Interview | 11. November 2019
«Selbst bestimmen, wie Daten fliessen.»
KURZINTERVIEW MIT PROF. DR. DAVID BASIN ETH ZÜRICH, INSTITUT FÜR INFORMATIONSSICHERHEIT
Welche Sicherheitsrisiken birgt der Datenaustausch über das heutige Internet?
Bedrohungen durch Sicherheitsrisiken sind mittlerweile allgegenwärtig. Dahinter stecken Akteure, die sich bereichern wollen oder Spionageabsichten hegen. Unternehmen werden gerne von ihnen ins Visier genommen: sei es direkt, indem ihre Ressourcen zum Zweck der Informationsgewinnung oder der Erpressung angegriffen werden, sei es durch Angriffe auf die Systeme und Dienste der Unternehmen, mit dem Ziel, deren Ruf zu schädigen. Extrem problematisch ist die Lage auch bei cyber-physischen Systemen, besonders, wenn ein Zugriff über das Internet möglich ist.
Bei der früheren Entwicklung des Internets spielten Sicherheitsaspekte keine große Rolle. Patches haben eine unsichere Grundlage, die einige der größten Sicherheitsrisiken des heutigen Internets unberücksichtigt lässt. Ein Beispiel: Das Border Gateway Protocol (BGP), das zusammen mit IP das Internet „zusammenhält“, besitzt ein Trust-Modell, das nach einer Art Mundpropaganda funktioniert.
Es hat sich schon häufig gezeigt, welche Schwächen das BGP aufweist. Erst kürzlich vergab ein Schweizer Colocation-Anbieter an einen chinesischen Internetprovider zahlreiche IP-Präfixe, die er gar nicht besaß. Der Internetprovider wiederum teilte diese erneut mit, wodurch riesige Datenmengen durch China geschickt wurden und damit zu einem Kompromittierungs- und Spionagerisiko führten.
Wie würde die neue Software-Architektur SCION das Internet sicherer machen?
Bei der Entwicklung der Architektur SCION war Sicherheit von Anfang an ein wichtiges Thema. Die Sender können selbst bestimmen, wie die Daten durch das Netzwerk fließen, wählen dabei aber aus einer Reihe von Netzwerkpfaden aus, die gewisse Richtlinien erfüllen. Sobald der Datenverkehr auf einen bestimmten Pfad gelenkt wurde, können Dritte ihn nicht mehr umleiten. Mithilfe einer Public-Key-Infrastruktur, der ein klar festgelegtes und verteiltes Trust-Modell zugrunde liegt, werden alle Netzwerkinformationen, wie Pfade oder Identitäten, zusätzlich kryptografisch geschützt (authentifiziert). Fester Bestandteil unserer Arbeit ist zudem der formelle Nachweis über die Sicherheitsmerkmale von SCION bis hin zur Überprüfung des auf den Routern ausgeführten Codes. So stärken wir das Vertrauen in das Protokoll und seine Implementierung.
Das sind nur einige Beispiele dafür, wie das Protokoll die Sicherheitslage verbessert. Wir haben die SCION-Architektur noch um viele Aspekte erweitert, zum Beispiel DDoS-Schutz durch wirksame Authentifizierung der Quelle und „versteckte Pfade“, kryptografisch geschützte Pfade und ein sicheres Kontrollnachrichtenprotokoll. Darüber hinaus haben wir zahlreiche Versuche und Auswertungen mit verschiedenen Industriepartnern durchgeführt, unter anderem mit Forschern von ABB.
Welches technologische Konzept verbirgt sich hinter den SCION-Diensten?
Ich stelle zunächst einmal die technischen Ideen vor und erkläre dann, was dahintersteckt.
Aus technischer Sicht wird mit SCION das Konzept einer Isolation Domain (ISD) eingeführt. Das ist ein grundlegender Baustein für Hochverfügbarkeit, Transparenz, Skalierbarkeit und Unterstützung von heterogenen Vertrauensbeziehungen. Eine ISD ist eine logische Gruppierung autonomer Netzwerke, auch autonome Systeme genannt. Der ISD liegt eine Richtlinie zugrunde, die Trust Root Configuration (TRC). Diese wird von den autonomen Systemen vergeben, die die ISD verwalten. Über die TRC werden die Roots of Trust festgelegt, die zur Validierung der Netzwerk- und Identitätsinformationen dienen. ISD bilden eine isolierte Netzwerkebene, auf die Außenstehende keinen Einfluss nehmen können.
SCION nutzt zwei Arten des Routings: innerhalb einer ISD und über mehrere ISD hinweg. Bei beiden Arten werden Path-segment Construction Beacons (PCB) verwendet, um die Netzwerkpfade zu finden. Dieser Vorgang wird als Beaconing bezeichnet. PCB sammeln kryptografisch geschützte Informationen von Netzwerkpfaden, während sie das Netzwerk durchlaufen. Sender ketten die Informationen aus den PCB aneinander und erstellen damit einen durchgängigen Netzwerkpfad, der eine Reihe von autonomen Systemen durchquert. Netzwerkpfade werden in den Headern der Datenpakete erfasst. Dieses Konzept nennen wir Packet-carried Forwarding State (PCFS). So können die Pakete auf ihrem Weg durch das Netzwerk nicht umgeleitet werden. Außerdem werden dadurch schnellere und zustandslose Router ermöglicht, die sich zudem einfach überprüfen lassen.
Ich fasse das Ganze noch einmal weniger technisch zusammen: Mit der Architektur SCION haben die Sender die Kontrolle über den Pfad. Das SCION-Internet unterscheidet sich vom heutigen Internet dadurch, dass der Sender steuert, wohin seine Daten fließen und wie sie dorthin gelangen. Zudem enthalten die Datenpakete durchgängige Netzwerkpfade. Somit ist sichergestellt, dass die Daten auch tatsächlich auf dem Netzwerkpfad übertragen werden, den der Benutzer ausgewählt hat. Wir sprechen davon, dass SCION Netzwerke mit „Pfadbewusstsein“ ermöglicht.
Dieses Pfadbewusstsein bietet zahlreiche Vorteile gegenüber herkömmlichen Netzwerken.
Geofencing: Die Sender haben die volle Kontrolle darüber, welche Netzwerke ihre Daten durchqueren. So können beispielsweise Richtlinien wie „Daten sollen in Europa bleiben“ oder „niemals ein chinesisches oder amerikanisches Netzwerk durchqueren“ angewendet werden.
Echte Mehrpfadkommunikation: Die Benutzer können für die Datenübertragung mehrere Netzwerkpfade verwenden. Das erhöht die Zuverlässigkeit und die Widerstandsfähigkeit gegenüber DDoS-Angriffen.
Fein abgestufte Performance-Optimierungen: Unterschiedliche Anwendungen haben unterschiedliche Anforderungen, zum Beispiel geringe Latenz versus hoher Durchsatz. Mithilfe der Pfadsteuerung können Sender den am besten geeigneten Netzwerkpfad für jede ihrer Anwendungen wählen, um genau die Kennzahlen zu optimieren, auf die es ankommt.
Umfangreiche Netzwerktransparenz: Bei einer Netzwerk-Architektur mit Pfadbewusstsein haben die Benutzer viel bessere Einblicke: Sie sehen die verfügbaren Pfade, die entsprechenden Leistungskennzahlen und die Netzwerkbedingungen.
Inwieweit hat sich SCION schon in der Praxis bewährt? Welche Erfolgsgeschichten gibt es?
SCION wird heute bereits in zwei Fällen eingesetzt: SCIONLab ist ein globales Forschungsnetzwerk. Anapaya Systems nutzt SCION als Kerntechnologie für seine Mission: den Aufbau eines Fundaments für ein B2B-Internet.
Das Team um Professor Adrian Perrig gründete das Netzwerk SCIONLab, um SCION, die Internet-Architektur der nächsten Generation, in größeren Umgebungen als den Laboren der ETH zu testen. Und das sehr erfolgreich: Die Organisation SCIONLab verbindet jetzt bereits mehr als 50 autonome Systeme in über 15 Ländern. Ein so großes Experimentierfeld ist wichtig, denn es hilft uns, die Skalierung von SCION zu verstehen und Messungen bei umfangreichen Implementierungen durchzuführen. Darüber hinaus ist SCION bereits Realität: Mehrere Internetprovider nutzen SCION schon heute, Swisscom beispielsweise seit beinahe zwei Jahren. Ein Angebot für den industriellen Einsatz wird in den nächsten Monaten bereitstehen.
SCIONLab unterstützt unsere globale Zusammenarbeit mit anderen Einrichtungen auf der Welt, sodass wir die Sicherheit der Architektur SCION laufend verbessern und neue Anwendungsfälle erkunden können. So erforschen wir beispielsweise, wie SCION zur Sicherheit von 5G beitragen kann, wie sich die Performance von Firewalls mithilfe der integrierten Vertrauensumgebung von SCION verbessern lässt und wie wir anhand der Mehrpfadfunktionen die QoS-Modelle über mehrere Internetprovider hinweg optimieren können.
Anapaya Systems (ein Spin-off der ETH Zürich) entwickelt Produkte in Industriequalität auf Basis von SCION. Das SCION-Fabric beispielsweise ist ein Verbund aus Internet-, Telekommunikations-, Hosting-, Colocation- und Cloud-Service-Providern, die zusammen am neuen B2B-orientierten Internet arbeiten. Mit dem SCION-Fabric können Unternehmen ihre Benutzer, Partner und Kunden mit ihren Anwendungen verknüpfen – pfadbewusst, besser verfügbar, sicher und leistungsstark. Mehrere Internetprovider in der Schweiz und in Deutschland gehören diesem Verbund schon an. Auch Endkunden sind vernetzt und profitieren bereits von der optimierten Sicherheit dieses Fabrics. Anapaya erweitert das Fabric jetzt nach Osten (Hongkong, Singapur …), um für seine ersten Kunden (Finanzinstitute, Behörden, Internetprovider …) die Bereiche abzudecken, in denen diese ihre Netzwerke wirklich verbessern müssen.
Welche technischen oder politischen Hindernisse stehen der großflächigen Einführung von SCION entgegen?
Aus technischer Sicht dürften wir die größten Hindernisse überwunden haben. SCION wurde so gestaltet, dass es sich in die bestehende Netzwerkinfrastruktur integrieren lässt und diese großteils weiterverwenden kann. Außerdem haben wir ein Gateway entwickelt, das SCION IP Gateway, das transparent zwischen SCION und dem alten IP-Verkehr vermittelt. Dank dieses Gateways können die Benutzer alle Vorteile des SCION-Netzwerks nutzen, ohne dass Upgrades bei ihren Anwendungen, Rechnern oder lokalen Netzwerken nötig sind.
Aktuell hindert uns eine andere Schwierigkeit an der umfassenden Einführung von SCION. Damit SCION möglichst effizient ist, muss es von vielen miteinander vernetzten Serviceprovidern implementiert werden – zumindest in den global wichtigsten Geschäftsfeldern. Weil Internetprovider in der Regel konservativ sind, braucht das seine Zeit. Glücklicherweise haben viele Unternehmen, darunter auch ABB, bereits erfolgreich Konzeptnachweise und Auswertungen mit ScionLab oder dem SCION-Fabric selbst durchgeführt. Mit der steigenden Nachfrage nach dieser Technologie lösen sich auch die Anlaufschwierigkeiten – Internetprovider brauchen interessierte Endkunden und umgekehrt.
Interessenten für das kommerzielle SCION-Fabric von Anapaya können sich per E-Mail unter JoinTheFabric@anapaya.net an das Team wenden.