Friedensangebot oder Kniefall: IETF streitet über Auskunftspflicht von Datenpaketen gegenüber Firewalls

Die Enthüllungen von Edward Snowden und der Skandal um anhaltendes Ausspähen von Daten durch Geheimdienste haben den Trend zur Datenverschlüsselung erheblich verstärkt. Daher können aber Firewalls, Network-Adress-Translation-Elemente (NAT) und andere Middleboxen plötzlich in viele Datenpakete nicht mehr hineinschauen – was aber manche Netzbetreiber im Rahmen der Aufgaben zur Verkehrssteuerung von den Geräten fordern.

Vertreter von Cisco, Google, Microsoft und der Uni Zürich legten jetzt einen Vorschlag für ein Protokoll vor, das den neugierigen Mittelboxen auf halbem Weg entgegenkommen will – indem es aktiv Auskunft über den Inhalt erteilt. Das Konzept lässt an den 2010 verstorbenen Senator Ted Stevens denken, der das Bild vom Internet als "series of tubes" geprägt hat – eine Reihe von miteinander verbundenen Röhren. Aber ist dieses Substrate Protocol for User Datagrams (SPUD), wie die Befürworter sagen, ein Friedensangebot an die Firewalls? Oder als neuer Kanal für Meta-Informationen über Datenpakete doch eher ein Kniefall vor ihnen?

Hilfe, der Stack ist kaputt

Innovationen auf der Ebene der Transportprotokolle im Internet sind eine harte Nuss. Statt echter Neuerungen sind in den vergangenen Jahren immer wieder Speziallösungen etwa für Real Time Communication (RTC) an TCP angeklebt worden. Zur RTCWeb-Suite gehört daher beispielsweise ein Vorschlag zur Encapsulation des SCTP über DTLS über ICE/UDP – zur Überwindung der NAT. "Im Klartext heißt das, Hilfe, der Stack ist kaputt," diagnostiziert Brian Trammell, Forscher am Institut für Technische Informatik und Kommunikation der ETH Zürich. "Wir wollen helfen."

Zu einem neuen Transportprotokoll hat es freilich nicht gereicht. Zusammen mit Joe Hildebrand, Cisco, Ted Hardie, Google und Bernhard Huitema und Microsoft präsentierte Trammell der IETF vielmehr den Vorschlag für eine Art Zwischenschicht. Basierend auf dem UDP, der Transportprotokoll-Alternative zu TCP, soll das Substrate Protocol for User Datagrams (SPUD) unter anderem zusammenhängende Datenpakete gruppieren. Per Magic Number (einer 32-Bit-Nummer) weisen sie sich als SPUD-Pakete aus und bringen Markierungen für Anfang und Ende einer Paketgruppe mit sowie eine Reihe von Informationen über die Natur der Daten in der Tube.

Das erklärte Ziel, so erläuterte Hildebrand bei der IETF 92 in Dallas, sei, Mittelboxen das Netzmanagement unter Verzicht auf Deep Packet Inspection zu ermöglichen. Abgesehen von der Gruppierung könne man mit Spud "dem Netzwerk ein paar Dinge preisgeben, um dafür transportiert zu werden". Die verschlüsselten Inhalte blieben unberührt, die Analyse per Deep Packet Inspection könne gar abgewendet werden. Überdies, so die Hoffnung der Entwickler, könne auch der Pfad selbst, also der "Netzwerk-Manager", die Applikation am Informationsfluss teilhaben lassen, etwa indem er über Auslastungen oder Kapazitätsprobleme berichtet.

SPUD würde das Internet komplett verändern

Sichergestellt werden müsse dabei jedoch, mahnte Hardie, dass in dem so geschaffenen Seitenkanal nicht plötzlich eine Menge Daten landeten, die man vorher eigens verschlüsselt habe. "Setzen Sie ihren Namen nicht auf Mr. Kartoffelkopf", warnte Hardie unter Anspielung auf eine US-Comic-Serie. Huitema schlug daher auch die Verwendung der für UDP angepassten TLS-Verschlüsselung DTLS vor.

Dennoch hagelte es viel Kritik am Spud-Konzept. "Das würde das Gesicht des Internet komplett verändern", warnte Mark Nottingham vom Akamai. Ob ein eigener Kanal für Meta-Informationen über Datenpakete geschaffen werde, müsse breit und also auch außerhalb der IETF diskutiert werden. Ein Einfallstor für Zensur könne die Auskunftsschicht werden, fürchten manche. Ein Teilnehmer sagte lakonisch, er werde "eben lügen", wenn er zur Auskunft verpflichtet würde. Im übrigen sehe er keinen Anlass, sich auf die Friedensverhandlungen einzulassen. Stattdessen solle man doch lieber die Klappe halten und alles verschlüsseln. Ob die IETF sich dafür entscheidet, SPUD weiterzuentwickeln, ist aktuell noch Gegenstand der Diskussion.

Middleboxen sind generell umstritten, weil sie zur Verkehrssteuerung Header-Informationen ungefragt, unangekündigt und unvorhersehbar verändern. Welche Informationen das betrifft und wie man Middleboxen aufspürt, erklärt der heise-Netze-Artikel "Middleboxen verkalken das Internet". (dz)