[26]
Lorsque l'on dispose d'une horloge répartie comme celle fournie par NTP [28, 27], qui assure (statistiquement) un décalage inférieur à 5 minutes entre toutes les horloges d'un vaste domaine, on peut estimer que le problème de la fraîcheur des messages s'en trouve résolu. C'est par exemple le choix des concepteurs de Kerberos (cf. partie 8). Nous pensons que ce choix n'est pas heureux.
En premier lieu, il est usuellement admis que l'utilisation d'un mécanisme probabiliste comme la synchronisation d'horloge doit être limitée au rôle d'un heuristique, qui permet certes une accélération extraordinaire dans le traitement des cas ordinaires, mais dont il est exclus de faire dépendre la correction d'un protocole [22]
En second lieu, il ne nous semble pas judicieux que la sécurité d'un protocole prévu pour la sécurité dépende de la sécurité d'un protocole prévu pour autre chose. Il est certes exact qu'il est d'une part difficile de perturber l'horloge d'un serveur de façon à lui faire accepter pour récent un message passé. Il est non moins vrai d'autre part que ce même serveur sera alors déphasé par rapport aux autres, et par la même empêché d'en requérir les services, ce qui paralysera peut-être l'intrus.
Nous pensons néanmoins que les expertises nécessaires n'ont pas été menées à une échelle géographique suffisante, ne serait-ce parce que NTP est apparu après Kerberos ...
Les études menées lors de l'implémentation de NTP tendaient à montrer que la question d'une datation précise n'était pas nécessairement 'l'enfant chéri" d'une proportion importante de sites touchés par l'enquête. Il nous semble donc, en l'absence de nouvelles expérimentations, que l'utilisation à la Kerberos d'une horloge distribuée revient à passer un compromis dont les termes ne sont pas clairs.