정확하고 확실한 타임 소스

8

나는 틀림없고 정확한 시간 출처가 필요합니다.

내 자신의 원자 시계를 설정하는 것이 부족합니다 (소리보다 쉬운 경우가 아니면) 어떻게 이것을 달성 할 수 있습니까?

NTP 풀을 신뢰하지는 않습니다. 내가 누구와 대화하고 있는지 확신 할 수 없습니다.

security  ntp 
84104
소스
2
스푸핑은 불가능합니다 (시간을 다른 사람과 동기화하기를 원한다고 가정). 시간을 다른 사람과 동기화하려면 최소한 한 명의 다른 사람을 암시 적으로 신뢰해야합니다. 신뢰하는 사람이 부정확하다고 생각되는 정보를 제공하는 것이 항상 가능합니다. 그러나 귀하가받는 정보가 정확한 것으로 널리 인정되도록 조치를 취할 수 있습니다. 하드웨어 시간 공급자가없는 경우 좋은 NTP 서버가 많은 (8+ IMHO) 다른 서버와 동기화되어야하는 이유 중 하나입니다.
Chris S
자신의 원자 시계를 설정하는 것은 어렵지 않습니다. 하나만 구입하면됩니다 ( "주파수 표준"을 찾으십시오). 그래도 비싸다.
derobert
3
NTP 풀이나 ISP를 신뢰할 수 없다면 다른 문제가 있다고 생각합니다.
TheLQ
나는 이것이 매우 오래된 것을 보았지만 신뢰할 수있는 시간 소스에 키 연결을 수동으로 사용할 수 있다고 언급 할 가치가 있다고 생각합니다. 신뢰할 수있는 시간 소스의 관리자에게 전화를 걸어 ntp 키와 함께 서비스를 사용하도록 요청하십시오.
mikebabcock

답변:

7

이전 답변 중 하나가 MD5 인증을 언급했지만 NTP4에서 사용 가능한 pubkey 인증을 언급하지 못했습니다. 많은 국립 연구소는 md5 / autokey 가능 시간 서비스를 제공합니다.

귀하의 위협 모델이 무엇인지 이해하지 못합니다. 누군가 GPS 신호를 스푸핑 할 수 있고 기꺼이 할 수있는 경우 시간보다 더 큰 문제가 있습니다. 즉, GPS 또는 CDMA를 사용하여 로컬 기준 클럭을 결합한 다음 인증 된 시간 서비스를 제공하는 일부 국가 연구소의 인증 된 시간으로이 시간 신호를 보강 할 수 있습니다. 이렇게하면 GPS 신호가 스푸핑 된 경우에도 국립 연구소의 인증 된 시간에 의존 할 수 있습니다.

GPS :

40 달러 정도의 비용과 약간의 납땜으로 Sure Electronics GPS 평가 보드로 로컬 GPS + PPS 시간 소스를 설정할 수 있습니다. 때때로 데이터 센터에서 GPS 신호를 수신 할 수없는 경우 이베이에서 상당히 저렴한 CDMA 역 클럭을 찾을 수 있습니다.

인증 된 NTP 서비스 :

NIST, NRC 및 INRIM (미국, 캐나다 및 이탈리아의 국가 연구소)은 MD5 인증 시간 서비스를 제공합니다. NIST 및 INRIM과 달리 CRC md5 서비스는 무료가 아닙니다. 오토 키 인증 시간 서비스는 OBSPM 및 INRIM (프랑스 및 이탈리아 국립 연구소)에서 제공되며이 서비스를 무료로 제공합니다. 인증 된 시간을 가진 다른 국립 연구소가 있지만 반드시 구글을 사용해야합니다.

국립 연구소에서 인증 된 시간에 대한 링크 :

NIST :

http://www.nist.gov/pml/div688/grp40/auth-ntp.cfm

NRC :

http://www.nrc-cnrc.gc.ca/eng/services/inms/calibration-services/time-frequency.html#Authenticated

OBSPM :

http://syrte.obspm.fr/informatique/ntp_infos.php

https://syrte.obspm.fr/informatique/ntp_keys.php

INRIM :

http://www.inrim.it/ntp/

http://www.inrim.it/ntp/auth_i.shtml

dfc
소스
13

내 조언은 NTP를 신뢰하는 것입니다. 그것은 결코 안전하지는 않지만, 주요 공격 경로는 알지 못하며, 선택한 동료 (DNS 확인 및 라우팅만큼 안전하지 않은)를 선택하는 것만 큼 안전합니다. 표).

다른 대안을 고려해야 할 경우 여기에 몇 가지가 있습니다 (괄호 안의 정확도 / 보안).

  1. PPS 소스로서 자신의 원자 시계. (Uber acurate. 근사한 언 스푸핑 가능)
    (이것들은 eBay에서 이용 가능합니다. 설정이 불가능하지는 않습니다-시간이 너무 오래 걸리고 NTP 데몬이 시간 소스로 사용할 수 있습니다. 윤초를 처리해야합니다. .)

  2. GPS 수신기. (슈퍼 정확성. 스푸핑하기 매우 어렵습니다).
    (GPS 신호를 CAN 오버라이드 (override) 할 수 / 스푸핑하지만 수행하기 위해 어떤 노력을 필요로 전문가 공격입니다. GPS 시스템의 총 실패 가능성이, 같은 완전한 종료합니다.)

  3. NTP (일부의 노력으로 매우 정확. 스푸핑을 막지 못하는)
    (시간 소스를 통해 당신을 공격하는 사람의 가능성은 매우 희박하고, 당신은 몇 가지에 대하여 당신의 NTP 데몬을 구성하는 경우 풀의 서버에 모든 아웃 라이어 또는 false-시세. 삭제됩니다
    참고를 이것은 최소한 DNS를 떨어 뜨릴 수있는 한 DNS를 신뢰한다고 가정합니다.)

  4. PPS 소스로서 안정화 된 수정 발진기. (매우 정확하지 않습니다. 거의 스푸핑
    할 수없는 상태 입니다.) (오실레이터에 따라 컴퓨터 시계보다 정확하지 않을 수 있습니다. 주기적으로 시간을 수정해야하며 윤초를 처리해야합니다.)

  5. 컴퓨터의 내부 시계. (모래 시계보다 더 정확합니다.
    근사한 근처에 있습니다.) (시간을 염려하는 최신 응용 프로그램의 경우 이것은 거의 사용할 수 없습니다.)

voretaq7
소스
1
불행히도, 전체 GPS 셧다운은 실제로 매우 간단한 공격 벡터입니다. 그래서 간단하게, 그것은 전에 사고로 완전히 해본 적이 있다고 : gizmodo.com.au/2011/03/...
마크 헨더슨
eBay에서 발견하는 원자 시계 (때때로 나타나는 HP 5071에 대해 이야기하고 있다고 가정)는 중형 자동차의 가격에 관한 새로운 세슘 튜브가 필요할 정도로 오래되었습니다. 5071과 같은 표준은 십여 개 (USNO처럼) 또는 GPS로 교차 훈련 된 시스템의 일부로 평균 할 때만 정확합니다. 전면 패널에 클럭이 있더라도 5071은 정확하게 설정하거나 읽을 방법이 없으며 UTC와 위상을 맞추기 위해 1PPS 출력을 외부에서 조정해야합니다.
Blrfl
1
GPS는 실제로 부정확하며 스푸핑이나 잼이 놀랍도록 쉽습니다. 타이밍 정확도 또는 실제로 탐색에 의존하지 마십시오.
Rory Alsop
3
@RoryAlsop 무엇에 GPS가 부정확하고 의존해서는 안된다는 진술에 근거하십니까? 나는 재밍 (및 스푸핑) 가능성을 쉽게 인정할 것이지만, 정상적으로 작동 할 때 (대부분의 시간), 비행 항공기를 공항의 윙스 팬 내에서 고정시킬 수 있습니다. GPS 시간에 대한 나의 경험은 1 초 미만의 정확도로 똑같이 훌륭했습니다. 종종 "충분히"좋습니다.
voretaq7
@Blrfl 3-10 년마다 (튜브에 따라) 세슘 튜브를 교체하는 것은 비용이 많이 들지만, 정확성이 필요한 경우 유지 관리에 돈을 투자하고 싶습니다. 세슘 클럭 드리프트 또는 페이징에 대해서는 언급 할 수 없지만 (내가 전문 분야에서 두려워하는) PPS 소스로는 기존 시계를 훈련시키는 것이 좋습니다.
voretaq7
8

NTP는 안전한 프로토콜이 아닙니다 (인증 메커니즘이 있지만 널리 사용되지는 않으며 MD5 인증은 그다지 안전하지 않습니다). 어떤 인터넷 시간 서버와 통신하든 관계없이 실제로 알지 못합니다 당신이 그들과 이야기하고 있습니다. 수영장의 신뢰성은 제쳐두고 (그들의 지층이 모든 곳에 있기 때문에 마음에 들지 않습니다. NIST는 인터넷 NTP에 대한 좋은 출처 가 있습니다) 인터넷 NTP는 귀하의 요구 사항을 충족시키지 못합니다.

로컬 네트워크의 하드웨어 시계는 실제로는 연결이 가로 채지 않는다는 확신을 가질 수있는 유일한 방법이며, LAN 네트워크의 보안이이를 보장 할 수있는 경우에만 가능합니다.

셰인 매든
소스
2
하드웨어 시계에 대해 정말로 확신 할 수 있습니까? 다른 신호를 받고 있습니다. 그것은 비싸고 불법이지만 돈과 적절한 동기로 사용되는 주파수를 방해하고 대체 소스에 나쁜 시간을 줄 수 있습니다.
Zoredache
위조 된 GPS 신호, 나는 그것을 좋아한다!
Shane Madden
2
충분히 많은 수의 NTP 소스 (풀에서 임의로 선택되고 일부는 고정되어 있음)를 폴링하면 정확한 시간을 합리적으로 보장 할 수 있다고 주장 할 수 있습니다. 즉, ISP가 NTP 패킷을 처리하고 있다면 여전히 문제가 있습니다. NTP와 Stratum 0 장치를 조합하면 보증이 더욱 강화됩니다.
Chris S
1
GPS 단조 (또는 방해)는 사람들이 생각하는 것만 큼 어렵지 않습니다 . 수신기에 도착할 때마다 매우 약한 신호입니다. 항공 커뮤니티에서 셀 타워의 GPS 간섭에 대해 꽤 저질렀습니다. avweb.com/avwebbiz/news/…
voretaq7
@ voretaq7 GPS 신호를 차단하고 있습니다. GPS 신호를 스푸핑하려면 재방송을 위해 거의 정확한 데이터를 생성해야합니다. OTOH, 지금 생각하면 수신기에서 원시 데이터를 가까운 거리에서 가져 와서 좌표 데이터를 변경 한 다음 메시지의 시간 데이터를 수정하고 다시 브로드 캐스트 할 수 있습니다. 아직도 꽤 많이 가져온 ..
워드-복원 모니카
5

GPS 동기화 기능을 갖춘 meinberg를 구매하십시오. 그것들은 너무 비싸지 않습니다. 당신은 그것을 어느 정도 믿을 수 있어야합니다. http://www.meinberg.de . 또는 GPS 동기화 장치를 구입하여 서버에 연결하십시오.

cmouse
소스
민간 대역 GPS 신호를 신뢰할 수있는 이유는 무엇입니까?
84104
1
@ user84104 "civilian band"는 없습니다. GPS / WAAS 신호 (시간 신호 포함)는 이제 군대의 변덕에 따라 모든 사람이 이용할 수 있습니다 (수신자에 대한 미국의 멍청한 수출 법). 항해 선박 및 항공기에 의존하기 때문에 당신은 너무 :-) 정말 많은 사람들이 이상 나사가 퉁명스럽게 말하는 것 저하 실질적으로 그것을 끄거나, 그것을 믿을 수
voretaq7
@ voretaq7 위키 백과를 믿는 것보다 더 잘 알고 있어야하지만 계속 그렇게하고 있습니다. en.wikipedia.org/wiki/GPS_signals#Military_.28M-code.29
84104
@ user84104 AFAIK M 모드가 사용 중이 아닙니다 (제안 된 확장명입니다)-만약 내가 나의 의견에 설명 된 사용자가 없다면 어쨌든 그것에 접근 할 수있을 것입니다 :-)
voretaq7
1
@RoryAlsop 군대 나 다른 사람들이 실제로 이것을하고있는 어떤 언급이나 증거가 있습니까?
Chris S
4

인터넷에는 다양한 보안 시간 소스가 있습니다. 그들 대부분은 이런 식으로 작동합니다 :

  1. 당신은 무작위 도전을 생성합니다.

  2. 챌린지를 시간 소스로 보냅니다.

  3. 타임 소스는 챌린지에 타임 스탬프를 추가하고 잘 알려진 개인 키로 서명 한 다음 다시 사용자에게 보냅니다.

  4. 공개 키로 서명을 확인합니다.

  5. 이제이 소스를 신뢰할 수 있다고 가정하면 타임 스탬프의 시간이 챌린지를 생성 한 시점과 응답을받은 시점 사이의 시간을 반영한다는 것을 알고 있습니다.

Verisign은 HTTPS를 통해 이러한 서비스를 실행합니다. URL은 http://timestamp.verisign.com/scripts/timstamp.dll입니다. Globalsign도 하나를 실행하며 URL은 http://timestamp.globalsign.com/scripts/timstamp.dll입니다. 프로토콜은 RFC 3161에 지정되어 있으며 OpenSSL 에서도 구현됩니다 .

데이비드 슈워츠
소스
1
주요 문제 : 여기에서 전송 / 프로토콜 지연을 설명 할 방법이 없습니다. 당신이 말했듯이, 타임 스탬프를 알고 있습니다 reflects a time somewhere between when you generated the challenge and when you received the reply-그것은 20ms, 200ms 또는 2000ms (병리학 적 사례) 지연 시간을 가질 수 있습니다. 여기에서 유일하게 "정확한"시간 보장은 TSA의 타임 스탬프가 TSA가 발행 한 시점 (고객이 요청하거나 수령하지 않은 시점)에 대해 정확하다는 것입니다.
voretaq7
동기화 체계마다 일정 수준의 정확도가 있습니다. 안전하고 자유로운 체계의 경우, 2 초 정확도는 실제로 꽤 좋습니다.
David Schwartz
문제는 정확하고 동기화 된 시간이 필요한 많은 환경에서 2 초 정확도 (보다 중요하게는 결정되지 않은 정확도)로는 충분하지 않습니다. 타임 스탬프 및 시간 동기화는 문제 영역 이 크게 다릅니다. 이러한 서비스는 전자입니다. NTP 및 로컬 PPS 클럭은 후자를위한 것입니다.
voretaq7
NTP 또는 GPS에 대한 그의 문제는 그가 그것을 보호 할 수 없다는 것입니다. 타임 스탬프를 사용하여이를 수행 할 수 있습니다. 우리는 그의 정확한 요구 사항을 알지 못하기 때문에 확실하게 결합하기는 어렵지만 완벽하게 결합합니다.
David Schwartz
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.