”Vi har täppt till ett säkerhetshål”
Med en ny kompletterande standard för säker synkronisering av tid på internet blir tidsberoende transaktioner betydligt säkrare. Marcus Dansarie, doktorand i försvarssystem vid Försvarshögskolan och Högskolan i Skövde, har varit med och tagit fram den nya standarden som släpptes i slutet av september 2020.
Varför behövs en ny standard för tidssynkronisering över internet?
– I dag sker i princip all synkronisering av tid på internet helt utan autentisering, vilket innebär att systemet är väldigt sårbart om någon vill ställa till med oreda på ett eller annat vis. Många funktioner som är viktiga i vårt samhälle kräver noggrann och korrekt tidsangivelse för att fungera, till exempel när det gäller finansiella transaktioner eller passersystem.
– I dag använder vi något som kallas för NTP – Network Time Protocol – för att ställa in tiden på våra datorer. Det fungerar lite förenklat som att datorn skickar en fråga till en server på internet och får svar. Problemet är att det inte har funnits något sätt att göra den här processen säker. När datorn skickar ut sin fråga om vad klockan är kan i princip vem som helst svara, och datorn kommer att tro på svaret. Vi som användare märker det inte, men tidsangivelsen är inte spårbar. Och det är här som den nya kompletterande standarden – Network Time Security (NTS) – kommer in.
Vad tillför den nya standarden?
– Den ger framför allt en autentisering av tid, vilket betyder att vi kan spåra varifrån tidsangivelsen kommer, och det är det som är stort med det här.
– Också skalbarheten är något nytt. Tidigare har datorn och servern behövt komma överens om en kryptonyckel med manuella inställningar. Det vi har åstadkommit nu är en standard som inte behöver den här handpåläggningen utan är skalbar för alla miljoner datorer som finns i världen.
Vad får det för betydelse för internetanvändaren?
– På sikt kommer den här standarden att hamna i stort sett varenda dator. Det kommer att bli betydligt svårare att påverka tid och tidssynkronisering över internet, vilket leder till att funktioner där tid har betydelse blir säkrare. Vi har täppt till ett säkerhetshål med den här nya standarden.
Hur blev du involverad i det här arbetet?
– Det finns ju ingen som äger internet, men organisationen The Internet Engineering Task Force (IETF) samlar forskare och experter som jobbar med internet på olika vis, för att i mindre arbetsgrupper utveckla olika tekniska delar. Det är i en sådan arbetsgrupp jag har varit med.
– Jag blev först involverad i projektet via Netnod, ett företag som är helägt av stiftelsen för telematikens utveckling (TU-stiftelsen). Men eftersom ämnet tangerar min forskning har jag fortsatt arbetet inom ramen för min avhandling som handlar om säkerhet i trådlösa system.
Hur går arbetet till inom IETF?
– När ett förslag till en ny standard har tagits fram av en arbetsgrupp inom IETF genomgår det en strikt granskning innan det fastställs och publiceras i den så kallade RFC-serien, som samlar resultat av IETF:s arbete.
Josefin Svensson
Mer inom
FörsvarssystemSidinformation
- Publicerad:
- 2020-12-17
- Senast uppdaterad:
- 2024-02-06