Seite 2: Zweimal Zeitenwende: Erst 9/11, dann Ukrainekrieg

Inhaltsverzeichnis

Als Zeitenwende gilt der Ukrainekrieg – und der Anhörungstext der FCC legt nahe, dass es eine solche auch für das Thema Routing-Sicherheit geben könnte. Beobachter in den USA und auch in Deutschland schütteln den Kopf, warnen gar vor Kurzschlussreaktionen, wie der APNIC-Chefwissenschaftler Geoff Huston in seiner vor wenigen Tagen veröffentlichten Stellungnahme. Er ermutige die FCC, schreibt Huston unmissverständlich, den aktuellen Rufen nach sofortigen Lösungen zu widerstehen und anzuerkennen, dass Routing Security ein komplexes Thema ist, das Zeit und Anstrengungen erfordert.

Huston gehörte zum Kreis derer, die vor knapp 20 Jahren an den Standards zur Verbesserung der Sicherheit im Routing-System mitgearbeitet haben. Er war unter anderem Vorsitzender der Secure Inter-Domain Routing (SIDR), die die kryptographische Absicherung des Routing-Systems in zwei Basis Standard Suits für die Routing-Security goss, Routing PKI und BGPsec.

Die Arbeiten waren Ergebnis einer anderen Zeitenwende vor 21 Jahren, sagte Rüdiger Volk im Interview über die Internet-Grundlagen. Nachdem Anschlag vom 11. September "haben US-Behörden im großen Stil die Arbeiten an der kryptographischen Absicherung des Routing System gesponsort", erinnert er sich.

Erste Arbeiten hatten Vertreter des Unternehmens Bolt Beranek and Newmann (BBN) bereits vor der Jahrtausendwende in Angriff genommen. Am Rande eines Treffens der North American Network Operator Group (NANOG) 2002 in Eugene habe BBN Entwickler Steve Kent einer Handvoll von Operatoren eine erste Implementierung von dem "zum Spielen" gegeben, was in den Folgejahren zu BGPsec und RPKI wurde. Er habe sich damals im Raum umgesehen, sagt Volk. "Es waren außer mir keine Europäer mit von der Partie."

Reine US-Angelegenheit

Auch das Sponsoring für die Entwicklung der einschlägigen Standards war eine reine US-Angelegenheit. Geld für Secure Routing kam etwa vom neu geschaffenen Department of Homeland Security, das sich zusammen mit dem National Institutes of Standard and Technology (NIST) des Themas Routing Security annahm.

Die Finanzierung aus US-Töpfen erlaubte einer Gruppe von Security-Experten, Router-Herstellern, Netzbetreibern und Wissenschaftlern, die Standardisierung in der Internet Engineering Task Force rasch voranzutreiben. Aber der warme Regen durch die Finanzierung der Entwicklungs- und auch Implementierungsarbeit durch die US-Behörden hatte auch Nachteile, schreibt der Australier Huston jetzt rückblickend an die FCC. "Viele der inhärenten Schwächen im Design der aktuellen BGP Sicherheitsmechanismen sind auf den aggressiven Finanzierungsplan des Department of Homeland zurückzuführen, das Mitte des ersten Jahrzehnts der 2000er die Entwicklung von BGPsec förderte", schreibt Huston.

Randy Bush, kurze Zeit bei AT&T für das Thema zuständig, davor einer der Gründer von Verio (heute NTT/Verio) und heute Netzbetreiber und Entwickler für die Internet Initiative Japan, Japans ersten kommerziellen ISP, bestätigt diese Beobachtung. Es waren, erinnert sich der Autor vieler RFCs zu Routing-Security, andere Lösungen denkbar bei der Absicherung. Statt der Public Key Infrastruktur-Lösung X509 wäre auch ein weniger hierarchisches, dezentrales Web of Trust-Modell in Frage gekommen. Doch drückten Vertreter von BBN aufs Tempo und bezeichneten die Web of Trust-Lösung als noch zu Forschungs-intensiv. Er ist sich fast sicher, dass hier auch die Interessen von Geheimdienstseite eine Rolle gespielt haben.

Zentrale Root-Instanz? Danke, nein

Noch etwas hätte Bush – und viele andere – ursprünglich gerne gesehen: eine klar hierarchische Struktur der Wurzelzertifikate, praktisch analog zur DNSSEC-Hierarchie, die bis hinauf zur Root reicht und durch diese Zusammenführung das Validieren einfacher macht. Doch diese Variante fanden einige Netzadministratoren und auch den RIRs nicht so gut, wären sie damit doch abhängig geworden von dieser zentralen Wurzelinstanz. Die logische Stelle dafür wäre die Internet Assigned Numbers Authority (IANA) gewesen, denn von ihr werden große IP-Adressblöcke an die RIRs nach unten gereicht.

Zu groß war da gerade in Europa die Sorge, dass durch mögliche legalistische oder juristische Interventionen in den USA Zertifikate für ungültig erklärt werden könnten. Schon die Gefahr von Eingriffen niederländischer Strafverfolger und Gerichte bekam das RIPE NCC, der operative Arm des RIPE, vor einigen Jahren zu spüren. Wird wirklich überall signiert und validiert, kann sich das Ungültigmachen eines Zertifikats dramatisch für den betroffenen Operator auswirken. Plötzlich wären Sanktionen gegen russische Provider – wenn auch in unvollständiger Form – doch denkbar.