如何安全地获取日期？

问题描述投票：0回答：1

我想检查混淆的 python 脚本中的时间/日期。

datetime

不可靠，因为很容易更改计算机时钟时间。

将ntplib与像

europe.pool.ntp.org

这样的ntp服务器一起使用也不安全，因为用户可以更改DNS或类似的东西。

有没有可靠且安全的方法来获取Python中的当前日期？使用证书或类似的东西？我可以从 unixtimestamp 收集和解析数据并验证 SSL 证书，但我很确定这不是最干净的方法。

python security time ntp

1个回答

1
投票

可以通过共享（对称）密钥验证 NTP 数据包的真实性和完整性。您必须发送密钥（或从您控制下的服务中动态检索它），然后将其与一个密钥一起使用或更多支持该密钥的 NTP 服务器。多个服务器和多个密钥是可能的。例如，NIST 运行支持此功能的服务。

虽然数据包身份验证可能足以缓解简单的攻击向量，但 NTP

威胁模型相当广泛。敌对行为者可能不是客户端（设备）所有者...但您收到的日期/时间可能仍然不正确。即使在提议的身份验证解决方案中，密钥也必须驻留在客户端上的某个位置，而坚定的攻击者甚至可以从内存中窃取它。缓解技术以及威胁模型中引用的某些问题是否与您相关将取决于您在特定用例中对“可靠和安全”的定义。

长期解决方案是

NTS，它将基于 TLS/AEAD 的安全性添加到 NTP。

最新问题

© www.soinside.com 2019 - 2024. All rights reserved.