<div dir="ltr">We should live with MD5/SHA1 in shared key protocol, for now, for reasons of compatibility, but document that we know it's not the current best practice.<div><br></div><div>Who maintains the leap-file?</div><div><br></div><div>..m</div></div><br><div class="gmail_quote"><div dir="ltr">On Mon, Mar 28, 2016 at 11:16 PM Hal Murray <<a href="mailto:hmurray@megapathdsl.net">hmurray@megapathdsl.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The current ntpd has a simple shared key setup to make sure the client is<br>
talking to the right server.  The payload is not encrypted.  This is<br>
authentication, not confidentiality.<br>
<br>
It uses MD5 or SHA1.  Those are getting a bit old.  We should probably update<br>
things.<br>
<br>
Is there a good list of what algorithms are currently thought to be secure?<br>
I think the code changes will be simple - libcrypto does all the work.  I<br>
don't know my way around that area, but I think I've seen an API to get a<br>
list of the algorithms it supports.<br>
<br>
Should we drop support for insecure algorithms, or retain it for backwards<br>
compatibility?<br>
<br>
Odds and ends:<br>
<br>
ntpd gets the SHA1 code from libcrypto from the openssl-libs package (on<br>
Fedora)<br>
There is MD5 code in libntp/a_md5encrypt.c, so you can use MD5 without<br>
libcrypto.<br>
<br>
Looks like there is also MD5 and SHA1 code in libisc<br>
They both use libcrypto is it's available, otherwise they provides real code.<br>
I don't think the MD5 code is ever used.  The SHA1 code is used to verify the<br>
leap-file.<br>
<br>
<br>
<br>
<br>
<br>
<br>
--<br>
These are my opinions.  I hate spam.<br>
<br>
<br>
<br>
_______________________________________________<br>
devel mailing list<br>
<a href="mailto:devel@ntpsec.org" target="_blank">devel@ntpsec.org</a><br>
<a href="http://lists.ntpsec.org/mailman/listinfo/devel" rel="noreferrer" target="_blank">http://lists.ntpsec.org/mailman/listinfo/devel</a><br>
</blockquote></div>