Internet mit nationalen Grenzen
Eine Gruppe von Wissenschaftlern schlägt eine komplett neue Internet-Architektur vor, unter anderem mit einem eigenen Adressformat.
Die europäische IP-Adressverwaltungsstelle RIPE hat eine ungewöhnliche Anfrage erhalten: Für den Aufbau eines "neuen Internet" brauchen die Macher von Scalabilty, Control, And Isolation on Next-Generation Networks, (SCION) auch neue Adressen. Könnte diese die europäische IP-Adressregistry RIPE ausgeben?
Das Border Gateway Protocol (BGP), über das sich Internet-Teilnetze von Firmen und Providern untereinander zum großen Internet verbinden, weist einige Sicherheitslücken auf. Beispielsweise lassen sich falsche BGP-Routen mit wenig Aufwand publizieren, sodass anschließend der Verkehr zu falschen Zielen geleitet wird (BGP-Hijacking, auch Prefix- oder Route-Hijacking genannt). Der Verkehr kann dann auf seinem Weg über die fremden Teilnetze ausspioniert werden. Abhilfe gegen dieses Szenario wurde zwar in Form der kryptografischen Absicherung der Routen per RPKI spezifiziert (BGP Route Origin Validation, ROV), aber RPKI verbreitet sich nur allmählich. Und von einem umfassenden Schutz des gesamten Pfades durch das alte Best-Effort-Internet ist man weit entfernt.
BGP-freies Internet
An dieser Stelle setzt SCION an (ursprünglich unter dem Label "Secure Communication Infrastructure for a Future Internet", SCI-FI angetreten). Statt Best-Effort-Routing werden die Übertragungspfade zwischen den Teilnetzen vorher festgelegt. Die Macher um den Schweizer Informatiker Adrian Perrig sprechen vom Path-aware Routing. Die Vorberechnung der Routen übernehmen zentrale Autonome Systeme (Core AS) für alle Teilnehmer innerhalb eines von ihnen verwalteten Teilnetzes (Isolation Domain, ISD), die Wurzel einer Trusted Domain ist.
Das Core AS in der ISD arbeitet als Vermittler, der für die Nutzer im ISD die Routen prüft und geeignete zur Auswahl vorschlägt. Das können ISD-interne Routen oder externe Routen zu anderen ISDs sein. Die Macher sehen es als Vorteil an, dass der interne Verkehr streng lokal abgewickelt werden kann und keine Umwege über externe ISDs nehmen muss.
Generell seien Isolation Domains (ISDs) dazu da, die Transparenz und Wahlfreiheit zu erhöhen und führen nicht grundsätzlich zu mehr Zensur oder Mauern als im heutigen Internet. Ein SCION AS kann an mehreren ISDs teilhaben, zum Beispiel neben einer globalen ISD auch an einer Google ISD, EU ISD, ICANN ISD und so weiter. Adrian Perrig fügt hinzu: "Während ISDs die Hoheit über ein Netz ermöglichen, bieten sie mehr Wahlfreiheit und Transparenz, denn man weiss bei jedem Vorgang genau welchen Vertrauensankern vertraut werden muss. Dank dieser Wahlfreiheit besteht in SCION auch weniger die Gefahr, dass die Kommunikation eingeschränkt werden könnte".
Adressformat mit zusätzlichem Feld
Die SCION-Adressen unterscheiden sich von IPv4- und IPv6-Adressen, erläuterte Perrig den Administratoren und Netzentwicklern bei der 81. RIPE-Konferenz Ende Oktober. Sie bestehen aus drei Teilen: Der erste Teil der Adresse ist die Nummer des ISD, der zweite die Nummer des AS und der letzte bezeichnet das Endsystem (vereinfachtes Beispiel: 1, 10, 1.2.3.4).
SCION ersetzt nicht die heutige IPv4/IPv6-Adressierung für Endhosts, sondern ergänzt diese durch eine explizite SCION-AS-Adressierung. SCION arbeitet ohne öffentliche Adressen, alle Hosts sitzen hinter den ISDs ihrer Provider. Öffentliche Server müsste man dabei also anhand der Adresse ihres ISDs ansprechen. Man brauche ein paar Bits mehr als klassische IPv4/IPv6-Adressen. Die Kommunikaton zwischen dem heutigen IP-Internet und SCION könnten Gateways vermitteln.
Souveräne Netzinseln
Die SCION-Entwickler versprechen "mehr Sicherheit und eine neue Souveränität für die unabhängigen ISD-Teilnetze". Und sie werben auch damit, dass mit SCION nationale Teilnetze aufgebaut werden könnten: "Ein mögliches Modell für ISDs wäre eine Gestaltung entlang nationaler Grenzen oder entlang der Grenzen von Staatenbündnissen, denn Parteien innerhalb eigener Jurisdiktionen können Verträge durchsetzen und sich auf eine Trusted Root Configuration (TRC) einigen."
Was aus Sicht der Macher ein Vorteil für die Betreiber ist, nämlich die Rückgewinnung der Souveränität über ihre Teilnetze und über die Wege, die der eigene Verkehr nimmt, macht andere besorgt. Denn die in den ISDs "regierenden" Core AS könnten beispielsweise nur ausgewählte Routen anbieten und den eingehenden und ausgehenden Verkehr nach eigenen Vorstellungen beschränken. Es entstehen, so sagt etwa der ehemalige Routing-Experte der DTAG, Rüdiger Volk, neue Kontrollpunkte.
Die Frage nach Zensur durch Regierungen erhalte man des öfteren, bestätigt Perrig. Doch dagegen sei SCION gewappnet. Die Endsysteme könnten die Core AS durch direkte Peerings umgehen (unter Einsatz von Local Path Servern des Providers). Das Belauschen verhindert die heute schon gängige TLS-Verschlüsselung. Anonymität könnten zusätzliche Erweiterungen gewährleisten, so das Versprechen.
David Hausheer, ebenfalls maßgeblich am SCION-Projekt beteiligt, ergänzt: "Offenheit und Transparenz sind zwei der zentralen Eigenschaften, die erst durch SCION gewährleistet werden." Diesem Thema widmet sich auch das Buch SCION: A Secure Internet Architecture. Unter anderem heißt es dort: "Obwohl eine ISD die Isolierung vor anderen Netzen garantiert, ist der zentrale Zweck einer ISD Transparenz zu schaffen und heterogene Vertrauensumgebungen zu unterstützen. Während es also scheint, dass ISDs zu einer Balkanisierung führen und ein offenes Internet verhindern könnten, gewährleisten sie kontra-intuitiv Offenheit und Transparenz."
Hilfe von den IP-Adressverwaltern?
Derzeit sind rund 600 SCION-Endnutzer in 36 ISDs aktiv. Die ETH-Ausgründung Anapaya versorgt Rechenzentren mit SCION-Zugangspunkten. Im Pilotbetrieb sind die Swisscom, das Schweizer Forschungsnetz SWITCH, das DFN und vier Schweizer Banken dabei. Bisher teilt Anapaya die erforderlichen AS-Adressen selbst zu. Die SCION-Wissenschaftler suchen aber Unterstützung. Bei der RIPE-Konferenz fragte David Hausheer von der Otto-von-Guericke-Universität Magdeburg, ob das NCC, der operative Arm des RIPE, solche neuen Adressen ausgeben könne.
Daniel Karrenberg, Chefwissenschaftler des RIPE NCC antwortete: "Ob sich das RIPE NCC an einem Pilotprojekt beteiligt, müssen die RIPE-Mitglieder entscheiden." Nicht glücklich sei man aber damit, dass SCION seine eigene Standardisierungsorganisation in Form einer Stiftung aufmachen will, kritisierte Karrenbergs Kollege Marco Hogewoning. Man habe sowohl in Richtung IETF als auch in Richtung International Telecommunication Union (ITU) die Fühler ausgestreckt, berichteten die SCION-Entwickler. Lieber wolle man das neue Internet aber doch in eigener Hand behalten.
[Update]: 17.11.2020, 15:10, Konzept Isolation Domains und Core AS umfassend erweitert, SCION-Adressierung korrigiert
(dz)
