Ntp authentication – Meinberg SHSPZF LANTIME Benutzerhandbuch
Seite 69
NTP Authentication
NTP bietet in der Version 2 und 3 ein Authentication Verfahren über symmetrische
Schlüssel. Wird ein Paket in diesem Authentication Mode verschickt, so wird an jedes
ein 32-bit Key ID und eine cryptografische 64/128-bit Checksumme des Paketes,
erstellt entweder mit Data Encryption Standard (DES) oder Message Digest (MD5)
Algorithmen, angehängt. Beide Algorithmen bieten ausreichenden Schutz vor
Manipulation der Inhalte. Zu beachten ist, dass die Verbreitung des DES in den USA
sowie in Kanada Einschränkungen unterliegt, während MD5 zur Zeit davon nicht
betroffen ist. Mit jedem der beiden Algorithmen berechnet der empfangende Partner
die Checksumme und vergleicht sie mit der im Paket enthaltenen. Beide Partner
müssen hierfür den gleichen Encryption Key mit der dazugehörigen gleichen Key ID
haben. Dieses Feature bedarf einiger kleiner Modifikationen an der Standard Paket
Verarbeitung. Diese Modifikationen werden in der Konfigurationsdatei aktiviert. Im
Authentication Mode werden Partner als unglaubwürdig und für eine Synchronisation
nicht geeignet gekennzeichnet, wenn sie entweder unauthentisierte Pakete,
authentisierte Pakete die nicht entschlüsselt werden können oder authentisierte
Pakete, die einen falschen Key benutzen, senden. Zu beachten ist, dass ein Server der
viele Keys kennt (identifiziert durch viele Key IDs) möglicherweise nur einen Teil
dieser verwendet. Dies ermöglicht dem Server einen Client, der eine authentisierte
Zeitinformation verlangt, zu bedienen ohne diesem selbst zu trauen. Einige
zusätzliche Konfigurationen sind erforderlich um die Key ID zu spezifizieren, die
jeden Partner auf Authentizität prüft. Die Konfigurationsdatei für einen Server
Authentication Mode kann wie folgt aussehen:
# peer configuration for 128.100.100.7
# (expected to operate at stratum 2)
# fully authenticated this time
peer 128.100.49.105 key 22
# suzuki.ccie.utoronto.ca
peer 128.8.10.1 key 4
# umd1.umd.edu
peer 192.35.82.50 key 6
# lilben.tn.cornell.edu
keys /mnt/flash/ntp.keys
# path for key file
trustedkey 1 2 14 15
# define trusted keys
requestkey 15
# key (7) for accessing server variables
controlkey 15
# key (6) for accessing server variables
Der Authentication Mode wird automatisch aktiviert, wenn ein Key benutzt wird und
die Pfade für die Keys entsprechend eingestellt sind. Mit keys /mnt/flash/ntp.keys
wird der Pfad für die Keys festlegt. In der trustedkey-Zeile werden die Keys
angegeben, die als uncompromised bekannt sind; der Rest sind verfallene oder
compromised Keys. Beide Sätze von Keys müssen in der unten beschriebenen Datei
ntp.keys deklariert werden. Dies ermöglicht es, alte Keys zu reaktivieren, während
das wiederholte Senden von Keys minimiert wird. Die requestkey 15 Zeile deklariert
den Key für mode-6 control messages wie in RFC-1305 spezifiziert und vom ntpq
Utility Programm benutzt, während die Zeile controlkey 15 den Key für mode-7
private control messages deklariert, wie vom ntpdc Utility Programm benutzt wird.
Diese Keys werden benutzt um die Daemon Variablen vor unberechtigten
Modifikationen zu schützen.
69