まだ時刻同期にNTPを使って消耗してるの?
すみません。一度、煽ったタイトルを付けてみたかったんで。時刻同期に使われるNTPはRHEL8からchronyに取って変わったが、プロトコル自体は昔ながらのUDPベースのプロトコルだった。
それが、NTSというセキュリティに対応したプロトコルがRFCになったとCloudflareのブログで紹介されている。
Time underlies the security of many of the protocols such as TLS that we rely on to secure our online lives. Without accurate time, there is no way to determine whether or not credentials have expired. The absence of an easily deployed secure time protocol has been a problem for Internet security.
例えばHTTPSで使われるTLSは最初のClientHelloで時刻情報を元に初期乱数を生成するし、証明書の有効期限の確認も時刻情報が必要だ。こういったセキュリティを支えるために時刻が使われるのに、その時刻がセキュリティ対策されていない。
Earlier today the document describing Network Time Security for NTP officially became RFC 8915. This means that Network Time Security (NTS) is officially part of the collection of protocols that makes the Internet work. We’ve changed our time service to use the officially assigned port of 4460 for NTS key exchange, so you can use our service with ease.
そして2020年10月1日に、ようやくNTPのためのセキュリティであるNTSがRFC8915となった。そして4460というポート番号が割り当てられた。
IETFのサイトを見ると著者はAkamaiとドイツ国立物理工学研究所(PTB)、そしてスウェーデンのIX事業者であるNetnodだ。最初のDraftが2015年5月だから、割と長い方だと思う。(Geoff Hustonによると平均2年ぐらい)
https://www.potaroo.net/ispcol/2020-08/ietfstd.html
Cloudflareは、もうひとつNTPに関するブログを書いていてRFC化に向けても貢献しているようだ。
As a secure time service provider Cloudflare is proud to announce that we are among the first to offer a free and secure public time service based on Network Time Security. We have implemented the latest NTS IETF draft. As this draft progresses through the Internet standards process we are committed to keeping our service current.
最新のNTSのDraftを実装したNTSサービスを2019年から提供している。
CloudflareのメンバーはRFC8915の著者には名を連ねていないが、著者の一人であるD. Siboldが2019年にシンガポールで開催されたIETF106のプレゼン資料ではNTSのプロバイダとしてNetnodやPTBより先にCloudflareが紹介されている。
https://www.ietf.org/proceedings/106/slides/slides-106-ntp-nts-deployment-03
ちなみに、この資料のp4にCloudflareはRustで実装し、Netnodはgolangで実装していることが書かれていて、新しいプロトコルは新しい言語で生まれるんだなぁということを思った。
この記事が気に入ったらサポートをしてみませんか?