Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск NTP-серверов NTPsec 1.2.0 и Сhrony 4.0 с поддержкой защищённого протокола NTS"	+/–
Сообщение от opennews (?), 09-Окт-20, 21:57
Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола NTS (Network Time Security) и опубликовал связанную с ним спецификацию под идентификатором RFC 8915. RFC получил статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний... Подробнее: https://www.opennet.me/opennews/art.shtml?num=53862
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от сукуб (?), 09-Окт-20, 21:57	+6 +/–
Ну хоть кому-то мозга хватило этим занятся. И хорошо что не завернули в смузихлёбный http + json
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #7

3. Сообщение от пох. (?), 09-Окт-20, 22:29	–4 +/–
> Ну хоть кому-то мозга хватило этим занятся. тем кому не хватило мозга банально настроить авторизацию в банальном ntpd ? > И хорошо что не завернули в смузихлёбный http + json у них и так оверинжинеренное ненужно успешно получилось. И, разумеется, вместо распределенной сети пиров - потреблять завязанная на единственный глючный сервер "авторизации" с меганавороченным протоколом, при сдыхании которого вся блоатварь превращается в тыкву.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5

5. Сообщение от RomanCh (ok), 09-Окт-20, 22:34	+/–
> вместо распределенной сети пиров - потреблять завязанная на единственный глючный сервер "авторизации" с меганавороченным протоколом, при сдыхании которого вся блоатварь превращается в тыкву. Но ведь это универсальная современная концепция внедряемая решительно везде. Вы так говорите, будто не довольны прогрессом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6

6. Сообщение от ПэЖэ (?), 09-Окт-20, 23:21	+6 +/–
>Но ведь это универсальная современная концепция внедряемая решительно везде. Вы так говорите, будто не довольны прогрессом. не всё что развивается со временем является прогрессом - например ржавчина, гниение и плесень
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #9, #17, #48

7. Сообщение от Annoynymous (ok), 09-Окт-20, 23:58	+5 +/–
> И хорошо что не завернули в смузихлёбный http + json https + json!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #32

8. Сообщение от Dzen Python (ok), 10-Окт-20, 00:08	–1 +/–
1/10 Добавлять теперь ключи для NTP-серверов. А потом для чего? Для небав, для алл*ха?
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от RomanCh (ok), 10-Окт-20, 02:53	+1 +/–
>  ржавчина, гниение и плесень   Вы так говорите, будто не знаете что всё относительно, и что кому-то гниение, другому - жизненно необходимый процесс. И в конце концов, вы будто бы имеете что-то предложить лучше чем вот это всё?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #11

10. Сообщение от Аноним (10), 10-Окт-20, 04:02	+8 +/–
Т.е. теперь если у тебя неправильное время, то его и синхронизировать не получится, потому что TLS работать не будет?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #20

11. Сообщение от Аноним (11), 10-Окт-20, 05:08	+/–
Ты ещё вирусы вспомни и не лечись от них никогда!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14, #16, #21

13. Сообщение от malloc (?), 10-Окт-20, 08:33	+5 +/–
Да, именно так. Пир с неправильным временем потенциально опасен. Потому что не исключено, что он жертва злоумышленников, которые манипулировали временем на нём. Такой хост вообще подлежит немедленной физической утилизации. А то мало ли что злоумышленники там подменили? Вдруг местная фирмварь уже не подлинная или iME (или аналог)? Вы же как администратор NTP-сервера не можете ручаться за клиентов, так? Скажите спасибо, что новый протокол не предусматривает высылку пативанов всем, чей тайм скью превышает условную 1 секунду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #15

14. Сообщение от Ковид20 (?), 10-Окт-20, 08:40	–1 +/–
В ананиме бактерий больше, чем клеток.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #24

15. Сообщение от Аноним (11), 10-Окт-20, 08:42	+2 +/–
> новый протокол не предусматривает высылку пативанов всем ... Там, это, святой Илон обещает исправить клиента в любой точке Земли менее, чем за час, путём высылки 80-тонного патча.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от YetAnotherOnanym (ok), 10-Окт-20, 09:39	+1 +/–
Строго говоря, гниение, происходящее в компостной куче, есть процесс жизненно необходимый для плодородия почвы. Равно же и размножение плесени в жбане на фармзаводе есть также процесс жизненно необходимый для пациентов, ожидающих лекарства.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

17. Сообщение от Аноним (17), 10-Окт-20, 09:51	+/–
В экосфере гниение является удалением отходов филогенеза и созданием топлива для более неизких уровней и таким образом является неотделимой частью прогресса первой. Тут претензии, пока, только к тепловой смерти вселенной
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

18. Сообщение от Ананимус (?), 10-Окт-20, 10:37	+1 +/–
Забавно, что в openbsd додумались сделать констрейнты с любой https страницы (привет, поле date), а эти целый протокол нагородили.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

19. Сообщение от Аноним (19), 10-Окт-20, 10:42	–2 +/–
Чего только не выдумывают люди, чтобы не использовать IPSec!
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Ordu (ok), 10-Окт-20, 10:59	–2 +/–
Надо выводить на рынок астрономические часы. Эдакую инсталляцию на крышу с камерой, которая будет снимать картинки неба и на основании них определять дату/время. Работать будет через раз из-за погодных условий, точность будет не фонтан, но позволит разорвать порочный круг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #23, #64

21. Сообщение от RomanCh (ok), 10-Окт-20, 11:30	+/–
То есть, по существу вам ответить таки нечего. Так и запишем, противник современного прогресса. Чтобы Илон Маск не давал тебе благословенного небесного интернета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

22. Сообщение от Онаним (?), 10-Окт-20, 11:43	+2 +/–
Спасибо, ребята, но нет. Особенно с отдельным сервером ключей. Свой GPS-источник выйдет дешевле, проще и надёжнее.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #35

23. Сообщение от Аноним (23), 10-Окт-20, 11:43	+/–
Может лучше не стоит создавать этот порочнй круг? Это дешевле и проще, и никакого оверинжиниринга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #26

24. Сообщение от Онаним (?), 10-Окт-20, 11:44	–1 +/–
Внезапно бактерии - тоже клетки. Марш в школу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

25. Сообщение от YetAnotherOnanym (ok), 10-Окт-20, 11:56	+2 +/–
Пц... И всё это для того, чтобы спросить "мусью, скольки время?". Нагородили кучу лишнего обвеса, чтобы в вопросе об источнике доверия перевести стрелки на PKI. Проще было бы скачать с сайта NIST или ВНИИФТРИ (когда у ВНИИФТРИ появится доступ к сайту по https) открытый ключ и проверять им ответы, подписанные соответствующим закрытым ключом. В этом случае цепочка доверия идёт от УЦ, записанного в моём броузере, т.е. опирается на ту же инфраструктуру PKI.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30, #36, #40

26. Сообщение от Ordu (ok), 10-Окт-20, 12:18	–1 +/–
> Может лучше не стоит создавать этот порочнй круг? Это дешевле и проще, > и никакого оверинжиниринга. Тут вопрос в том, насколько возможно сделать прибыльным бизнес с астрономическими часами. Если возможно, то лучше с порочным кругом -- возможность заработать инженеру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

27. Сообщение от Аноним (27), 10-Окт-20, 13:57	+/–
htpdate уже сто лет в обед, но точность у этого механизма — плюс-минус секунда. У NTP эдак в тысячу-другую раз точнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #33

28. Сообщение от Аноним (27), 10-Окт-20, 14:00	–1 +/–
В целях безопасности, GPS скоро тоже будет только шифрованный. Остается глонасс и галилео с полутора подводными спутниками. Точность такая себе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #29, #31, #65

29. Сообщение от Онаним (?), 10-Окт-20, 14:22	+/–
Вам лично Трамп нашептал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

30. Сообщение от OpenEcho (?), 10-Окт-20, 16:38	+1 +/–
> Пц... И всё это для того, чтобы спросить "мусью, скольки время?". Нет, это все для того, что бы идентифицировать весь трафик, что бы знать who is who
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

31. Сообщение от Сейд (ok), 10-Окт-20, 18:35	+2 +/–
Ещё есть служба времени «Бета».
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #43

32. Сообщение от Annoynymous5123123 (?), 10-Окт-20, 21:26	+1 +/–
http2 + grpc!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #34

33. Сообщение от Ананимус (?), 10-Окт-20, 22:17	+/–
Ты не понял фишки. У них NTP, просто приходящие значения сравниваются с указанной тобой страницей, чтобы проверить, что время от пира выглядит как что-то вменяемое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #44

34. Сообщение от онанимуз (?), 10-Окт-20, 22:22	–1 +/–
http3 тогда уж
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #53

35. Сообщение от пох. (?), 11-Окт-20, 08:51	–3 +/–
> Свой GPS-источник выйдет дешевле, проще и надёжнее. Вот самое интересное как раз в том, что в отличие от очень теоретической возможности правдоподобно подделать ответы ntpd, совершенно практические и активно применяемые на территории как минимум одной ресурсной ფедерации технологии подделки данных gps существуют давным-давно. Кто-нибудь, расскажите эту ценную новость придуркам из ietf.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #37, #38

36. Сообщение от Аноним (-), 11-Окт-20, 11:43	–1 +/–
Это как с https - чтоб сливали всю инфу более ахотно чем через просто http
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

37. Сообщение от Аноним (-), 11-Окт-20, 11:47	+1 +/–
Да да, вот когда начнут глушить спутники у тебя обязательно будет интернет с доступом к любимому нтп серверу где ты вот так вот безпалевно будешь синхронизироваться.. Именно так все и будет, Ванга предсказала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #39, #59

38. Сообщение от Онаним (?), 11-Окт-20, 12:18	+/–
Ну кстати да, спуфинг GPS не дешёвое удовольствие, но локально возможен. Можно в дубль поставить цезиевый источник рядом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #42

39. Сообщение от Онаним (?), 11-Окт-20, 12:20	+/–
Не, он прав. GPS как единственный источник может быть стрёмно в определённых условиях. Менее стрёмно чем удалённые NTP (которые даже шифрованными могут попасть под контроль хакеров), но всё равно стрёмно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #45

40. Сообщение от Онаним (?), 11-Окт-20, 12:21	+1 +/–
Кстати да. Самым простым решением видится gpg. Или даже тупо DTLS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #41, #61

41. Сообщение от Аноним (-), 11-Окт-20, 14:10	+/–
И повесить его через cloudflare обязательно, для безопасности :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

42. Сообщение от Аноним (27), 11-Окт-20, 16:06	+/–
> Можно в дубль поставить цезиевый источник рядом. Дёшево, удобно, сердито! К тому же, при наличии двух источников синхронизации (GPS и PPS), ntpd выберет за "правильный" один из них, причём выбор зависит от такого множества факторов, что его можно считать случайным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #49, #50

43. Сообщение от Аноним (27), 11-Окт-20, 16:09	+/–
В случае кризиса демократии, Бету западные партнёры уничтожат первым делом (по основному назначению — это радиокомплекс ВМФ России для связи с подводными лодками).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #46

44. Сообщение от Аноним (27), 11-Окт-20, 16:12	+1 +/–
То есть уход времени на одну секунду оно не заметит, потому что это укладывается в погрешность. А вообще, в NTP редко используется менее трех серверов синхронизации, и если уж злой дядя перехватил и переписал показания минимум двух, то веб-запросы до одного сайта зарезать ему вообще не проблема.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #54

45. Сообщение от Аноним (27), 11-Окт-20, 16:19	+/–
Те конторы, которым действительно есть основания опасаться подобной атаки, как правило, могут себе позволить ящик с PPS, типа Meinberg LANTIME.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #47, #52

46. Сообщение от Сейд (ok), 11-Окт-20, 16:53	–1 +/–
Деградация ГЛОНАСС вероятнее кризиса демократии (если спутники начнут выходить из строя в ближайшие год-два, заменить их будет нечем).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #56

47. Сообщение от Сейд (ok), 11-Окт-20, 19:12	+/–
У которого источник синхронизации — ГЛОНАСС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

48. Сообщение от БСФК (?), 11-Окт-20, 19:34	+/–
все вами перечисленное и есть прогресс, именно ржавчина дает вам возможность жить, этот процесс называется газообмен при помощи эритроцитов, плесень - основа всех антибиотиков, ну а гниение это естественный механизм очистки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

49. Сообщение от Онаним (?), 11-Окт-20, 20:09	+/–
Смотри. Допустим GPS использовать для начальной синхронизации, PPS для поддержания незыблемости тиков. Таким образом спуфинг GPS становится не актуальным за исключением рестарта всех локальных нод NTP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

50. Сообщение от Онаним (?), 11-Окт-20, 20:13	+/–
И это только если ну реально нужно сделать так, чтобы спуфинг GPS вообще был фиолетов. Если же уровень доверия к GPS достаточен и риск спуфинга ключевой роли не играет, то достаточно просто GPS. А предлагаемое извращение над инфраструктурой в этом смысле ничем не лучше "просто GPS", по сути. Потому что возможна компрометация источника, при сохранении валидности ключей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

51. Сообщение от Старый ниггер (?), 11-Окт-20, 20:24	+1 +/–
Почему не использовать путь разных серверов? Всех же не захакают. А те кто не парятся и так не будут заморачиваться всем этим.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

52. Сообщение от Аноним (52), 11-Окт-20, 21:15	+1 +/–
Ну а по большому счету, все это гнилые отмазки лишь бы сделать "ненужным" протокол udp и потом его запретить, причем запретить так чтоб кроме определенных пакетов tcp в определенных направляниях не ходило ничего, а пользователи приходили со своими бутылками. И вот тогда будет счастье, свобода и демократия !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #57

53. Сообщение от Аноним (53), 11-Окт-20, 21:59	+/–
И в asn.1
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

54. Сообщение от Ананимус (?), 11-Окт-20, 22:44	+/–
NTP ПОДВЕРЖЕН MITM, ничего захватывать не надо. Констрейнты позволяют понять, что либо пир бажный, либо, если все пиры присылают дичь, происходит что-то не то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

55. Сообщение от kmeaw (?), 12-Окт-20, 00:51	+/–
Можно захакать канал до всех серверов. Например, линк между вами и ISP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

56. Сообщение от Аноним (27), 12-Окт-20, 11:57	+/–
Бета существует гораздо дольше, чем спутниковая навигация как таковая. И проблемы глонасса ей параллельно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

57. Сообщение от Аноним (27), 12-Окт-20, 12:00	+1 +/–
В то время как гугл со своим HTTP over UDP бороздит большой театр... Нет, они воюют не с UDP, а с нешифрованным трафиком. Потому что централизованная структура PKI открывает огромные возможности для шпионажа и блокировок. Причём только для избранных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #58

58. Сообщение от Сейд (ok), 12-Окт-20, 14:26	–1 +/–
Лучше только для избранных, чем для всех.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

59. Сообщение от пох. (?), 13-Окт-20, 10:00	+/–
> Да да, вот когда начнут глушить спутники у тебя обязательно будет интернет с доступом к любимому > нтп серверу конечно будет - какой именно сервер сегодня особенно любим - товарищ майор укажутъ! Но ты, кажется, недопонимаешь в какой стране живешь. Там где боевые ОВ могут использоваться мелким криминалом для устранения конкурентов, точно так же мелкий криминал может (и недорого) взять в аренду (вместе с прикованным лейтенантом для управления) или купить персональный мобильный комплекс РЭБ с фичейб заметь, не подавления, а _подмены_ gps-сигналов. Оно именно подменяет, а не глушит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

60. Сообщение от Аноним (-), 15-Окт-20, 18:15	+/–
> а аутентификация по ключам не получила распространение так как слишком усложнена для настройки Ну тут-то зато всё просто
Ответить | Правка | Наверх | Cообщить модератору

61. Сообщение от nuclight (??), 22-Фев-21, 14:45	+/–
DTLS внесёт задержки, мешающие работе собственно точного времени. Но да, сервер ключей на TLS, для которого опять же УЖЕ нужно точное время - это смешно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #62, #63

62. Сообщение от Онаним (?), 22-Фев-21, 21:07	+/–
> DTLS внесёт задержки, мешающие работе собственно точного времени. По сравнению с задержками, которые вносят транзитные узлы на тех сетях, где TLS нужен, ну, вы поняли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

63. Сообщение от Онаним (?), 22-Фев-21, 21:14	+/–
Для TLS не нужно _настолько_ точного времени.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

64. Сообщение от Ыр20 (?), 10-Май-22, 20:30	+/–
Точность определения времени по звёздам - 1 мс. Можно наблюдать в любую погоду, т.к. рентген свободно проходит через тучи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

65. Сообщение от Ыр20 (?), 10-Май-22, 20:31	+/–
Точность что GPS, что Глонасс, что Галилео - 1 см.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема