Diskussion über zentralen Schlüssel für Routing-Zertifikate

Die Direktoren der Internet Corporation for Assigned Names and Numbers (ICANN) haben vorige Woche grünes Licht für den Aufbau einer zentralen Infrastruktur für das Zertifikatsmanagement zur Absicherung des Routing-Systems gegeben. Nach der Sicherung von Domains gegen Man-in-the-Middle-Attacken mittels DNSSEC sollen künftig auch die BGP-Routen gegen fehlerhafte oder absichtliche Manipulationen geschützt werden.

Seit etwa 2006 haben die verschiedenen regionalen IP-Adressverwalter (RIRs) an Zertifizierungsarchitekturen für Adressressourcen, dem "Routing PKI" (RPKI), gearbeitet. Ein Vertreter der Dachorganisation der Adressverwalter, der Number Ressource Organisation (NRO), warnte nun, dass es für eine zentrale Wurzel bei der von der ICANN betriebenen Internet Assigned Numbers Authority (IANA) noch keinen abschließenden Konsens gibt.

Wie schon bei DNSSEC ist die Frage des Vertrauens in einen zentralen Schlüsselwächter in den USA zentral. Unter anderem haben russische Vertreter offenbar Bedenken bei der Vorstellung, dass künftig auch der Masterschlüssel für das Routing-System in den USA liegt. Die US-Behörden, die selbst massiv auf die Einführung von DNSSEC drängten, hatten einer möglichen verteilten Zertifizierungsinfrastruktur für die zentrale Rootzone des Domain Name System bislang eine Absage erteilt.

Das Konzept einer dezentralen Infrastruktur verfolgen bislang die regionalen IP-Adressverwalter für RPKI. 2009 hatten sie das Konzept eines zentralen Schlüsselmanagements bei der IANA zwar als logisch und technisch elegant, jedoch auch als kurzfristig nicht umsetzbar bezeichnet. Jede der fünf RIRs tritt aktuell also als Betreiber des eigenen Wurzelzertifikats auf. Beim für Europa zuständigen IP-Adressverwalter RIPE wurde im Frühjahr überdies auch noch einmal heftig diskutiert, inwieweit die RPKI-Zertifizierung die Adressverwaltungen zu sehr ins Fadenkreuz möglicher Strafverfolgungsaktivitäten rücken könnte.

Während derzeit nämlich jeder Netzbetreiber oder Provider selbst entscheidet, welchen annoncierten Adressbereichen er vertraut, erlauben widerrufene Zertifikate künftig das Aussperren von Adressbereichen. Für Behörden – oder als Strafmaßnahme der Adressverwalter gegen säumige Beitragszahler – könnte sich damit eine Chance ergeben, das Routing zu kontrollieren. Zwar gilt dies nur, wenn die Netzbetreiber völlig automatisch die entsprechenden Information in ihre Routingtabellen einspeisen. Beim RIPE sollen dennoch im Oktober noch einmal ausführlich die Chancen und Risiken von RPKI debattiert werden, so Axel Pawlik, Geschäftsführer des RIPE NCC.

Pawlik rief vorige Woche auf dem Treffen in Singapur die ICANN-Spitze auf, die Diskussionen und Entscheidungen der Selbstverwaltungen der RIRs abzuwarten. Es gebe noch keinen Auftrag an die ICANN, tatsächlich eine zentrale Infrastruktur zu schaffen. Vielmehr habe sich die NRO im Frühjahr mit der Bitte um erste Gespräche an die ICANN gewandt. "Für uns ist von entscheidender Bedeutung, dass alles, was wir machen, von der Basis entwickelt wird", sagte Pawlik gegenüber heise online. Dieses Prinzip der Selbstverwaltung schließe selbstverständlich auch die ICANN mit ein. Nach den Debatten beim RIPE sei es nämlich gut möglich, dass sich die ISPs gegen ein zentralisierte Schlüsselarchitektur entscheiden. Auch die beim RIPE angelaufene Nutzung von RPKI – bis zum vergangenen Monat ließen rund 500 RIPE-Mitglieder ihre Adressressourcen zertifizieren – stehe aktuell noch unter dem Vorbehalt weiterer Diskussionen der RIPE-Mitgliedschaft. (anw)