TimeNL: de duidelijke NTP-dienst van SIDN Labs
Het belang van goede tijdmeting en -synchronisatie
Bij SIDN Labs hebben we TimeNL in het leven geroepen, een nieuwe dienst waarmee apparaten op het internet hun tijd kunnen synchroniseren. Tijddiensten als TimeNL spelen een cruciale rol voor veel internettoepassingen en maken gebruik van de NTP-standaard. Het probleem is echter dat het aanbod van (publieke) internettijdservices vaak onduidelijk is, waardoor het voor gebruikers lastig is om een goede keuze te maken. We leggen je hier graag uit hoe TimeNL kan bijdragen aan verbetering.
Het belang van goede tijdmeting en -synchronisatie
Tijd speelt in ons dagelijkse bestaan een grote rol. We willen om allerlei uiteenlopende redenen graag weten of de ene gebeurtenis vóór, of juist ná een andere plaatsvindt. We willen weten op welk moment (tijdstip) een gebeurtenis plaatsvindt of hoeveel tijd er tussen 2 tijdstippen. En vaak willen we dat zelfs heel precies weten.
Ook voor computers speelt de juiste tijd een belangrijke rol. Ze hebben ingebouwde klokken, die voor veel toepassingen van (soms cruciaal) belang zijn. Veel van die toepassingen zijn ‘security-gerelateerd’. Denk bijvoorbeeld aan de correlatie van systeemlogging uit verschillende systemen, of aan juridisch geldige tijdstempels, of aan zoiets simpels als de exacte tijd die getoond wordt in de opname van een IP-camera. Voor SIDN, als registry voor .nl, speelt bijvoorbeeld het bekende ‘first come, first served’ principe tijdens het registreren van domeinnamen. Als een domeinnaam vrijvalt en meerdere partijen erop azen, dan kan het zijn dat ze bij ons op verschillende systemen binnenkomen met een registratieverzoek. Alleen als de interne klokken van die systemen precies gelijklopen, kunnen we eerlijk en adequaat bepalen welk verzoek het eerste was. Tijd is ook van belang voor standaarden zoals DNSSEC, PKI-certificaten, TOTP of OAuth. Feitelijk gaat het om een nog veel langere lijst van allerhande toepassingen. Een goed systeem om de interne klokken van computers gelijk te laten lopen is dan ook van vitaal belang.
Network Time Protocol (NTP)
Een veel gebruikte methode om de tijd van computers over het netwerk te synchroniseren is NTP, een al jaren bestaand, op UDP gebaseerde ‘de facto’ client/server-standaard. Hiermee kan een behoorlijk goede nauwkeurigheid, in de orde van milliseconden, worden bereikt. Het protocol wordt vandaag de dag veel gebruikt en het aantal gebruikers groeit hard, zeker met de opkomst van veel IoT-apparaten. Toch merkt de gemiddelde gebruiker er niet zoveel van. NTP is wat dat betreft vergelijkbaar met het Domain Name System (DNS) protocol dat zich ook onder de motorkap bevindt. Er is veel kennis over, onder een beperkte groep ‘insiders’, maar het merendeel van de gebruikers stelt het gewoon in, zonder veel weet van de details.
NTP-problemen
Hoewel internettijddiensten cruciaal zijn, ontdekten we bij SIDN Labs dat het kwaliteits- en serviceniveau van bestaande NTP-diensten lang niet altijd bekend is en ook niet altijd even goed. Het komt geregeld voor dat er wel ergens een NTP-server ‘gevonden’ wordt, zonder dat duidelijk is welke service-levels geboden worden. Ook viel ons de grote dominantie (en dus afhankelijkheid) van het Amerikaanse GPS-systeem op. Heel wat publieke NTP-diensten die we onderzochten, hebben als referentieklok dat Amerikaanse systeem, terwijl er ook een Europese GNSS-variant is met de naam Galileo. Daarnaast is er een mooi alternatief, voor achter de hand, in de vorm van het DCF77 radiosignaal van het Duitse PTB.
TimeNL van SIDN Labs
Geïnspireerd op het Zweedse voorbeeld van een soort nationale tijdservice (ntp.se), hebben we daarom TimeNL in het leven geroepen, een NTP-dienst met een focus op de Nederlandse en Europese internetgemeenschap (al werkt hij natuurlijk gewoon wereldwijd). Ons doel met TimeNL is het belang van NTP beter op de kaart te zetten, bij te dragen aan een betere NTP-infrastructuur op het internet en onderzoek te doen op dit belangrijke en interessante gebied. Hoewel TimeNL een nieuw opgezette dienst is, is deze al volwaardig te gebruiken. We maken gebruik van solide hardware (Meinberg M3000, met bekende open source software ntpd 4.2.8p13), een ‘multi homed’ netwerk-infrastructuur, meerdere referentieklokken (Galileo en GPS primair en het Duitse DCF77 signaal secundair en goede stratum 1 NTP servers als backup/fallback). Alles natuurlijk beheerd zoals je van ons mag verwachten. Natuurlijk zijn we ook altijd bereid tot het beantwoorden van vragen of ontvangen van feedback. Op onderstaande afbeelding zie je de antennes die we op ons kantoor hebben geplaatst om de verschillende tijdsignalen op te vangen.
Een belangrijk verschil met bestaande NTP-services is dat we op time.nl de eigenschappen van TimeNL publiceren (bijv. welke setup en configuratie we gebruiken), zodat je weet welk serviceniveau je van TimeNL mag verwachten. TimeNL zelf bereik je op ‘ntp.time.nl’, vanzelfsprekend ook via IPv6. :-)
Onderzoek
Met TimeNL hebben we een stap gezet in de wereld van digitale tijdsynchronisatie. Naast het eerste, tastbare en volwaardig bruikbare resultaat, voorzien we vanuit SIDN Labs ook nog aanknopingspunten voor aanvullend onderzoek. Bijvoorbeeld naar ‘Network Time Security (NTS)’, een standaard in ontwikkeling, waarmee het bestaande NTP veiliger kan worden gemaakt, wat ook voor DNS en DNSSEC nuttig is. Maar ook denken we aan onderzoek voor het nog beter in kaart brengen van het NTP-landschap en eventuele kwetsbaarheden daaromtrent, op basis van metingen.
Probeer TimeNL zelf!
We nodigen iedereen uit om TimeNL onderdeel te maken van een intern NTP-beleid. Op onze website vind je alle informatie. Het zou trouwens zomaar kunnen dat je ongemerkt al gebruik maakt van onze dienst, aangezien hij al onderdeel is van de veel gebruikte NTP-pool.
