URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 122068
[ Назад ]
Исходное сообщение
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой защищённого протокола NTS"
Отправлено opennews , 09-Окт-20 21:57 
Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола NTS (Network Time Security) и опубликовал связанную с ним спецификацию под идентификатором RFC 8915. RFC получил статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=53862

Содержание
Сообщения в этом обсуждении
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено сукуб , 09-Окт-20 21:57 
Ну хоть кому-то мозга хватило этим занятся.
И хорошо что не завернули в смузихлёбный http + json
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено пох. , 09-Окт-20 22:29 
> Ну хоть кому-то мозга хватило этим занятся.

тем кому не хватило мозга банально настроить авторизацию в банальном ntpd ?

> И хорошо что не завернули в смузихлёбный http + json

у них и так оверинжинеренное ненужно успешно получилось.

И, разумеется, вместо распределенной сети пиров - потреблять завязанная на единственный глючный сервер "авторизации" с меганавороченным протоколом, при сдыхании которого вся блоатварь превращается в тыкву.

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено RomanCh , 09-Окт-20 22:34 
> вместо распределенной сети пиров - потреблять завязанная на единственный глючный сервер "авторизации" с меганавороченным протоколом, при сдыхании которого вся блоатварь превращается в тыкву.

Но ведь это универсальная современная концепция внедряемая решительно везде. Вы так говорите, будто не довольны прогрессом.

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено ПэЖэ , 09-Окт-20 23:21 
>Но ведь это универсальная современная концепция внедряемая решительно везде. Вы так говорите, будто не довольны прогрессом.

не всё что развивается со временем является прогрессом - например ржавчина, гниение и плесень  

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено RomanCh , 10-Окт-20 02:53 
>  ржавчина, гниение и плесень  

Вы так говорите, будто не знаете что всё относительно, и что кому-то гниение, другому - жизненно необходимый процесс.

И в конце концов, вы будто бы имеете что-то предложить лучше чем вот это всё?

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 10-Окт-20 05:08 
Ты ещё вирусы вспомни и не лечись от них никогда!
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Ковид20 , 10-Окт-20 08:40 
В ананиме бактерий больше, чем клеток.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Онаним , 10-Окт-20 11:44 
Внезапно бактерии - тоже клетки.
Марш в школу.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено YetAnotherOnanym , 10-Окт-20 09:39 
Строго говоря, гниение, происходящее в компостной куче, есть процесс жизненно необходимый для плодородия почвы. Равно же и размножение плесени в жбане на фармзаводе есть также процесс жизненно необходимый для пациентов, ожидающих лекарства.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено RomanCh , 10-Окт-20 11:30 
То есть, по существу вам ответить таки нечего. Так и запишем, противник современного прогресса. Чтобы Илон Маск не давал тебе благословенного небесного интернета.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 10-Окт-20 09:51 
В экосфере гниение является удалением отходов филогенеза и созданием топлива для более неизких уровней и таким образом является неотделимой частью прогресса первой. Тут претензии, пока, только к тепловой смерти вселенной
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено БСФК , 11-Окт-20 19:34 
все вами перечисленное и есть прогресс, именно ржавчина дает вам возможность жить, этот процесс называется газообмен при помощи эритроцитов, плесень - основа всех антибиотиков, ну а гниение это естественный механизм очистки
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Annoynymous , 09-Окт-20 23:58 
> И хорошо что не завернули в смузихлёбный http + json

https + json!

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Annoynymous5123123 , 10-Окт-20 21:26 
http2 + grpc!
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено онанимуз , 10-Окт-20 22:22 
http3 тогда уж
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 11-Окт-20 21:59 
И в asn.1
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Dzen Python , 10-Окт-20 00:08 
1/10
Добавлять теперь ключи для NTP-серверов. А потом для чего? Для небав, для алл*ха?
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 10-Окт-20 04:02 
Т.е. теперь если у тебя неправильное время, то его и синхронизировать не получится, потому что TLS работать не будет?
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено malloc , 10-Окт-20 08:33 
Да, именно так. Пир с неправильным временем потенциально опасен. Потому что не исключено, что он жертва злоумышленников, которые манипулировали временем на нём. Такой хост вообще подлежит немедленной физической утилизации. А то мало ли что злоумышленники там подменили? Вдруг местная фирмварь уже не подлинная или iME (или аналог)? Вы же как администратор NTP-сервера не можете ручаться за клиентов, так?
Скажите спасибо, что новый протокол не предусматривает высылку пативанов всем, чей тайм скью превышает условную 1 секунду.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 10-Окт-20 08:42 
> новый протокол не предусматривает высылку пативанов всем ...

Там, это, святой Илон обещает исправить клиента в любой точке Земли менее, чем за час, путём высылки 80-тонного патча.

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Ordu , 10-Окт-20 10:59 
Надо выводить на рынок астрономические часы. Эдакую инсталляцию на крышу с камерой, которая будет снимать картинки неба и на основании них определять дату/время. Работать будет через раз из-за погодных условий, точность будет не фонтан, но позволит разорвать порочный круг.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 10-Окт-20 11:43 
Может лучше не стоит создавать этот порочнй круг? Это дешевле и проще, и никакого оверинжиниринга.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Ordu , 10-Окт-20 12:18 
> Может лучше не стоит создавать этот порочнй круг? Это дешевле и проще,
> и никакого оверинжиниринга.

Тут вопрос в том, насколько возможно сделать прибыльным бизнес с астрономическими часами. Если возможно, то лучше с порочным кругом -- возможность заработать инженеру.

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Ыр20 , 10-Май-22 20:30 
Точность определения времени по звёздам - 1 мс. Можно наблюдать в любую погоду, т.к. рентген свободно проходит через тучи.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Ананимус , 10-Окт-20 10:37 
Забавно, что в openbsd додумались сделать констрейнты с любой https страницы (привет, поле date), а эти целый протокол нагородили.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 10-Окт-20 13:57 
htpdate уже сто лет в обед, но точность у этого механизма — плюс-минус секунда. У NTP эдак в тысячу-другую раз точнее.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Ананимус , 10-Окт-20 22:17 
Ты не понял фишки. У них NTP, просто приходящие значения сравниваются с указанной тобой страницей, чтобы проверить, что время от пира выглядит как что-то вменяемое.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 11-Окт-20 16:12 
То есть уход времени на одну секунду оно не заметит, потому что это укладывается в погрешность.

А вообще, в NTP редко используется менее трех серверов синхронизации, и если уж злой дядя перехватил и переписал показания минимум двух, то веб-запросы до одного сайта зарезать ему вообще не проблема.

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Ананимус , 11-Окт-20 22:44 
NTP ПОДВЕРЖЕН MITM, ничего захватывать не надо. Констрейнты позволяют понять, что либо пир бажный, либо, если все пиры присылают дичь, происходит что-то не то.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 10-Окт-20 10:42 
Чего только не выдумывают люди, чтобы не использовать IPSec!
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Онаним , 10-Окт-20 11:43 
Спасибо, ребята, но нет.
Особенно с отдельным сервером ключей.
Свой GPS-источник выйдет дешевле, проще и надёжнее.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 10-Окт-20 14:00 
В целях безопасности, GPS скоро тоже будет только шифрованный.
Остается глонасс и галилео с полутора подводными спутниками. Точность такая себе.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Онаним , 10-Окт-20 14:22 
Вам лично Трамп нашептал?
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Сейд , 10-Окт-20 18:35 
Ещё есть служба времени «Бета».
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 11-Окт-20 16:09 
В случае кризиса демократии, Бету западные партнёры уничтожат первым делом (по основному назначению — это радиокомплекс ВМФ России для связи с подводными лодками).
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Сейд , 11-Окт-20 16:53 
Деградация ГЛОНАСС вероятнее кризиса демократии (если спутники начнут выходить из строя в ближайшие год-два, заменить их будет нечем).
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 12-Окт-20 11:57 
Бета существует гораздо дольше, чем спутниковая навигация как таковая. И проблемы глонасса ей параллельно.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Ыр20 , 10-Май-22 20:31 
Точность что GPS, что Глонасс, что Галилео - 1 см.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено пох. , 11-Окт-20 08:51 
> Свой GPS-источник выйдет дешевле, проще и надёжнее.

Вот самое интересное как раз в том, что в отличие от очень теоретической возможности правдоподобно подделать ответы ntpd, совершенно практические и активно применяемые на территории как минимум одной ресурсной ფедерации технологии подделки данных gps существуют давным-давно.

Кто-нибудь, расскажите эту ценную новость придуркам из ietf.

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 11-Окт-20 11:47 
Да да, вот когда начнут глушить спутники у тебя обязательно будет интернет с доступом к любимому нтп серверу где ты вот так вот безпалевно будешь синхронизироваться.. Именно так все и будет, Ванга предсказала.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Онаним , 11-Окт-20 12:20 
Не, он прав. GPS как единственный источник может быть стрёмно в определённых условиях.

Менее стрёмно чем удалённые NTP (которые даже шифрованными могут попасть под контроль хакеров), но всё равно стрёмно.

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 11-Окт-20 16:19 
Те конторы, которым действительно есть основания опасаться подобной атаки, как правило, могут себе позволить ящик с PPS, типа Meinberg LANTIME.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Сейд , 11-Окт-20 19:12 
У которого источник синхронизации — ГЛОНАСС.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 11-Окт-20 21:15 
Ну а по большому счету, все это гнилые отмазки лишь бы сделать "ненужным" протокол udp и потом его запретить, причем запретить так чтоб кроме определенных пакетов tcp в определенных направляниях не ходило ничего, а пользователи приходили со своими бутылками. И вот тогда будет счастье, свобода и демократия !
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 12-Окт-20 12:00 
В то время как гугл со своим HTTP over UDP бороздит большой театр...

Нет, они воюют не с UDP, а с нешифрованным трафиком. Потому что централизованная структура PKI открывает огромные возможности для шпионажа и блокировок. Причём только для избранных.

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Сейд , 12-Окт-20 14:26 
Лучше только для избранных, чем для всех.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено пох. , 13-Окт-20 10:00 
> Да да, вот когда начнут глушить спутники у тебя обязательно будет интернет с доступом к любимому
> нтп серверу

конечно будет - какой именно сервер сегодня особенно любим - товарищ майор укажутъ!

Но ты, кажется, недопонимаешь в какой стране живешь. Там где боевые ОВ могут использоваться мелким криминалом для устранения конкурентов, точно так же мелкий криминал может (и недорого) взять в аренду (вместе с прикованным лейтенантом для управления) или купить персональный мобильный комплекс РЭБ с фичейб заметь, не подавления, а _подмены_ gps-сигналов. Оно именно подменяет, а не глушит.

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Онаним , 11-Окт-20 12:18 
Ну кстати да, спуфинг GPS не дешёвое удовольствие, но локально возможен.
Можно в дубль поставить цезиевый источник рядом.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 11-Окт-20 16:06 
> Можно в дубль поставить цезиевый источник рядом.

Дёшево, удобно, сердито!

К тому же, при наличии двух источников синхронизации (GPS и PPS), ntpd выберет за "правильный" один из них, причём выбор зависит от такого множества факторов, что его можно считать случайным.

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Онаним , 11-Окт-20 20:09 
Смотри. Допустим GPS использовать для начальной синхронизации, PPS для поддержания незыблемости тиков.
Таким образом спуфинг GPS становится не актуальным за исключением рестарта всех локальных нод NTP.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Онаним , 11-Окт-20 20:13 
И это только если ну реально нужно сделать так, чтобы спуфинг GPS вообще был фиолетов.
Если же уровень доверия к GPS достаточен и риск спуфинга ключевой роли не играет, то достаточно просто GPS.

А предлагаемое извращение над инфраструктурой в этом смысле ничем не лучше "просто GPS", по сути. Потому что возможна компрометация источника, при сохранении валидности ключей.

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено YetAnotherOnanym , 10-Окт-20 11:56 
Пц... И всё это для того, чтобы спросить "мусью, скольки время?".
Нагородили кучу лишнего обвеса, чтобы в вопросе об источнике доверия перевести стрелки на PKI.
Проще было бы скачать с сайта NIST или ВНИИФТРИ (когда у ВНИИФТРИ появится доступ к сайту по https) открытый ключ и проверять им ответы, подписанные соответствующим закрытым ключом. В этом случае цепочка доверия идёт от УЦ, записанного в моём броузере, т.е. опирается на ту же инфраструктуру PKI.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено OpenEcho , 10-Окт-20 16:38 
> Пц... И всё это для того, чтобы спросить "мусью, скольки время?".

Нет, это все для того, что бы идентифицировать весь трафик, что бы знать who is who

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 11-Окт-20 11:43 
Это как с https - чтоб сливали всю инфу более ахотно чем через просто http
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Онаним , 11-Окт-20 12:21 
Кстати да. Самым простым решением видится gpg. Или даже тупо DTLS.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 11-Окт-20 14:10 
И повесить его через cloudflare обязательно, для безопасности :D
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено nuclight , 22-Фев-21 14:45 
DTLS внесёт задержки, мешающие работе собственно точного времени.

Но да, сервер ключей на TLS, для которого опять же УЖЕ нужно точное время - это смешно.

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Онаним , 22-Фев-21 21:07 
> DTLS внесёт задержки, мешающие работе собственно точного времени.

По сравнению с задержками, которые вносят транзитные узлы на тех сетях, где TLS нужен, ну, вы поняли.


"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Онаним , 22-Фев-21 21:14 
Для TLS не нужно _настолько_ точного времени.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Старый ниггер , 11-Окт-20 20:24 
Почему не использовать путь разных серверов? Всех же не захакают. А те кто не парятся и так не будут заморачиваться всем этим.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено kmeaw , 12-Окт-20 00:51 
Можно захакать канал до всех серверов. Например, линк между вами и ISP.
"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой з..."
Отправлено Аноним , 15-Окт-20 18:15 
> а аутентификация по ключам не получила распространение так как слишком усложнена для настройки

Ну тут-то зато всё просто