Wir sprechen über die Gründe für das Erscheinen von Roughtime und die Merkmale seiner Arbeit.
/ Unsplash / Djim LoicWarum brauchen wir ein neues Protokoll?
Netzwerke mit variabler Latenz basieren auf Protokollen wie
NTP (Network Time Protocol). Es synchronisiert die interne Uhr von Computersystemen. Es gibt jedoch eine Reihe von Problemen mit der Arbeit von NTP - die neuesten Versionen des Protokolls bieten die Möglichkeit, Anforderungen vom Server zu authentifizieren, in der Praxis wird diese Funktion
jedoch selten verwendet . Die meisten Computer vertrauen beim Einstellen der Systemuhr bedingungslos der Antwort des genauen Zeitservers. Infolgedessen kann ein Angreifer einen MITM-Angriff durchführen und die Uhr des Opfers steuern, wodurch die kryptografischen Protokolle gestört werden und die "Frische" von Schlüsseln beeinflusst werden kann. NTP weist auch eine Reihe von Schwachstellen auf, mit denen Cyberkriminelle
DDoS-Angriffe ausführen .
Ingenieure der Boston University stellten zusammen mit Kollegen von Google und Cloudflare einen anderen Ansatz für die „Clock Reconciliation“ vor -
Roughtime - ein Protokoll mit kryptografischem Schutz, das auf UDP basiert. Die Technologie basiert auf einem Zeitstempelsystem für die Blockchain, das 2011 vom Kryptographen Ben Laurie, Gründer der Apache Software Foundation und Hauptentwickler von OpenSSL, beschrieben wurde. Übrigens war auch Ben selbst
an der Gestaltung von Roughtime beteiligt.
Wie es funktioniert
Die Serverantwort unter Verwendung des Roughtime-Protokolls
besteht aus drei Teilen. Der erste ist ein Zeitstempel mit der Anzahl der Mikrosekunden, die seit der „
Unix-Ära “ vergangen sind. Die Sekunde heißt Radius - das ist der Fehler des übertragenen Wertes. Die dritte Komponente der Antwort ist ein einmalig digital signierter Code (nonce). Der Nonce-Wert wird vom Client generiert, wenn ein Zeitstempel angefordert wird. Mit diesem Ansatz können Sie sicherstellen, dass die übertragenen Informationen relevant sind.
Über andere Protokolle aus unserem Blog auf Habré:
Wenn der Client aus irgendeinem Grund den empfangenen Daten nicht vertraut, kann er eine Anfrage an andere Server senden. In diesem Fall wird nonce jedoch durch Hashing der vom vorherigen Server empfangenen Antwort generiert. Der Client merkt sich also die Reihenfolge, in der die Zeitstempel eintreffen, und kann überprüfen, ob sie korrekt sind. Gleichzeitig erhält er die Möglichkeit, kompromittierte oder nicht ordnungsgemäß konfigurierte Maschinen zu identifizieren - der von ihnen bereitgestellte Zeitwert wird sich erheblich unterscheiden.
Protokollperspektive
Im März letzten Jahres hat der Internet Engineering Council (IETF)
einen groben Entwurf der Roughtime-Spezifikation vorgelegt. Diese Woche erschien eine
aktualisierte Version im Netzwerk. In Zukunft kann Roughtime zu einem vollwertigen Internetstandard gemacht und in RFC ausgegeben werden. Laut Nick Sullivan, Senior Provider und Kryptograf von Cloudflare,
kann Roughtime
jedoch nicht als direkter Ersatz für NTP angesehen werden. Es gibt keine Mechanismen zum Kompensieren der Latenz im Netzwerk, was zu Problemen beim Abgleichen der Uhren zwischen zwei Remote-Knoten führen kann (der Fehler ist sehr hoch). Durch die Kryptographie werden Schwierigkeiten hinzugefügt, insbesondere durch die SHA512-Funktion, für deren Implementierung Algorithmen zusätzliche Rechenressourcen aufgewendet werden.
/ PD / Free-PhotosExperten sagen diesbezüglich, dass eine der wichtigsten Anwendungen des Protokolls die Gültigkeitsdauer von SSL-Zertifikaten in Browsern prüfen wird, da für diese Aufgabe keine hohe Genauigkeit erforderlich ist. Die erste Implementierung einer solchen Lösung wurde bereits von einem der westlichen Cloud-Anbieter vorgestellt.
SpiderOak zeigt auch Interesse an Technologie. Sie entwickelt die gleichnamige Software zur Datensicherung. Sie planen, Roughtime für sicheres Messaging in einem anderen Unternehmensprodukt zu verwenden - dem Semaphor Messenger.
Worüber wir im Unternehmensblog von VAS Experts schreiben: