Cloudflare通过Network Time Security支持启动免费时间服务
Cloudflare是一家总部位于旧金山的公司,为成千上万的企业和个人客户提供DDoS缓解,云安全和分布式域名服务器服务,如今,它还支持一项支持网络时间协议(NTP)的空闲时间服务 -通过互联网获取时间的主导协议 - 以及新兴的网络时间安全(NTS)协议。
开发人员现在可以使用time.cloudflare.com,它可以在全球180多个城市的Cloudflare数据中心上找到,作为设备的时间来源,可以将它们指向time.cloudflare.com:1234或直接指向time.cloudflare.com。Cloudflare表示,NTS客户端的工作正在进行中。
正如波士顿大学研究生助理兼Cloudflare加密团队前实习生Aanchal Malhotra在博客文章中解释的那样,NTP旨在同步通过不可靠网络进行通信的系统之间的时间。自1985年标准化以来,它已成为广泛部署的工具的核心部分,使用时间戳来限制证书和签名有效期。此外,时间同步确保不同机器上的事件可以准确关联,并且双因素身份验证使用依赖于精确时钟的滚动数字。
NTP在大多数情况下运行良好 - 客户端将查询数据包发送到服务器,然后服务器以其时钟时间响应,之后客户端计算其时钟和远程时钟之间差异的估计值,同时补偿网络延迟。但即使是最新版本--NTP版本4(于2010年完成) - 也包含可被恶意攻击者利用的漏洞,通过转移时间或拒绝向NTP客户端拒绝服务来发动攻击。
例如,攻击者可以指示服务器碎片化或分解大型数据包。由于服务器不知道其路径上的网络元素的IP地址,因此可以从任何源IP(包括NTP服务器)发送此数据包。然后,攻击者可以使NTP服务器将其NTP响应数据包分段为受害者NTP客户端,并欺骗包含其时间戳值的重叠响应片段,以欺骗客户端组装包含合法片段和攻击者插入的数据包。
最近提出的NTS协议通过两个步骤解决了这个漏洞和其他漏洞。在第一阶段,NTS密钥交换使用传输层安全性(TLS)握手在NTP客户端和服务器之间建立必要的密钥材料。在交换密钥之后,关闭TLS信道并且协议进入第二阶段,在此期间TLS握手的结果用于通过扩展字段验证NTP时间同步分组。
Cloudflare表示,其所有数据中心都与第一层服务提供商同步,并且他们实施了最新的NTS IETF草案(NTS标准尚未最终确定),并且需要TLS v1.3。该公司还表示,其服务器与用户的接近度应该可以减少数据包路径和抖动的不对称性(延迟时差的测量),可能“显着”改善缺乏NTP服务器的地区的容量和质量。
“大多数NTP实施目前正致力于NTS支持,我们预计未来几个月将会有更广泛的介绍以及当前草案协议的进展,”Malhotra写道。“我们希望我们的服务能够更快地采用这一重要的互联网安全改进措施......现在通过我们的免费公共时间服务,我们为另一种不安全的传统协议提供了值得信赖,广泛可用的替代方案。我们的使命是帮助每个人建立一个更快,更可靠,更安全的互联网。“