「NTPsec」の版間の差分
ナビゲーションに移動
検索に移動
(ページの作成:「Category:同期 Category:プロトコル Category:サーバー Category:セキュリティ en:NTPSec {{Related articles start}} {{Related|Network Time…」) |
Kusanaginoturugi (トーク | 投稿記録) (関連記事を修正) |
||
| (同じ利用者による、間の5版が非表示) | |||
| 1行目: | 1行目: | ||
| − | [[Category: |
+ | [[Category:ネットワークタイムプロトコル]] |
| − | [[Category:プロトコル]] |
||
| − | [[Category:サーバー]] |
||
| − | [[Category:セキュリティ]] |
||
[[en:NTPSec]] |
[[en:NTPSec]] |
||
{{Related articles start}} |
{{Related articles start}} |
||
| + | {{Related|ネットワークタイムプロトコルデーモン}} |
||
| − | {{Related|Network Time Protocol daemon}} |
||
{{Related articles end}} |
{{Related articles end}} |
||
NTP は暗号化されていない UDP ベースのプロトコルで、攻撃に [https://www.youtube.com/watch?v=hkw9tFnJk8k 悪用] された過去があります。代替を提供するという [https://github.com/ioerror/tlsdate 試み] が [https://www.imperialviolet.org/2016/09/19/roughtime.html 何回] かありましたが、プロトコルの本質からそれは難しいものとなっています。NTP には暗号化機能がありますが、[https://translate.google.com/translate?hl=en&sl=de&u=https://www.golem.de/news/tls-gcm-gefahr-durch-doppelte-nonces-1605-121005.html&prev=search 信用] されていません。[https://ntpsec.org/ NTPSec] を使うことで [https://docs.ntpsec.org/latest/ntpsec.html 'セキュアな'] 代替が可能となっています。 |
NTP は暗号化されていない UDP ベースのプロトコルで、攻撃に [https://www.youtube.com/watch?v=hkw9tFnJk8k 悪用] された過去があります。代替を提供するという [https://github.com/ioerror/tlsdate 試み] が [https://www.imperialviolet.org/2016/09/19/roughtime.html 何回] かありましたが、プロトコルの本質からそれは難しいものとなっています。NTP には暗号化機能がありますが、[https://translate.google.com/translate?hl=en&sl=de&u=https://www.golem.de/news/tls-gcm-gefahr-durch-doppelte-nonces-1605-121005.html&prev=search 信用] されていません。[https://ntpsec.org/ NTPSec] を使うことで [https://docs.ntpsec.org/latest/ntpsec.html 'セキュアな'] 代替が可能となっています。 |
||
| 30行目: | 27行目: | ||
{{ic|ntpd.service}} を[[起動]]・[[有効化]]してください。 |
{{ic|ntpd.service}} を[[起動]]・[[有効化]]してください。 |
||
| + | |||
| + | == NTS を有効にする == |
||
| + | |||
| + | [https://www.rfc-editor.org/rfc/rfc8915.html NTS] は、インターネット上の NTP トラフィックを認証するために TLS/SSL を使用する方法です。 |
||
| + | |||
| + | {{Note|NTP プールおよび Arch NT プールは現在 NTS をサポートしていません。}} |
||
| + | |||
| + | サーバーラインの最後に {{ic|nts}} キーワードを追加します。これは NTS を話すサーバーに対してのみ行ってください。NTS キー交換に {{ic|4460}} 以外のポートを使用する場合は、ポート番号も指定する必要があります。 |
||
| + | |||
| + | 例えば: |
||
| + | {{hc|/etc/ntp.d/use-pool| |
||
| + | server time.cloudflare.com nts iburst |
||
| + | server virginia.time.system76.com nts iburst |
||
| + | server nts.netnod.se:4460 nts iburst |
||
| + | }} |
||
| + | |||
| + | こちらは [https://gist.github.com/jauderho/2ad0d441760fc5ed69d8d4e2d6b35f8d 非公式の NTS をサポートする NTP サーバーのリスト] です。 |
||
| + | |||
| + | {{Warning|インターネット上のランダムなホストを選んではいけませんが、地元の機関、他の公共機関、または既存の NTP サービスを提供している企業に NTS の追加を依頼してください。}} |
||
== 参照 == |
== 参照 == |
||
* [[Wikipedia:Network Time Protocol#NTPsec]] |
* [[Wikipedia:Network Time Protocol#NTPsec]] |
||
| + | * [https://docs.ntpsec.org/latest/NTS-QuickStart.html NTS-QuickStart] |
||
2024年8月14日 (水) 22:59時点における最新版
関連記事
NTP は暗号化されていない UDP ベースのプロトコルで、攻撃に 悪用 された過去があります。代替を提供するという 試み が 何回 かありましたが、プロトコルの本質からそれは難しいものとなっています。NTP には暗号化機能がありますが、信用 されていません。NTPSec を使うことで 'セキュアな' 代替が可能となっています。
インストール
NTPSec は ntpsecAUR パッケージでインストールできます。
以下のコマンドで新しい GPG 鍵をキーリングにインポートする必要があります:
$ gpg --recv-keys 5A22E330161C3978
gpg: key 5A22E330161C3978: 6 signatures not checked due to missing keys gpg: key 5A22E330161C3978: public key "NTPsec Contact <contact@ntpsec.org>" imported gpg: marginals needed: 3 completes needed: 1 trust model: pgp gpg: depth: 0 valid: 8 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 8u gpg: next trustdb check due at 2019-12-03 gpg: Total number processed: 1 gpg: imported: 1
サービスの起動
NTS を有効にする
NTS は、インターネット上の NTP トラフィックを認証するために TLS/SSL を使用する方法です。
サーバーラインの最後に nts キーワードを追加します。これは NTS を話すサーバーに対してのみ行ってください。NTS キー交換に 4460 以外のポートを使用する場合は、ポート番号も指定する必要があります。
例えば:
/etc/ntp.d/use-pool
server time.cloudflare.com nts iburst server virginia.time.system76.com nts iburst server nts.netnod.se:4460 nts iburst
こちらは 非公式の NTS をサポートする NTP サーバーのリスト です。