Menü

RPKI: Angst vor einem Staatshack

Von
vorlesen Drucken Kommentare lesen 4 Beiträge

Auf dem 87. Treffen der Internet Engineering Task Force (IETF) wurden vergangene Woche in Berlin auch mögliche Folgen der Einführung der RPKI-Technik diskutiert. Mittels RPKI lassen sich annoncierte BGP-Routen automatisch prüfen und das Kapern von Routen wie im berüchtigten Youtube-Fall verhindern. Entsprechend ausgerüstete Router nutzten aber nur per RPKI abgesicherte Routing-Informationen und verwerfen ungesicherte. Das chinesische Militär, so wurde von den Experten kolportiert, habe nun Bedenken, dass die Technik missbraucht werden könnte: Deren RPKI-Zertifikate könnten Ziel von Attacken werden. Beispielsweise kann der Widerruf der Zertifikate dazu führen, dass ein IP-Adressbereich nicht mehr von überall aus erreichbar ist.

Bislang war dies vor allem als ein Angriffsszenario "Strafverfolger gegen Straftäter" diskutiert worden. Doch mit dem Start der RPKI-Technik rückt auch der "Hack" einer Regierung gegen eine andere ins Blickfeld. Feindliche Einflussnahme auf Routingeinträge sei nicht nur durch den Widerruf der Basiszertifikate, sondern auch der darauf aufbauenden Routing-Origin-Announcement-Zertifikate möglich, warnte Steve Kent, Chefwissenschaflter bei der US-Technologieschmiede BBN. Auch das Löschen eines Zertifikats aus einer von vielen Parteien genutzten RPKI-Datenbank oder die Verbreitung eines konkurrierenden Schlüssels für denselben oder einen darunter liegenden Adressbereichs seien denbkare Angriffstechniken.

Innerhalb der eigenen Jurisdiktion könnten staatliche Stellen derartige Angriffe ausschließen, indem sie RPKI-Informationen national verbreiten, am besten gleich, indem sie Provider nur durch staatliche Stellen versorgen. Zu Ende gedacht, könnten Regierungen so aber selbst globale Routing-Tabellen manipulieren [-] das ist eine der Gefahren, vor denen RPKI-Kritiker schon gewarnt hatten.

Solche politischen Aspekte helfen dem als Absicherung fürs Routing-System gedachten RPKI-System nicht, räumt Matthias Wählisch ein. Die Einführung kommt seiner Meinung nach trotzdem gar nicht so schlecht voran. Dienstleister wie die Telekom, Facebook oder Mozilla hätten allesamt begonnen, ihre IP-Präfixe zu schützen. Rund 11 Prozent der IP-Adressbereiche in Lateinamerika (LACNIC) und rund 6 Prozent der Bereiche in Europa und dem Nahen Osten (RIPE) erlauben aktuell (PDF-Datei) eine Überprüfung der annoncierten IP-Adressbereiche mittels RPKI. Nordamerika (ARIN) liegt demgegenüber weit abgeschlagen bei nur 0,4 Prozent.

Mit RPKI habe sich die Qualität der Routing-Tabellen deutlich verbessert. Fehlkonfigurationen wie bei AT&T seien seltener. Der US-Netzbetreiber hatte während einer Testphase 2011 ein großes Präfix per RPKI gesichert, berichtete Wählisch. Weil jedoch Teilpräfixe für die Adressbereiche von Kunden fehlten, seien deren BGP-Updates plötzlich ungültig geworden. Eine ganze Reihe von Tools (PDF-Datei) sollen bei der Bewältigung solcher Kinderkrankheiten helfen. Wählisch hat gemeinsam mit Kollegen der Hochschule Hamburg eine Library zum Validieren und Monitoring der Zertifikate entwickelt. (dz)

Anzeige
Anzeige