Netzbetreiber wollen Routen sichern

"So schnell wie möglich" wollen einige Experten die Routen im Netz mit Zertifikaten sichern. Eine Gruppe großer Netzbetreiber hat sich im Rahmen einer Expertenrunde unter dem Dach der Internet Society (ISOC) auf Routing-PKI-System (RPKI) für mehr Sicherheit im Netz verständigt (PDF-Datei). Beim 76. Treffen der Internet Engineering Task Force (IETF) in Hiroshima stellten John Schnizlein von der ISOC und Rüdiger Volk, Routing-Experte der Deutschen Telekom, die Ergebnisse der Aussprache zwischen AT&T, Sprint, Microsoft, NTT, Google, Verizon und der DTAG vor.

Einig seien sich die Unternehmensvertreter unter anderem darin gewesen, dass eine Authentifizierung sowohl für IPv4 als auch die neuen IPv6-Adressen notwendig sei, berichtete Schnizlein. Die von der IP-Adressvergabestelle RIPE ausgegebenen und mit einem klassischen Public-Private-Key-System abgesicherten Zertifikate für IP-Adressblöcke sind aus Sicht der großen Unternehmen der richtige Weg. Das Umbiegen von Routen soll damit deutlich erschwert werden. Nur wer ein valides Zertifikat vorweisen kann, soll künftig geroutet werden. Die Absicherung mit PKI erfordere ein einheitliches System über alle IP-Adressressourcen weltweit, konstatierten die Netzwerkbetreiber, und auch das Ausmisten der bestehenden IPv4 und IPv6-Datenbanken.

Die Standardisierungsarbeiten für die Architektur und die verschiedenen Einzelteile für RPKI bei der IETF ist in vollem Gang, wenn auch lange noch nicht so fortgeschritten, wie sich das manche der Netzbetreiber wünschen. Einige Fragen sind noch offen, so etwa wie Zertifikate zurückgezogen werden können und wie widersprüchliche Aussagen dazu gegenüber der zertifizierenden Stelle abgearbeitet werden können.

Gegenstimmen warnen vor dem Verlust des offenen Routing-Sytstems und davor, Dritten — etwa Strafverfolgungsbehörden — den Zugriff zu erleichtern. Immer wieder wird von RPKI-Kritikern in der IETF auch darauf hingewiesen, dass die Authentifizierung der Inhaber Angriffe auf dem Weg zwischen Ursprungs- und Bestimmungsort des Datenverkehrs nicht verhindern. Langfristig will man dafür das Routingprotokoll BGP nachrüsten. Schnizlein sagte gegenüber heise online, die ISOC sei bereits gefragt worden, ob sie ein weiteres Treffen machen könne, um über eine raschere Absicherung der Routingpfade zu diskutieren, wenn auch zunächst ohne Veränderungen von BGP.

Dass sich ein so ein kleiner Kreis unter Ausschluss der Öffentlichkeit und mit Non-Disclosure-Absprachen unter den Mitgliedern zu dem sensiblen Thema getroffen hat, gefiel dabei nicht allen Teilnehmern des IETF-Treffens. Die Antwort auf einige Fragen bleiben die Entwickler weiter schuldig. Zum Beispiel die Frage, ob es eine zentrale Stelle für die Zertifikate geben soll, etwa bei der Adressvergabestelle Internet Assigned Numbers Authority (IANA), die von der Internet Corporation for Assigned Numbers (ICANN) betrieben wird. In dieser Streitfrage waren sich auch die großen Netzbetreiber alles andere als einig, sagte Schnizlein.

Eine Reihe weiterer heikler Fragen müssen Entwickler und Betreiber noch klären, etwa wie viele und welche Verschlüsselungsalgorithmen zugelassen werden sollen. Am liebsten zwei sähe gerne Tim Polk vom US National Institute for Standards and Technology (NIST), einer der Chefs für Standards im Bereich Sicherheit bei der IETF. Im Auge hat Polk dabei den bereits von den Entwicklern festgelegten Standard SHA 256 beziehungsweise SHA 512 sowie den "Elliptic Curve Digital Signature Algorithm" (ECDSA), der bei der IETF auch für die zentrale Absicherung von Domains im Gespräch ist.

(vbr)