NTS står för Network Time Security och är en utveckling av det idag välkända protokollet NTP, som är ett av de vanligaste protokollen på internet överhuvudtaget. De flesta av oss tänker aldrig på NTP, men det ligger till exempel bakom att klockan på mobilen alltid visar rätt. Mobilen hämtar med jämna mellanrum en tidsstämpel från en pålitlig NTP-server, eller från mobilnätet som i sin tur använder NTP.

Just att källan och tidsangivelsen är pålitlig är ett krux med det nu 30 år gamla NTP, som är sårbart för man-i-mitten-attacker. För många tjänster och applikationer är tiden en extremt viktig faktor, särskilt inom it-säkerhet – allt från krypterade sessioner, dnssec och tidsstämpling av finansiella transaktioner, till förebyggande av online-bedrägerier är beroende av exakt och säker tid.

nts säker tid netnod

– NTP är ett gammalt protokoll från 1985 (RFC 958) och dagens version (RFC 5905) är från 2010. NTP är baserat på UDP som bärare och är i grunden därmed osäkert, och kan på ett relativt enkelt sätt blockeras eller förfalskas. Protokollet innehåller möjlighet till säkerhet genom att ha samma nycklar i båda ändar, men det är ett komplicerat sätt att hantera säkerhet. Därför behövs NTS för att på ett enkelt och känt sätt, baserat på TLS som används även för webben, utbyta den hemlighet som används för att säkra NTP-kommunikationen, säger Patrik Fältström, teknik- och säkerhetschef på Netnod.

Netnod har varit en viktigt bidragsgivare

NTS är ett svar på behovet av säker och exakt tid och har tagits fram av IETF (Internet Engineering Task Force) där svenska internetknutpunkten Netnod varit en viktig bidragsgivare till arbetet med det nya protokollet. Netnod har sedan flera år ett samhällsuppdrag i Sverige, finansierat av Post- och telestyrelsen, PTS, för att leverera exakt tid över internet.

Patrik Fältström
Patrik Fältström.

Netnod levererar NTP (och nu alltså även NTS) över IPv4 och IPv6 med tidsangivelser inom 250 nanosekunder från officiell svensk tid, som kallas UTC(SP). Tjänsten levereras från flera autonoma noder i Sverige med två cesium-klockor och två FPGA-baserade implementationer av NTP per nod.

– NTS består av två faser. Först en TLS-baserad autentisering av server mot klient vilket avslutas med att klienten får en hemlighet, en kaka, av servern. Denna kryptografiskt säkrade kaka används sedan i fas två när klienten kommunicerar med NTP-servern, där kakan läggs som en av ett par nya utökningar i NTP-protokollet. Genom dessa nya utökningar kan klienten validera att svaren är omodifierade och kommer från korrekt NTP-server, säger Patrik Fältström.

I Sverige, som var ett av de första uppkopplade länderna, har vi en lång tradition av leverans av stabila och säkra tjänster, NTP/NTS är inget undantag. Det var ursprungligen internetlegendaren Peter Löthberg som började intressera sig för tid och frekvens i Sverige redan i början av 1990-talet. Han har inte bara lagt grunden för Internet i Sverige och världen utan även tid och frekvens. Enligt Patrik Fältström var det Peters brinnande intresse för kvalitet och robusthet som genomsyrade hela verksamheten då, och även nu.

”Deras möjlighet att driva stabila tjänster var inte deras styrka”

– När Netnod skapades 1996 för att driva knutpunkter och senare DNS var det naturligt att även tillsammans med Peter driva NTP-servrar. Hela tiden har RISE (tidigare Statens provningsanstalt) varit ansvarig för att hålla svensk tid, som kallas UTC(SP), men deras möjlighet att driva stabila tjänster var inte deras styrka, säger Patrik Fältström.

– PTS fick upp intresset för säker distribution av tid och frekvens, och ett antal utredningar påpekade att Sverige dels skulle (fortsätta) vara oberoende gällande tidsskala, dels skulle vi distribuera denna tid och frekvens på ett säkert sätt. Genom samarbetet med Peter Löthberg har Netnod drivit NTP-servrar sedan många år tillbaka, och senaste åren genom direkt samarbete med PTS som finansierar stora delar av verksamheten.

Som del av att säkra denna distribution är målet inte bara att vara oberoende av utländska aktörer, som till exempel USA som hanterar GPS och EU som hanterar Galileo, för hantering av tidsskala, Netnod ska också kunna distribuera tid och frekvens på ett säkert sätt utan att använda radio. Att lägga till säkerhet till protokollet NTP är därför ett naturligt nästa steg i utvecklingen, enligt Patrik Fältström.

Netnods NTS-tjänst är fri och gratis för alla att använda. Allt som behövs är att peka sin NTP-klient (med NTS-stöd) mot någon av nedan servrar (udp-port 4443*):

  • nts.ntp.se (globalt)
  • nts.sth1.ntp.se (för användare nära Stockholm)
  • nts.sth2.ntp.se (för användare nära Stockholm)

Idag finns det åtminstone tre NTP-klienter med stöd för NTS (varav två har utvecklats av medarbetare på Netnod):

Mer information om Netnods arbete med NTS finns på här.

* NTS-protokollet är för närvarande ett förslag hos IETF (draft); innan NTS är helt spikat kan portnumret komma att ändras.

Läs också:
Sverige har fått en ny definition av internetuppkoppling
Netnod-hackarna ger sig på Greklands toppdomäner