RIPE: IP-Routen werden weiterhin gesichert

Mit 120 gegen 116 Stimmen hat sich das RIPE, die für Europa und den Nahen Osten zuständige IP-Adressverwaltung, am Donnerstag in Wien dafür entschieden, ein Zertifizierungssystem zum Sichern der Internetrouten (RPKI, Resource Public Key Infrastrukture) fortzuführen. Ein Teil der RIPE-Mitglieder hatte gefordert, das System wegen der befürchteten Kontrollierbarkeit allen Internetverkehrs komplett zu stoppen. Der Kompromiss, die Zertifizierung fort-, aber die auf Zertifikate aufbauenden Route Origin Authorizations (ROA) auszusetzen, scheiterte bei vier Stimmen Unterschied.

Vor der Kampfabstimmung hatte es mehrere Tage lang heftige Debatten um RPKI gegeben, unter anderem weil das RIPE NCC (Network Coordination Centre) die Technik bislang ohne eine von den Mitgliedern verabschiedete Richtlinie vorangetrieben hat. "Wir haben noch nicht einmal einen Vorschlag für Regeln dazu auf dem Tisch", sagte Malcolm Hutty vom Internetknoten LINX, Präsident des Providerverbands EuroISPA. Angesichts der fundamentalen Veränderung, die kryptografisch gesichertes Routing für das Internet bringe, sei das inakzeptabel.

Das RIPE NCC zertifiziert bereits seit Januar 2011 auf Wunsch IP-Adressblöcke seiner Mitglieder. Mit diesen X.509-Zertifikaten können sie anschließend ROAs beim NCC hinterlegen, über die sich die Authentizität der Routen prüfen lässt. Vergleichbar zur Absicherung des Domain Name System (DNS) mit dem ebenfalls auf Zertifikaten basierenden DNSSEC-Protokoll soll künftig unzulässiges Umleiten von Datenverkehr unterbunden werden, sei es durch gezielte Attacken oder aktuell noch häufigere Fehlkonfigurationen. Andererseits kann das RIPE durch Devalidieren von Routen auch gebührensäumige Mitglieder vom Internet abhängen. Die RPKI-Gegner fürchten aber viel mehr, dass das Routing dadurch zu einem attraktiven Ziel für "Attacken" der Strafverfolger wird.

Bislang seien Forderungen, das RIPE NCC müsse potenziellen Übeltätern die Routen abschneiden, an fehlender Wirksamkeit dieser Maßnahme gescheitert: Weil das Routing wie ein Peer-to-Peer-Netz funktioniert, sorgte ein Routen-Widerruf aus einer Ecke des Netzes nicht dafür, dass die Zieladressen unerreichbar wurden. Netzbetreiber und Service Provider blieben weiterhin die Herren ihrer eigenen Routingtabellen, versicherten zwei beim RIPE-Treffen gegen Hutty aufgebotene US-Experten, die die RPKI-Standards in der Internet Engineering Task Force (IETF) maßgeblich mitentwickelt haben. Die Provider könnten nach wie vor zentral ausgegebene Sichten aufs Routingsystem in ihren eigenen Routing-Tabellen überschreiben.

Doch viele Netzwerkexperten blieben skeptisch: "Was macht die Befürworter so sicher, dass ihnen das System nicht irgendwann von staatlichen Stellen aus der Hand genommen wird?“, fragte Sascha Luck vom Cork Internet Exchange. Auch Staatsvertreter, die befürchten, dass das Wurzelzertifikat in den USA beim obersten IP-Adressverwalter IANA aufgehängt werden könnte, zeigten sich wenig begeistert. In einem Schreiben an den Regierungsbeirat des IANA-Betreibers ICANN, das heise online vorliegt, forderte der russische Telecom-Regulierer, "schwerwiegende negative Auswirkungen einer prompten Einführung neuer technologischer Hierarchien zu verhindern". Bevor durch RPKI und die noch zu entwickelnde Sicherung der Routingpfade mittels BGPSEC das Verhältnis der das Internet bildenden Autonomen Systeme massiv verändert werde, sollten erst einmal Studien zu verschiedenen Alternativen sicheren Routings vorliegen.

Immo Wehrenberg vom Dortmunder Provider rrbone empfahl, Providern mehrere Routing Trust Anchors zur Verfügung zu stellen. Nicht nur das RIPE NCC, sondern verschiedene Organisationen in verschiedenen Jurisdiktionen sollten jeweils aktuelle Sichten auf das Routingsystem anbieten, möglicherweise gerade auch kritische Organisationen wie die Electronic Frontier Foundation (EFF) oder der Chaos Computer Club. Alternative Registries müssten aktuelle Devalidierungen bei Updates jeweils überprüfen. Von einem automatisierten Abgleich der verschiedenen Routingsichten im Stil eines von den Security-Experten als "m of n" bezeichneten Systems riet RPKI-Entwickler Steve Kent von BBN allerdings ab. Das sei wegen der Dynamik des Systems und der damit nötigen Rechenleistung zu aufwendig. Die Skeptiker könnten sich gern bei der EFF bedienen, aber dann eben bitte nur dort. (ea)