Sicheres Internet ist keine Fiktion
07.02.2019 | Anna Ettlin
Das Fundament der Internetkommunikation wurde im letzten Jahrhundert aufgebaut und seither kaum erneuert. Mit ihrem Spin-off Anapaya Systems wollen Adrian Perrig, David Basin und Peter Müller, Professoren am Departement Informatik der ETH Zürich, das Internet ins 21. Jahrhundert bringen und zu einem sicheren und zuverlässigen Kommunikationsmittel machen.
Das Internet von Grund auf neu erfinden, sicherer, zuverlässiger und schneller machen – unmöglich, würden die meisten Experten sagen. Auch deshalb trug das Projekt, das Adrian Perrig 2009 an der Carnegie Mellon University aufzubauen begann, den Namen SCI-FI, kurz für «Secure Communications Infrastructure for a Future Internet». Dass sich zehn Jahre später Internet Service Provider (ISPs), Banken und Behörden für seine Technologie interessieren würden, hätte sich der junge Professor damals wohl kaum träumen lassen.
Zunächst war sich das Team rund um Adrian Perrig noch nicht einmal sicher, ob sich das Internet überhaupt sicher machen lässt. Doch die Forschenden blieben beharrlich, bis sie schliesslich nach einem Jahr Arbeit doch noch eine Lösung fanden: Eine neuartige Internetarchitektur, die viele Probleme des heutigen Internets auf einen Schlag löst und sich mit geringem Aufwand umsetzen lässt. Der alte Name passte nicht mehr, und so wurde SCI-FI zu SCION, was auf Englisch «Nachfahre» bedeutet und für «Scalability, Control, and Isolation On Next-generation networks» steht.
Um sein ambitioniertes Projekt weiter voranzutreiben, baute Perrig 2013 eine neue Forschungsgruppe an der ETH Zürich auf. Mit jeder neuen Version der Software machte das Team einen Quantensprung: SCION wurde noch sicherer, noch schneller, noch reifer. Da SCION einen Teil seiner sicherheitssteigernden Wirkung bereits im kleinen Rahmen entfaltet und problemlos mit dem alten Internet zusammenspielt, stiess das Projekt schnell auf Interesse seitens der Industrie. Bereits 2017 wollten einige Internet Service Provider und Banken in der Schweiz SCION kommerziell einsetzen. Also gründete Adrian Perrig gemeinsam mit David Basin und Peter Müller, ebenfalls Professoren am Departement Informatik der ETH, das Spin-off Anapaya Systems.
«Die gängige Ansicht ist, das globale Internet könne man unmöglich verändern. Deshalb hat es ausser uns kaum jemand versucht.»Adrian Perrig
Heute beschäftigt das Unternehmen rund zehn Mitarbeitende. Zu seinen Kunden zählen Internetanbieter wie Swisscom und SWITCH sowie Finanzunternehmen wie SIX und ZKB, und die Nachfrage steigt weiter. «Zurzeit haben mehrere grosse ISPs Interesse an SCION», sagt Adrian Perrig. «Auch bei Banken, Behörden und Gesundheitsorganisationen richten wir gerade sichere Kommunikation über SCION ein.»
Auch in der Forschung ist das Projekt gefragt: Forschende und Studierende der ETH sowie anderer Universitäten entwickeln die Architektur stetig weiter. Der Kern der Software ist frei im Netz verfügbar. «An dieser Open-Source-Komponente arbeiten die Forschungsgruppen und das Spin-off gemeinsam», sagt Perrig. «Andere Komponenten vertreibt nur die Firma, zum Beispiel das Management-System.»
Neue Architektur gegen alte Schwächen
Doch warum sollte man das Internet überhaupt neu erfinden? Das Grundgerüst der Internetkommunikation entstand in den Achtzigerjahren, als noch niemand ahnte, welche zentrale Rolle es einst in der Gesellschaft einnehmen würde. Teilweise werden zur Datenübertragung noch immer dieselben Protokolle eingesetzt wie schon vor 25 Jahren. Das macht das Internet angreifbar: Datenpakete können von Cyberkriminellen umgeleitet werden, Sicherheitszertifikate werden gefälscht, Distributed-Denial-of-Service-Attacken (DDoS-Attacken) setzen Internetdienste mit zahllosen überflüssigen Anfragen ausser Gefecht. Manchmal braucht es nicht einmal eine böse Absicht: Ein einfacher Konfigurationsfehler an einem Router kann zu grossflächigen Internetausfällen führen.
Zwar gibt es vereinzelte Lösungsansätze für diese Probleme, doch schaffen sie meist nur symptomatisch Abhilfe, gehen mit Einbussen der Bandbreite einher oder beschränken sich auf einzelne Internet-Domänen. Für das globale Netzwerk gibt es kaum Lösungen. «Die gängige Ansicht ist, das globale Internet könne man unmöglich verändern», erklärt Adrian Perrig. «Deshalb hat es ausser uns kaum jemand versucht.»
Die Beharrlichkeit der Forschenden hat sich gelohnt: SCION verhindert DDoS-Attacken und unberechtigte Umleitungen und macht das Internet schneller und stabiler. Das wird auf zwei Arten erreicht: Einerseits wird das Internet in Untereinheiten eingeteilt, andererseits funktioniert das Routing von Datenpaketen, also ihre Weiterleitung durch das Netz vom Sender zum Empfänger, anders.
Das Internet besteht aus einer Vielzahl lose verknüpfter Netzwerke. Ein Beispiel für ein solches Netzwerk ist ein ISP wie Swisscom oder SWITCH samt all seinen Kunden. Die Kommunikation zwischen den zahlreichen unterschiedlichen Netzwerken ist besonders anfällig für Fehler und Attacken. So ist es möglich, dass ein Datenpaket, das von Zürich nach Bern unterwegs ist, über andere Länder wie etwa Russland umgeleitet wird, ohne dass Sender und Empfänger etwas davon merken.
SCION fasst jeweils mehrere Netzwerke zu sogenannten Isolation Domains (ISDs) zusammen. Die ISDs können beispielsweise geografisch eingeteilt sein, sodass alle Schweizer Netzwerke einer ISD angehören. Die Kommunikation zwischen zwei Netzwerken in derselben Isolation Domain verlässt diese ISD nicht. So gilt für den internen Datenverkehr eine einheitliche Rechtsgrundlage und vertrauliche Daten können nicht über andere Länder umgeleitet werden. Mehr Internetzensur braucht man laut Perrig nicht zu befürchten, denn ein weiteres Merkmal von SCION ist die Transparenz des Netzwerks. «Sie als Endkunde können sehen, wo Ihre Datenpakete durchgehen», erklärt er. «Jegliche Sperren oder andere Eingriffe ins Netz sind somit klar sichtbar.»
Diese Transparenz erreicht SCION, indem es das Routing von Datenpaketen grundsätzlich anders löst. Während Pakete heute «blind» von einem Router zum nächsten weitergereicht werden, «weiss» ein SCION-Datenpaket, wo es durch muss. Da ihm jeweils mehrere Pfade zur Auswahl stehen, kann der jeweils schnellste Pfad verwendet werden, wohingegen Datenpakete im heutigen Internet durch Angriffe oder Routing-Fehler auf Umwege geschickt werden oder ganz verloren gehen können. SCION-Router haben zudem das Potenzial, effizienter und stromsparender zu sein. «Bei einem grossflächigen Einsatz von SCION würde das Internet rund fünf Prozent weniger Strom verbrauchen», sagt Adrian Perrig.
Mathematisch bewiesen
Ein sicheres Internet – zu schön, um wahr zu sein? «In fast zehn Jahren Forschung haben wir noch keine grossen Sicherheitslücken bei SCION gefunden», sagt Perrig. «Es gibt neue Arten von Angriffen, die nur auf SCION möglich sind, ihre Konsequenzen sind allerdings viel milder als im heutigen Internet. Es ist, wie wenn jemand mit einer Wasserpistole anstatt mit einer echten Feuerwaffe schiesst: Es ist zwar unangenehm, aber der Schaden hält sich in Grenzen.»
Sicherheit ist ein rares Gut im heutigen Internet. So überrascht es auch nicht, dass jede neue «sichere» Lösung mit Skepsis betrachtet wird. Das Team hinter SCION arbeitet daran, die Zweifel zu beseitigen. Hier setzen die beiden anderen Mitgründer von Anapaya Systems an: Peter Müller ist der Leiter des Chair of Programming Methodology, David Basin leitet die Information Security Group. Als Experten auf ihrem jeweiligen Fachgebiet arbeiten sie daran, die Sicherheit und Korrektheit von SCION mathematisch zu beweisen. David Basin erklärt es folgendermassen: «Ein SCION-Netzwerk kann als ein grosses verteiltes System aus Routern und Host-Computern betrachtet werden, die Daten nach bestimmten Regeln austauschen. Dieses ganze System kann man als ein mathematisches Objekt darstellen und dann seine Eigenschaften beweisen, beispielsweise, dass kein Angreifer den Pfad eines Datenpakets verändern kann.»
«Es braucht Zeit, teilweise Jahrzehnte, bis sich eine neue Technologie durchsetzen kann.»Peter Müller
In der Theorie lässt sich also mathematisch herleiten, dass SCION hält, was es verspricht – vorausgesetzt, die einzelnen Komponenten, beispielsweise die Router, funktionieren ebenfalls genau nach Spezifikation. Das ist das Gebiet von Peter Müller: «Davids Gruppe beweist, dass das System als Ganzes bestimmte Eigenschaften hat. Meine Gruppe zeigt, dass jede Komponente tut, was sie sollte, und dass der Code stabil und sicher ist.» Das Zusammenführen dieser beiden Beweisebenen würde SCION das Attribut «fully verified» verleihen – ein entscheidender Wettbewerbsvorteil. Aber so einfach ist es nicht. SCION ist komplex und entwickelt sich stetig weiter. Trotzdem hoffen die Forschenden, den vollständigen Beweis in den nächsten Jahren erbringen zu können. Gemäss Basin lohnt sich dieser Aufwand. «Auf diese Weise kann man wirklich Vertrauen in die Technologie haben», sagt er. «Man kann sicher sein, dass es keine Backdoors gibt. Das ist einmalig.» Ausserdem lassen sich durch die Anwendung Formaler Methoden auch mögliche Verbesserungen des Designs und der Implementierung des Systems finden.
Sicheres Internet für die ETH
Wie lange dauert es also noch, bis das gesamte Internet auf die vielversprechende neue Technologie umgestellt wird? «Es braucht Zeit, teilweise Jahrzehnte, bis sich eine neue Technologie durchsetzen kann», erläutert Müller. Die grössten Hürden für einen Wechsel sind administrativ. Die neue Architektur bedingt eine Umschulung von Netzwerkadministratoren. Auch das Erlangen von kryptografischen Zertifikaten wird etwas aufwendiger: Bei dem auf Sicherheit getrimmten System braucht jede Domäne zwingend ein solches Zertifikat. Ob SCION jemals weltweit zur Anwendung kommen wird, ist noch offen. Aber das ist laut Peter Müller auch nicht unbedingt das Ziel. «Jede Verbindung über SCION macht die Kommunikation ein Stückchen sicherer», sagt der Forscher.
«Ein solch ambitioniertes und langfristiges Projekt wie SCION wäre an den wenigsten Universitäten der Welt möglich gewesen.»David Basin
Als Nächstes heisst es für die ETH-Forschenden und das Team von Anapaya Systems, die Kommunikation der ETH sicherer zu machen: Bis 2021 soll das ganze Netzwerk des ETH-Bereichs neben herkömmlichen Internetverbindungen auch SCION unterstützen. Für den Aufbau der notwendigen Infrastruktur hat der ETH-Rat ein Budget von knapp vier Millionen Franken bewilligt – eine grosse Anerkennung für die Technologie und das Team dahinter.
«Es ist sehr aufregend zu sehen, wie weit wir gekommen sind», sagt Adrian Perrig. «Wenn alles gut läuft, werden Schweizer Unternehmen bereits dieses Jahr mit ausgewählten Unternehmen aus Asien, Europa und den USA per SCION kommunizieren können, ohne das jetzige Internet zu verwenden. Kein anderes Projekt in diesem Bereich hat es jemals so weit geschafft.» Den Erfolg begründen die Forschenden mit ihrer Beharrlichkeit, aber auch mit den einmaligen Chancen, welche die ETH bietet. «Ein solch ambitioniertes und langfristiges Projekt wie SCION wäre an den wenigsten Universitäten der Welt möglich gewesen», sagt David Basin. Die grosse Unterstützung, die das Forschungsprojekt seitens der ETH erfahren hat, sei zentral für die Weiterentwicklung von SCION gewesen.