Eigentumsnachweise für IP-Adressen verfügbar
Nach dem Vorreiter APNIC bieten seit Anfang 2011 auch die europäische Adressvergabestellle RIPE NCC sowie AfriNIC und LACNIC Zertifikate für die von ihnen verwalteten IP-Adressen an, die Routing-Manipulationen verhindern sollen. Einzig die nordamerikanische Registry ARIN hat den Start verschoben.
- Monika Ermert
Am 3. Januar 2011 hat das RIPE NCC offiziell die neue Zeitrechnung im Internet-Routing gestartet. 73 der rund 7000 RIPE-Mitglieder haben seitdem ihre IP-Adressblöcke zertifizieren lassen. Das soll künftig das "Entführen" von Routen im Netz verhindern, aber auch schlicht fehlerhafte Adressierungen. Letztere führen häufiger als Hacks dazu, dass einzelne Sites kurzzeitig aus dem Netz verschwinden.
An der Public-Key-Infrastruktur (PKI) zur Absicherung der Routen wird seit vielen Jahren gearbeitet. Die digitalen Zertifikate sollen künftig automatisierte Prüfungen erlauben, ob derjenige, der eine Route bekannt gibt, dazu überhaupt autorisiert ist. Ursprünglich hatten alle fünf IP-Adressvergabestellen den offiziellen Start ihrer jeweiligen Resource-PKI für den 1. Januar 2011 vereinbart. AfriNIC, LACNIC und RIPE NCC starteten zum Jahresbeginn. APNIC bietet seinen Zertifizierungsdienst schon seit dem vergangenen Frühjahr an, 362 Mitglieder aus Asien und der Pazifikregion nutzen den Dienst bereits.
In der RIPE-Region sind es vor allem deutsche, tschechische und Schweizer Mitglieder, die sofort auf den RPKI-Zug aufgesprungen sind. Neben einzelnen großen Netzbetreibern wie KPN, Telia Sonera, Swisscom und Claranet sind es insbesondere kleinere Anbieter, die sich rasch ein Zertifikat besorgt haben, etwa der Mannheimer Anbieter "Home of the Brave" oder der Bempflinger Provider Nepustil. Auch der Bayerische Netzknoten BayCIX ist mit von der Partie. Zu den weiteren Pionieren zählen die Brüsseler Keytrade Bank, die Schweizer Post und die Luxemburger VoIPgate.
Die nordamerikanische IP-Registry ARIN hat als einzige einen Rückzieher gemacht und den Start erst fürs zweite Quartal angekündigt. Das System müsse noch um zusätzliche "Sicherheitsmaßnahmen" ergänzt werden, hieß es bei ARIN. Bemerkenswert, dass ausgerechnet die für die USA zuständige Registry noch abwartet, sind doch nicht zuletzt die Vereinigten Staaten ein großer Sponsor der bei der Internet Engineering Task Force (IETF) standardisierten Technologie. Doug Maughan, Direktor der Abteilung Cybersecurity des Wissenschaftsreferats beim Heimatschutzministerium, sagte in einem Interview mit der US-Journalistin Carolyn Duffy, eine Verpflichtung, RPKI für IP-Ressourcen der Verwaltung einzusetzen, sei angestrebt. Das Department of Homeland Security habe für die weitere Entwicklung von RPKI und einer sichereren Version des Routing-Protokolls BGP drei Millionen US-Dollar jährlich eingestellt.
Das National Institute of Standards and Technology (NIST) hat bereits testweise an der Zertifizierung teilgenommen. Es kann künftig seine Ressourcen selbst zertifizieren. Beim Test gehe es auch um einen Check der ersten Validierungstools, erläuterte Alex Band vom RIPE NCC. (un)
