För Sunets nät och tjänster – se aktuell driftstatus!

Praktikfall: Det svenska tidslagret och varför du behöver det

Sverige har investerat i ett eget nät av spårbara, kvalitetskontrollerade, redundanta NTP-servrar anslutna till synkroniserade atomklockor på fem orter. Varför? Vad rör det dig?

Spelarna i det här dramat:

BIPM: Bureau International des Poids et Mesures, tidsbyrån i Paris som sammanställer världstiden UTC.
GPS: Global Positioning System, de amerikanska navigationssatelliterna som sänder exakt tid.
Netnod: Det företag som kopplar samman alla operatörers nät i Sverige och har de svenska tidsservrarna.
PTS: Post- och Telestyrelsen, som finansierat de svenska tidsservrarna.
SP/RISE: Research Institutes of Sweden, fd Statens Provningsanstalt, som driver den svenska normaltiden UTC(SP), direkt spårbar till UTC.

Typisk rubidiumklocka. Bild: Spectratime

– Hela världen är full av atomklockor. Varför ska PTS absolut betala för ett par stycken till?

Problemet är just att hela världen är full av atomklockor, med okänt ursprung och okänt syfte. Man behöver inte kunna bevisa något alls för att få ansluta en NTP-server till Internet. Läget i världen hårdnar snabbt och ett land med osäker tid och därmed osäkra rutiner som loggar, tidskritiska transaktioner, kommunikationer, osäker inloggning och dessutom låg IT-medvetenhet bland beslutsfattare, är ett osäkert land.

Sverige hade redan tidigare sann, spårbar tid i servrar på ett fåtal platser, men det är ännu bättre om tiden kan distribueras så att hela samhället kan dra nytta av den. PTS har valt att förlägga sina nya servrar på ett antal nyckelpunkter, för att få god spridning i det svenska samhället. Atomklockorna i dessa punkter blir betydligt säkrare mot avbrott än om man bara haft en GPS-mottagare. Klockorna övervakas hela tiden för att spårbarheten mot UTC ska upprätthållas. I och med detta har Sverige skaffat sig en mycket robust grund för leverans av riktig, sann, spårbar realtid.

– Jag tar redan min realtid från ntp.microsoft.com eller ntp.apple.com. Den är tillräckligt bra.

Vet du något om kvaliteten på din tidskälla? Är den kvalitetssäkrad? Om tiden kommer från tidsservrar någonstans i världen med okänd noggrannhet och du bara tar tiden från en eller två servrar, kan du inte eliminera fel. Finns tidsservern långt bort, vilket man inte vet, kan det komma in störningar som påverkar precisionen på din tid.

Man kan hämta sin realtid från en mängd olika NTP-servrar världen runt, som inte lämnar några garantier för sin exakthet, eller att de ens är de som de utger sig för att vara. I händelse av kris kan Sverige bli avskuret från omvärlden och då förlorar alla som tar sin tid från utlandet, sin realtid helt och hållet. Men det händer väl inte? På senare tid har vissa länders ubåtar sniffat allt mera närgånget på sjökablarna. Knips!

Det går inte att veta om en tidsserver någonstans är kvalitetssäkrad. Med PTS installation kan du veta att både tiden och själva servern är kvalitetssäkrade.

Det finns många NTP-servrar med atomklockor i världen och de som anses rimligt exakta får vara med i en samling kallad pool.ntp.org. Den tiden är måhända bra, men inte spårbar. Den har inget bevisvärde i en juridisk process.

Juridiskt hållbar tid blir allt viktigare, när allt fler affärsdokument kräver noggranna tidsangivelser, loggar och bilder från övervakningskameror ska jämföras vid brottsutredningar och affärstransaktioner måste tidsstämplas. PTS har spårbar tid som är juridiskt hållbar, men det fungerar bara om dina servrar kalibreras mot PTS med jämna mellanrum. Annars kan spårbarheten inte bevisas. Möjligheten finns emellertid för dem som behöver.

– Jag struntar i alla osäkra atomklockor och tar min realtid från GPS. Den är absolut bergsäker för den kontrolleras av USAs försvar.

Visst kan det amerikanska försvaret stänga av GPS om de vill, men det skulle få enorma konsekvenser för deras egen del. Det är inte problemet.

Signalstyrkan från GPS-satelliterna är väldigt svag och kan lätt störas. En vanlig GPS-mottagare lyssnar på signaler kring –165 dBm, vilket är 65 dB eller cirka 3,2 miljoner gånger svagare signal än en mobiltelefon förutsätts arbeta med. Detta fungerar enbart för att informationen från GPS kommer i väldigt maklig takt med låg bandbredd, cirka 50 baud. GPS kan drabbas av störningar.

Är det lätt att störa GPS?

Om du tar din realtid från GPS är du ett lätt byte. GPS kan störas av ett flertal orsaker, avsiktliga såväl som oavsiktliga.

Man kan få snö och is på sin GPS-antenn, det kan komma in vatten i antennen, nedledningen kan gå sönder och mottagaren kan förstöras av åsknedslag. Inget av detta kan man säkra sig emot.

Det är mycket enkelt och billigt att störa GPS i och med att signalen är så svag. Vill man bara hindra någon annans GPS-mottagning kan man köpa en störsändare från Kina för 80 dollar. Ett antal uppmärksammade fall från amerikanska flygplatser visar att det både är enkelt att utföra, och svårt att åtgärda. Amerikanerna hävdar sin integritet och stör gärna GPS-mottagaren sin egen lastbil för att arbetsgivaren inte ska veta var de är. Båtmotortjuvar stör gärna det GPS-utrustade stöldskyddet i motorn när de stjäl den. När sedan lastbilen med båtmotorer och aktiv GPS-störare kör ombord på färjan till Östeuropa, stör de färjans navigationssystem.

GPS är en utmärkt tjänst, men vad gör du när du tappar signalen? Lysdioden på apparatfronten slocknar, men när tittar någon på det? Problemet med GPS är att den fungerar för bra. Det är för lite problem med den, så när den slutar fungera, förstår ingen varifrån problemet kommer.

GPS-tiden hoppar några tiotal mikrosekunder ibland. Spelar det någon roll? Ja, för samsynkroniserade elnät eller telekomsystem som förlitar sig på en precision på 40-100 nanosekunders noggrannhet.

Falsk tid

Injektion av falsk eller påhittad tid kan göras både via GPS och NTP. Man kan till exempel spela in ”gammal” GPS-tid och sända ut på GPS-frekvenserna. NTP-tid skulle kunna fördröjas på olika sätt.

Det finns inga krav på kvaliteten hos den NTP-tid som sprids i världen. Det är upp till vem som helst att tro på, eller förkasta tiden. Men det finns inget sätt att kontrollera noggrannheten hos en enskild NTP-server utan att jämföra den med andra.

Påhittad GPS-position och –tid (spoofing) är ganska vanlig, till exempel i tunnlar där ingen vanlig GPS-mottagning är möjlig. Utrustningen kan användas till elektronisk krigföring också, för att ge motståndarsidan falska positioner (Ukraina just nu), eller för att ge ditt företag falsk GPS-tid i syfte att störa din möjlighet att exempelvis träffa avtal som ska lämnas vid en viss tid, eller hindra inloggning på datorsystem som Microsoft AD eller SWAMID som kräver att arbetsstationens klocka inte skiljer sig för mycket från systemets klocka. En vanlig användare har inte en chans att förstå vad som händer och än mindre chans att åtgärda felet.

Men nog larmar väl GPS-mottagaren om den blir spoofad? Nej, inte alls. Hur skulle den kunna veta att den är störd, om den tar emot falsk tid? Det är svagheten med GPS-systemet: det går inte att veta, förrän efteråt.

Vad är spårbarhet?

Spårbar tid i Frankrike och Sverige

Spårbarhet är att veta att den tid man har i systemet överensstämmer med tiden UTC som finns hos tidsbyrån BIPM i Paris, inom väldigt snäva toleranser. UTC är inget som bestäms i Paris, utan den utgör en sammanställning av ungefär 450 klockor från hela välden.

Gemene man kan inte hämta tid från BIPM, men väl hos ”tidsfabriken” SP/RISE i Borås, där den svenska, spårbara normaltiden UTC(SP) finns. Det är mot denna som PTS tidsservrar kalibreras.

Netnod har ”klumpar” av klockor på fem olika ställen i landet, kallade ”tidslager”. Varje tidslager kalibreras mot UTC(SP), vilket indirekt innebär en kalibrering mot UTC. Dessutom kalibreras själva NTP-servrarna. Sålunda är tiden i tidslagret spårbar.

Vem som helst kan hämta spårbar tid från tidslagret, men först när den enskildes lagrade tid kalibreras mot tidslagret och man ser avvikelserna, kan den enskildes tid sägas vara spårbar.

Spårbarhet innebär att man har en obruten kalibreringskedja till referensen i Paris.

Bevisföring med tid

Realtiden används i allt högre grad för bevisföring. EU har infört ett direktiv kallat MIFID 2 som innebär att alla elektroniska transaktioner med värdepapper måste tidsstämplas med spårbar tid, för att skapa lika villkor på finansmarknaderna. Motsvarande lag i USA heter SOX, (The Sarbanes-Oxley Act).

Exakt tid är viktig i utredning av alla typer av brott. Då behöver man kunna jämföra loggar från flera datorer och då måste tidsstämplingen av loggposterna vara absolut pålitliga. När kom e-brevet med hotet? När användes telefonen? När skickades SMS:et? När syntes brottslingen på övervakningskameran? När passerades vägtullen?

Mordet på Anna Lindh var en ren parodi på detta. Övervakningskamerorna inne på och utanför NK på Hamngatan skiljde flera dagar i sin tidsangivelse. Försvaret kunde initialt lätt hävda att brottslingen inte alls varit på mordplatsen den påstådda dagen.

När trängselskatteförsöket började i Stockholm baserade man sina skattebeslut på två tidsservrar, varav en hos en privatperson i Danmark utan spårbar tid och en hos en studentförening i Zürich som inte hade något intresse av robusthet och spårbarhet. Det var måhända mindre lämpligt att låta svenska skattebeslut och bevisföring i domstol baseras på den typen av servrar. Särskilt eftersom Netnod samtidigt erbjöd nationell, spårbar tid.

Tid har blivit en del av den juridiska bevisprocessen.

Varför störa realtiden?

Varför skulle någon vilja störa realtiden, för företag och nationer? Om man ägnar sig åt trading, elektroniska transaktioner, och man kan ha bättre tid än konkurrenten, eller fördröja konkurrentens tid, kan man använda sig av tidsdifferensen till att ta snabba, smarta tradingbeslut och göra en vinst. En transaktion kan vara över på en mikrosekund.

I stora offert-sammanhang har man en hård stopptid. Lämnas en offert en sekund efter denna tid, ignoreras den. Problemet är bara att den sändande eller den mottagande maskinen kan ha fel tid, så att stopptiden verkar vara passerad, fast den inte är det.

De omfattande tidsbluffarna som utnyttjades i ENRON-affären, fick som resultat just SOX, som EU följde upp med MIFID.

I en helt vanlig Microsoft-miljö med Active Directory får tidsdifferensen mellan en klient som försöker logga in och den kerberosserver som verifierar inloggningen inte vara större än 15 minuter. Identifieringssystem som SWAMID och EduID har dock hårdare krav.

Loggar tidsstämplas noggrant i datorsystemen, för att de ska kunna läggas bredvid varandra och jämföras i till exempel en brottsutredning kring en cyberattack. Om en logg har förskjuten tid går det inte att veta i vilken ordning attackens olika delar skedde. Eventuellt kan man förskjuta loggens tid senare, i utredningssyfte, men det kostar mycket arbetstid.

Utvecklingen, maskingenerationerna hos Netnod

Netnod har levererat svensk normaltid på ett spårbart sätt sedan år 2005 men datorerna som användes höll på att falla sönder av ålder och det fanns inte längre några reservdelar. Dessutom har hotnivån höjts i världen och attackerna mot olika tjänster på Internet har blivit allt intensivare – cyberkriget är ett faktum.

Internets kapacitet har ökat dramatiskt. Numera kan man cyberattackera något vad som helst i 100 Gbps över SunetC. Det gäller att NTP-servrarna kan stå upp mot olika former av attacker, överleva och ändå leverera rätt tid.

Blockschemat för PTS tidsservrar

Nätverksinterfacet i PTS tidsservrar klarar intensiv DDoS-bombning och kan ändå leverera rätt tid. Kortet ska helt enkelt vara snabbare än den anslutna ledningen, så att NTP-servern inte blir flaskhalsen, utan snarare nätverket som leder fram till den. Klockan ska klara de mest extrema försök att störa den. Istället finns det möjligheter att göra andra åtgärder i nätet för att bekämpa överlasten.

Systmskissen ovan visar hur en nod är uppbyggd. Den har två atomklockor, och i vissa fall fler, som hela tiden jämförs med alla andra klockor i landet och med GPS. Den korrigerade, tiden spårar UTC med mycket stor precision och matas ut till NTP-servrarna, varav det finns två för redundansens skull. Dessutom finns en särskild server från Meinberg Funkuhren GmbH & Co som lämnar tid över PTP-protokollet, särskilt avsett för telekomoperatörer, samt frekvensen 2,048 MHz ±50 mHz till exempelvis Teracom.

Numera kan NTP-servrarna hantera anrop i 400 Gbps i och med att det finns tio NTP-servrar i landet som hanterar 40 Gbps stycket. Det ger både redundans och robusthet mot DDoS-attacker och tung last.

Om vi blir avskurna?

Hur länge kan vi upprätthålla rätt tid om en av orterna blir avskuren från resten av landet, eller om Sverige blir avskuret från omvärlden?

Atomklockorna på de fem orterna kontrollerar ständigt sig själva mot varandra och mot en central referens hos SP i Borås och larmar om skillnaderna blir för stora. Referensen i Borås synkroniseras mot tidsbyrån i Paris, men skulle förbindelsen till Frankrike störas kan Borås arbeta självständigt i många månader.

  • En tidslagernod kan klara sig inom en tolerans på en mikrosekund ett par veckor.
  • En tidslagernod kan klara sig inom en tolerans på en millisekund långt över ett år.

Och om Sverige tappar förbindelsen med resten av världen? Egentligen spelar det inte så stor roll hur tiden går i Sverige, bara vi är eniga om tiden.

  • Fungerar klockjämförelserna kan Sverige upprätthålla nationell tid i tiotals år.

Tappar vi förbindelsen med resten av världen under längre tid än så, har Sverige och världen helt andra problem än realtiden.

Här finns tiden

Det finns två leverantörer av spårbar realtid i Sverige, som har tillräckligt kraftiga NTP-servrar för att klara all tänkbar belastning, nämligen Netnod och SP RISE i Borås. Den som vill ha tillförlitlig tid kan få det gratis.

Netnod driftar PTS tidsservrar, vilket beskrivs på https://www.netnod.se/ntp/netnod-and-ntp

Konfigurera så att du utnyttjar minst fyra av dessa servrar.

SP RISE tidsservrar beskrivs på https://www.sp.se/en/index/services/time_sync/ntp/Sidor/default.aspx

Så här gör du

Den normale studenten behöver inte ha väldigt exakt tid och då kan det räcka med den SNTP-klient som finns inbyggd i operativsystemet. Väljer man att hämta en exaktare klient, får man emellertid väsentligt bättre tidsangivelse.

++>++ SNTP för den enskilde användaren

SNTP betyder Simple NTP och innebär att datorn bara hämtar tid från en enda NTP-server. Den metoden finns inbyggd i Windows helt enkelt för att klara tidskravet på maximalt 15 minuters skillnad mellan klientens och inloggningsserverns tid i Microsoft Active Directory. Har du högre krav än så, bör du installera en NTP-klient med möjlighet att jämföra flera NTP-servrar.

På en dator med Windows 10 med Creators Update går det till så här.

1. Starta Inställningar, fd Kontrollpanelen och välj rutan Tid och språk.

2. Sidan Datum och tid visas. Se till att Ställ in tiden automatiskt är och att Ange tidszon automatiskt är .

3. Under rubriken Relaterade inställningar väljer du alternativet Fler datum-/tidsinställningar.

4. Då kommer du till den klassiska kontrollpanelen. Välj Ställ in tid och datum under rubriken Datum och tid.

5. Dialogrutan Datum och tid öppnas. Välj knappen Ändra datum och tid…

6. Då ser det normalt ut så här. Din dator är synkroniserad med time.windows.com, en server som vi inte vet något alls om. Välj knappen Ändra inställningar…

7. Rutan Inställningar för internettid öppnas. Se till att rutan Synkronisera är förbockad och ange en av Netnods tidsservrar i rutan Server, till exempel sth1.ntp.se och välj knappen Uppdatera nu. Klicka OK.

8. Windows meddelar att datorn nu är synkroniserad med Netnods tidsserver. Klicka OK och stäng allt.

Motsvarande konfiguration är lätt att utföra i appledatorer.

++>++ Gratis NTP-klient från Meinberg

Det tyska företaget Meinberg Funkuhren GmbH & Co har gjort bra NTP-klienter för alla operativsystem, som använder sig av fyra eller flera NTP-servrar. Fyra stycken är ett minimum för tillförlitlig tid. Genom att jämföra dessa kan systemet avgöra om en eller flera tidskällor börjar driva iväg och larma om så sker.

Meinbergs program är standard och kostnadsfritt. Dokumentation för hur klienten används finns på Meinbergs webbplats. Klienten rekommenderas av Microsoft, som inte lämnar några som helst garantier för sin egen medlevererade SNTP-klient.

++>++ Multipel NTP för servrar

En standardkonfiguration av till exempel Debian Linux pekar ut tidsservrar i NTP-poolen pool.ntp.org, som följer:

8<—
# You do need to talk to an NTP server or two (or three).
# server ntp.your-provider.example

# pool.ntp.org maps to about 1000 low-stratum NTP servers. Your server will
# pick a different set every time it starts up. Please consider joining the
# pool: <http://www.pool.ntp.org/join.html>
pool 0.debian.pool.ntp.org iburst
pool 1.debian.pool.ntp.org iburst
pool 2.debian.pool.ntp.org iburst
pool 3.debian.pool.ntp.org iburst
—>8

Men genom att ange nationella servrar från Netnod och SP/RISE kan man genast förbättra läget:

8<—
server sth1.ntp.se
server sth2.ntp.se
server gbg1.ntp.se
server gbg2.ntp.se
server ntp1.sptime.se
server ntp2.sptime.se
—>8

Men att bara ange serveradresserna hjälper inte. Du måste stoppa ntp-tjänsten i servern och uppdatera datorns tid direkt från tidstjänsten. Dessutom måste du mata in den uppdaterade tiden i maskinens realtidsklocka, så att datorn automatiskt får rätt tid när den bootar härnäst. Slutligen måste du starta ntp-tjänsten igen:

8<—
service ntp stop
ntpdate sth1.ntp.se
hhwclock –systohc
service ntp start
—>8

Checklista

Avsikten med denna checklista är att medvetandegöra lärosätet och göra det enkelt att förstå behoven. Att införa noggrann realtid på alla nivåer i organisationen är så pass enkelt att det inte erbjuder några som helst svårigheter.

++>++ Anläggningen som helhet

  • Vilka tidskrav har du?
  • Vet du det?
  • Vet du varför?

Ledtråd: Tänk cyberattacker och brottsutredning. Du bör hamna under en sekund.

  • Var tar du tiden ifrån idag?
  • Med vilken metod?
  • Vet du det?
  • När ställdes realtiden senast?
  • Var det när servrarna installerades?

Om anläggningen som helhet försörjs med realtid från GPS

  • Har GPS-mottagaren bärvåg?
  • Levererar mottagaren tid?
  • Verifiera din realtid. Hur står sig din GPS-tid mot källor utanför?

Dra ur antennsladden och låt den vara utdragen en minut

  • Larmar mottagaren?
  • Märker efterkommande utrustning felet?

Sätt i antennsladden

  • Rapporteras detta?
  • Hur vet du att anläggningen återgått till GPS-tid?

När realtiden förloras, oavsett om den kommer från GPS eller NTP

  • Finns det någon som får larmet?
  • Är larmkedjan tydligt definierad och dokumenterad?
  • Vad gör serverparken? Går den över på en redundant klocka av tillräcklig stabilitet?
  • Visas det hos driftavdelningen?
  • Har du testat detta?

++>++ Servrarna och annan väsentlig driftmiljö

Servrarna körs normalt med operativsystemen Linux eller Windows Server.

  • Konfigurera minst fyra tidsservrar med Meinbergs klient.
  • Undersök att alla servrar har kontakt med alla NTP-servrar som konfigurerats.

++>++ Anställdas arbetsstationer

Lärosätets anställda har sannolikt arbetsstationer som delats ut av institutionen (på KTH kallade ”centralmaskiner”). Dessa är standardkonfigurerade och fjärruppdateras normalt.

  • Arbetsstationerna ska konfigureras att använda Meinbergs NTP-klient och fyra eller flera NTP-servrar.
  • Undersök att arbetsstationerna har kontakt med alla NTP-servrar.

++>++ Studenterna

IT-avdelningen på lärosätet har normalt en webbsida där nyintagna studenter får råd om hur de ska använda sig av lärosätets informationssystem, eduroam, EduID osv. Där bör finnas en sida med information om realtid.

  • Studenterna ska rekommenderas använda sig av SNTP som allra minst, och helst använda Meinbergs NTP-klient och fyra eller fler NTP-servrar.
  • Lämna en beskrivning för hur studenterna ställer in NTP i olika miljöer och verifierar att det fungerar.

++>++ Forskarna

Vissa forskare vet kanske redan allt om NTP, medan andra inte vet något alls. Det finns till och med de som forskar på vad som händer om vi förlorar rätt tid.

  • Informera forskarna om att trovärdigheten i deras forskning ökas om resultatet förses med korrekta, spårbara tidsstämplar.
  • Behöver forskarna precisionstid under millisekunden?
  • Kan du lämna sådan tid?

Läs mer

++>++ Lagar och regler

Om EUs MIFID: http://www.fi.se/sv/marknad/vardepappersmarknad-mifidmifir/om-mifidmifir/
Spårbarhetsdokument från BIPM – VIM och GUM: https://www.bipm.org/en/publications/guides/
PTS: http://www.pts.se/sv/bransch/internet/robust-kommunikation/atgarder/korrekt-och-sparbar-tid-och-takt/

++>++ Tidsservrar

Network Time Foundation ansvarar bland annat för NTP-koden: http://ntp.org/
Network Time Foundation: https://www.nwtime.org/downloads/
Netnod: https://www.netnod.se/ntp/netnod-and-ntp
SP RISE: https://www.sp.se/en/index/services/time_sync/ntp/Sidor/default.aspx
Meinbergs klienter: https://www.meinbergglobal.com/english/sw/ntp.htm

++>++ Störd tid och GNSS

Så lätt stör man GPS-tid: https://techworld.idg.se/2.2524/1.603936/varning-for-storsandare
GPS-störningar i Ukraina: https://maritime-executive.com/article/mass-gps-spoofing-attack-in-black-sea, https://www.newscientist.com/article/2143499-ships-fooled-in-gps-spoofing-attack-suggest-russian-cyberweapon/
GPS-störningarna drabbar ryssarna själva: http://www.bbc.com/news/technology-42633024

++>++ Historik

Atomurmakaren: https://www.idg.se/2.1085/1.443818/i-atomurmakarens-verkstad
Tidslagrets uppbyggnadsskede: https://www.sunet.se/blogg/vad-ar-klockan-egentligen/