 22:44   +/
NTP ПОДВЕРЖЕН MITM, ничего захватывать не надо. Констрейнты позволяют понять, что либо пир бажный, либо, если все пиры присылают дичь, происходит что-то не то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

55. Сообщение от kmeaw (?), 12-Окт-20, 00:51   +/
Можно захакать канал до всех серверов. Например, линк между вами и ISP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

56. Сообщение от Аноним (27), 12-Окт-20, 11:57   +/
Бета существует гораздо дольше, чем спутниковая навигация как таковая. И проблемы глонасса ей параллельно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

57. Сообщение от Аноним (27), 12-Окт-20, 12:00   +1 +/
В то время как гугл со своим HTTP over UDP бороздит большой театр...

Нет, они воюют не с UDP, а с нешифрованным трафиком. Потому что централизованная структура PKI открывает огромные возможности для шпионажа и блокировок. Причём только для избранных.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #58

58. Сообщение от Сейд (ok), 12-Окт-20, 14:26   –1 +/
Лучше только для избранных, чем для всех.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

59. Сообщение от пох. (?), 13-Окт-20, 10:00   +/
> Да да, вот когда начнут глушить спутники у тебя обязательно будет интернет с доступом к любимому
> нтп серверу

конечно будет - какой именно сервер сегодня особенно любим - товарищ майор укажутъ!

Но ты, кажется, недопонимаешь в какой стране живешь. Там где боевые ОВ могут использоваться мелким криминалом для устранения конкурентов, точно так же мелкий криминал может (и недорого) взять в аренду (вместе с прикованным лейтенантом для управления) или купить персональный мобильный комплекс РЭБ с фичейб заметь, не подавления, а _подмены_ gps-сигналов. Оно именно подменяет, а не глушит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

60. Сообщение от Аноним (-), 15-Окт-20, 18:15   +/
> а аутентификация по ключам не получила распространение так как слишком усложнена для настройки

Ну тут-то зато всё просто

Ответить | Правка | Наверх | Cообщить модератору

61. Сообщение от nuclightemail (??), 22-Фев-21, 14:45   +/
DTLS внесёт задержки, мешающие работе собственно точного времени.

Но да, сервер ключей на TLS, для которого опять же УЖЕ нужно точное время - это смешно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #62, #63

62. Сообщение от Онаним (?), 22-Фев-21, 21:07   +/
> DTLS внесёт задержки, мешающие работе собственно точного времени.

По сравнению с задержками, которые вносят транзитные узлы на тех сетях, где TLS нужен, ну, вы поняли.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

63. Сообщение от Онаним (?), 22-Фев-21, 21:14   +/
Для TLS не нужно _настолько_ точного времени.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

64. Сообщение от Ыр20 (?), 10-Май-22, 20:30   +/
Точность определения времени по звёздам - 1 мс. Можно наблюдать в любую погоду, т.к. рентген свободно проходит через тучи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

65. Сообщение от Ыр20 (?), 10-Май-22, 20:31   +/
Точность что GPS, что Глонасс, что Галилео - 1 см.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру