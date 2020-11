Die europäische IP-Adressverwaltungsstelle RIPE hat eine ungewöhnliche Anfrage erhalten: Für den Aufbau eines "neuen Internet" brauchen die Macher von Scalabilty, Control, And Isolation on Next-Generation Networks, (SCION) auch neue Adressen. Könnte diese die europäische IP-Adressregistry RIPE ausgeben?

Das Border Gateway Protocol (BGP), über das sich Internet-Teilnetze von Firmen und Providern untereinander zum großen Internet verbinden, weist einige Sicherheitslücken auf. Beispielsweise lassen sich falsche BGP-Routen mit wenig Aufwand publizieren, sodass anschließend der Verkehr zu falschen Zielen geleitet wird (BGP-Hijacking, auch Prefix- oder Route-Hijacking genannt). Der Verkehr kann dann auf seinem Weg über die fremden Teilnetze ausspioniert werden. Abhilfe gegen dieses Szenario wurde zwar in Form der kryptografischen Absicherung der Routen per RPKI spezifiziert (BGP Route Origin Validation, ROV), aber RPKI verbreitet sich nur allmählich. Und von einem umfassenden Schutz des gesamten Pfades durch das alte Best-Effort-Internet ist man weit entfernt.

BGP-freies Internet

An dieser Stelle setzt SCION an (ursprünglich unter dem Label "Secure Communication Infrastructure for a Future Internet", SCI-FI angetreten). Statt Best-Effort-Routing werden die Übertragungspfade zwischen den Teilnetzen vorher festgelegt. Die Macher um den Schweizer Informatiker Adrian Perrig sprechen vom Path-aware Routing. Die Vorberechnung der Routen übernehmen zentrale Autonome Systeme (Core AS) für alle Teilnehmer innerhalb eines von ihnen verwalteten Teilnetzes (Isolation Domain, ISD), die Wurzel einer Trusted Domain ist.

Das klassische Modell, bei dem sich jeder Internet-Host beliebig mit allen anderen Endpunkten im Internet verbinden kann, gibt es bei SCION nicht. Stattdessen arbeitet das Core AS in der ISD als Vermittler, der für die Nutzer im ISD die Routen prüft und geeignete zur Auswahl vorschlägt. Das können ISD-interne Routen oder externe Routen zu anderen ISDs sein. Die Macher sehen es als Vorteil an, dass der interne Verkehr streng lokal abgewickelt werden kann und keine Umwege über externe ISDs nehmen muss.

Keine öffentlichen Adressen für Endpunkte

Die SCION-Adressen unterscheiden sich von IPv4- und IPv6-Adressen, erläuterte Perrig den Administratoren und Netzentwicklern bei der 81. RIPE-Konferenz Ende Oktober. Sie bestehen aus drei Teilen: Der erste Teil der Adresse ist die Nummer des ISD, der zweite die Nummer des AS und der letzte bezeichnet das Endsystem (vereinfachtes Beispiel: 1, 10, 1.2.3.4).

SCION arbeitet ohne öffentliche Adressen, alle Hosts sitzen hinter den ISDs ihrer Provider. Öffentliche Server müsste man dabei also anhand der Adresse ihres ISDs ansprechen. Man brauche aber ein paar Bits mehr als klassische IPv4/IPv6-Adressen. Die Kommunikaton zwischen dem heutigen IP-Internet und SCION könnten Gateways vermitteln.

Souveräne Netzinseln

Die SCION-Entwickler versprechen "mehr Sicherheit und eine neue Souveränität für die unabhängigen ISD-Teilnetze". Und sie werben auch damit, dass mit SCION nationale Teilnetze aufgebaut werden könnten: "Ein mögliches Modell für ISDs wäre eine Gestaltung entlang nationaler Grenzen oder entlang der Grenzen von Staatenbündnissen, denn Parteien innerhalb eigener Jurisdiktionen können Verträge durchsetzen und sich auf eine Trusted Root Configuration (TRC) einigen."

Was aus Sicht der Macher ein Vorteil für die Betreiber ist, nämlich die Rückgewinnung der Souveränität über ihre Teilnetze und über die Wege, die der eigene Verkehr nimmt, macht andere besorgt. Denn die in den ISDs "regierenden" Core AS könnten beispielsweise nur ausgewählte Routen anbieten und den eingehenden und ausgehenden Verkehr nach eigenen Vorstellungen beschränken. Es entstehen, so sagt etwa der ehemalige Routing-Experte der DTAG, Rüdiger Volk, neue Kontrollpunkte.

Die Frage nach Zensur durch Regierungen erhalte man des öfteren, bestätigt Perrig. Doch dagegen sei SCION gewappnet. Die Endsysteme könnten die Core AS durch direkte Peerings umgehen (unter Einsatz von Local Path Servern des Providers). Das Belauschen verhindert die heute schon gängige TLS-Verschlüsselung. Anonymität könnten zusätzliche Erweiterungen gewährleisten, so das Versprechen.

Hilfe von den IP-Adressverwaltern?

Derzeit sind rund 600 SCION-Endnutzer in 36 ISDs aktiv. Die ETH-Ausgründung Anapaya versorgt Rechenzentren mit SCION-Zugangspunkten. Im Pilotbetrieb sind die Swisscom, das Schweizer Forschungsnetz SWITCH, das DFN und vier Schweizer Banken dabei. Bisher teilt Anapaya die erforderlichen AS-Adressen selbst zu. Die SCION-Wissenschaftler suchen aber Unterstützung. Bei der RIPE-Konferenz fragte David Hausheer von der Otto-von-Guerike-Universität Magdeburg, ob das NCC, der operative Arm des RIPE, solche neuen Adressen ausgeben könne.

Daniel Karrenberg, Chefwissenschaftler des RIPE NCC antwortete: "Ob sich das RIPE NCC an einem Pilotprojekt beteiligt, müssen die RIPE-Mitglieder entscheiden." Nicht glücklich sei man aber damit, dass SCION seine eigene Standardisierungsorganisation in Form einer Stiftung aufmachen will, kritisierte Karrenbergs Kollege Marco Hogewoning. Man habe sowohl in Richtung IETF als auch in Richtung International Telecommunication Union (ITU) die Fühler ausgestreckt, berichteten die SCION-Entwickler. Lieber wolle man das neue Internet aber doch in eigener Hand behalten.

