特集 BGP(ボーダーゲートウェイプロトコル)は、安全であるために設計されたものではありません。インターネットを構成する数千の自律システム間でパケットをルーティングするため、迅速かつ大規模に動作するように設計されました。
4十年間、正確にそれを実行してきました。また、この4十年間を通じて、最初から予測可能な方法で悪用され、設定を誤られ、乱用されてきました。ルートハイジャックは、トラフィックを敵対的なネットワークを通じて迂回させます。ルートリークはサービスをオフラインにします。国家レベルのサイバー部隊はBGPを大規模に通信を傍受するために武器化します。これらは理論的な脅威ではありません。これらは文書化された繰り返される出来事であり、今日も可能です。一つの単純な理由のため:BGPには、ネットワークがアドレスのブロックを実際に所有しているかどうかを検証する本来の方法がありません。
Resource Public Key Infrastructure(RPKI)、BGPsec、RPKIベースのRoute Origin Authorization(ROA)などの一連のパッチと拡張機能が、最悪の脆弱性に対処するために元のプロトコルに適用されてきました。これらは周辺部で役立っています。基本的な問題を解決するものではありません。
ただし、これを解決する(または少なくともそれを主張する)システムがあります。SCION(Scalability, Control, and Isolation On Next-Generation Networks)は、ETH Zürichで開発されたインターネットルーティングアーキテクチャです。BGPに適用されるパッチとは異なり、SCIONは40年前の基盤にセキュリティを無理に適用しようとしません。基盤全体を置き換えます。その設計変更はETH Zürichのコンピュータサイエンス教授であり、SCIONの主設計者であるAdrian Perrigの人生の仕事です。
穴だらけのボート
Perrigは1991年以来インターネットセキュリティについて心配してきました。その時、彼はCiscoルーターで初めて働き、EPFLでの学士号を取得する前のことです。彼は介入年の大部分をインターネットをより安全にしようと費やしてきました。最終的に、彼はそれが間違ったアプローチであると結論付けました。「セキュリティを後付けすることはできません」と、Perrigは言います。「セキュリティをボルトオンすることはできません。デザイン自体を実際に変更しない限り、真に安全なグローバルネットワークに到達することはできません。それは、月に行きたいので、飛行機にロケットブースターを装着しましょうと言うようなものです。いいえ、乗り物を異なるように設計する必要があります。」
Perrigは2009年にテニュアを取得し、ほとんどの同僚がキャリア自殺だと言ったものを追求する自由を得た後、SCIONを開始しました。彼の核となる不満は簡単でした。同じ脆弱性は1980年代から文書化されており、誰もそれらを建築レベルで修正しようとしていませんでした。「世界の最高のセキュリティ企業でさえ、それらを通じて悪用されています」と彼は言います。「彼らに適切に対処する試みさえありません。」
27年間コンピュータネットワークを教えているUlster UniversityのサイバーセキュリティProfessor Kevin Curranは、同じ場所に到達する独立した評価を提供しています。インターネットは、彼が言うようにセキュリティを念頭に置かずに構築され、その後は一連の回避策が続きました。「我々が40年間持ってきたのは一連のバンドエイドです」と、Curranは言います。「敵対的なネットワーク全体で真に安全なパスの必要性に近づいたものはありません。」
Perrigが現在のインターネットセキュリティの状態についてのメタファーは、穴だらけのボートです。人々はバケツで走り回り、水を投げ出してギャップを埋めていますが、船体は危険なままです。今日のセキュリティは、彼は主張し、同じ方法で機能します。パッチが適用され、脆弱性が閉じられ、新しいパッチが他の場所で開かれます。SCIONは、彼のフレーミングでは、根本的に再設計された船です。外からしぶきが入る可能性がありますが、構造的なギャップを通じて注ぐわけではありません。
異なる種類のルーティング
SCIONが実際に何を異なるから理解するために、BGPが何を誤り取得するかを理解するのに役立ちます。今日のインターネットでは、パケットがソースから宛先への移動のための暗号チェーン・オブ・カストディはありません。そして、パス上のどこかのネットワークが失敗した場合、ルーティング処理 – 故障の検出、新しいパスの見つけ方、新しいセッションの確立、および飛行中の取引の調和を伴う – は数分かかることができます。
SCIONは、3つの相互に関連するメカニズムを通じてこの問題に対処します。最初はマルチパスルーティングです。今日のインターネットが2つのポイント間の単一のパスを提供する場所で、SCIONは数十、または数百の並列パスを同時に確立します。1つが失敗した場合、システムはミリ秒以内に再ルーティングします。Perrigはしきい値について正確です。「聴覚刺激に対する人間の反応時間はおよそ150ミリ秒であり、視覚の場合は250ミリ秒です。停止時間がミリ秒のオーダーである場合、人間の脳はそれに気づくことができません。それはSCIONが切り替わる速さです。」
第2のメカニズムは、隔離ドメイン – SCION用語ではISDです。少数のグローバルトラストアンカー、または1000以上の認証局の広がりのあるエコシステムに依存するのではなく、すべてを同時に信頼する必要があります。SCIONでは、国、地域、または組織が独自のローカルトラストルートを定義できます。1つの隔離ドメイン内のエラーまたは妥協は、別のドメインに伝播することはできません。Perrigは、具体的な歴史的な例を提供しています。オーストラリアのエンティティは、フランス、ノルウェー、および大陸ヨーロッパ全体のATMを同時に失敗させた設定エラーを犯しました。その種の連鎖的な故障は、SCIONネットワークでは構造的に不可能です。
第3のメカニズムは、暗号パス検証です。SCIONパスに沿ったすべてのルーターは、暗号署名を提供します。パケットは、合意されたパスの一部ではなかったネットワークを通じて静かに再ルーティングすることはできません。送信者と受信者は、使用したいパスを指定し、それらの選択肢はプロトコルレベルで実装されます。
Curranは、SCIONの商業的成功に関心を持たない者は、これらの技術的請求を独立して検証しています。分離されたドメインと暗号署名は、彼は言います、プロトコルを意味のあるものにするもののコアです。「送信者と受信者に、中間ルーターが検証できないネットワークを通じてデータを取得することを許可するのではなく、彼らのデータが取得するパスを制御する真の試みです。」
毎日2200億フラン
Fritz Steinmannは、スイスの金融セクターでネットワークエンジニアとして30年を過ごしました。2009年以来、彼はスイス証券取引所、スイス証券決済、および約120のスイス金融機関によって使用される銀行間決済インフラを運営するSIX Groupで働いています。2015年に、彼の経営陣は、それらの機関を接続していた20年古いMPLSネットワークであるFinance IPNetの交換戦略を開発するよう彼に依頼しました。「スイスの銀行間決済は毎日約2200億スイスフランです」とSteinmannは言います。「だから失敗することは選択肢ではありませんが、代替案がなかったので、私は諦めなければなりませんでした。」
オプションは魅力的ではありませんでした。パブリックインターネットは、取引決済のためのスイスの銀行には受け入れられませんでした。SD-WANは、単一のオペレーター – すでに関与する複数のキャリアが与えられた政治的に不可能 – または誰も望まなかった独有のベンダーロックインのいずれかを必要としました。Steinmannは、SIXとETH Zürichのパートナーシップを通じて2017年にSCIONに初めて遭遇しました。彼はアカデミックネットワークプロジェクトが運用現実との接触を生き残るのを見た誰かの懐疑心でそれに近づきました。「アカデミアと業界は通常、非常にうまく適合していません」と彼は言います。「彼らは素晴らしいことをしますが、その後、使いやすさは課題です。ただし、Adrianが私たちに言ったことは本当に目を見張るものでした。それは、アカデミックな視点から単に意味があるだけでなく、私がすぐに現実世界のアプリケーションも見た最初の時間でした。」
スイス国家銀行(SNB)は既にいくつかの内部ユースケースにSCIONを使用していました。SCIONが商業銀行と中央銀行の間で決済された支払いを運送するよう求められたことを考えると、これは重大な信号でした。2019年に、SIXとSNBは、Secure Swiss Finance Network(SSFN)になるものを設計するために力を合わせました。ネットワークが準備が整う前に、2年間のセキュリティ評価、ガバナンス設計、およびテストが必要でした。
SSFNの構築は、テクノロジープロジェクト以上のガバナンスプロジェクトであることが判明しました。ネットワークは銀行を認めて、不正をしている者を除外し、3日間有効な短寿命の証明書の発行を処理する必要がありました。参加者が追放された場合、迅速な失効を可能にします。また、独自の認証局(CA)を操作する必要がありました。商業のCAはリスクを取ることをいとわないでした。課題は技術的ではなく、Steinmannが説明しています。それはプロセスについてでした。あなたはUBSが実際にUBSであることをどのように確認しますか?あなたが間違った場合の責任をどのように定量化しますか?既存のCAは答えを持っていなかったので、SIXは独自に構築し、5年間の本番環境で実行しています。
SCIONのTrust Root Configuration – 参加を許可されているエンティティと条件下での条件下での条件下での条件下での条件下での条件 – ネットワークの投票メンバーのガバナンス決定を暗号基盤に埋め込みます。誰が参加できるか、そしていつ彼らが追放されることができるかについてのルールは、データベースのポリシーではありません。プロトコルによって実装されます。Steinmannは、いくつかの満足度とともに、執行が既に実行されたことに注意します。
パフォーマンスメトリクスがテストに到着したとき、期待を超えました。キャリアが失敗したとき、古いFinance IPNetは一連のステップが必要でした – 検出、フェイルオーバー、パス検出、再接続、認証、セッション再確立、取引調和 – 合計で3〜4分かかることができます。SSFN試験中に、Steinmannはキャリアシャットダウン演習を実施しました。ネットワークプロバイダーの1つをシャットダウンする前に彼のチームに待機するよう求めていました。彼が信号を与えることができる前に、彼の同僚は戻ってきました:ああ、私はそれを既に行いました。あなたが先に進むと思いました。「私たちは何も気づかなかった」とSteinmannは言います。「フェイルオーバーは1ミリ秒未満でした。アプリケーションは、基本的なネットワークトポロジが完全に変わったことに気づきませんでした。」SSFNは2021年11月に運用されました。2024年9月に、Finance IPNetはその日没を開始しました。20年間実行されていた古いインフラが廃止されています。
誰も更新したくない基礎
だから、SCIONは機能します。証拠は、ベンダーホワイトペーパーまたはラボの概念実証ではありません。毎日毎日2200億スイスフランが、スイスの銀行が20年間信頼していたネットワークを置き換えたインフラに解決されています。前任者は廃止される過程にあります。その後なぜ、最初の本番展開からほぼ9年後、スイスを超えて規模で広がっていないのでしょうか?
バリアーは複数あり、彼らは互いに合成されます。最初は標準化です。BGPはIETF標準です。SCIONではありません。IETF独立ストリームRFCが進行中です – IETF標準化トラックの外側にある正式に公開されている情報文書。IETF作業グループプロセスを通じた完全な標準化はまだ開始されていません。大規模な組織の場合、その区別は重要です。それが標準化される前にプロトコルを展開することは、実装が相違し、最終的な標準が高額な変更を必要とするか、またはプロトコルが標準化を意味のあるものにするであろう臨界質量を決して達成しないというリスクを受け入れることを意味します。
第2は、ネットワークテクノロジーに固有の鶏と卵の問題です。誰も最初になりたくありません。従来のネットワークの痛み – レイテンシースパイク、ルートハイジャック、3分間のフェイルオーバーウィンドウ – Steinmannが言うように、既知と耐性があります。組織はそれに適応しました。「私たちは少し麻木になりました」と彼は言います。「私たちはそれがどのように機能するかについてOKであり、新しい基盤の利点を見るのに本当に興奮しています。」
第3の障壁はベンダー集中です。単一の会社、Anapaya – キャリアとエンターバイズのためのSCIONをデプロイ可能なネットワーク製品にパッケージする、ETH Zurichのスピンオフ – 現在、唯一の商業実装を提供しています。Steinmannは、これが作成する矛盾について率直です。Ciscoはそれが200億ドルのビジネスではない場合、彼らは興味を持っていないと直接彼に言いました。しかし、それはシスコのような企業なしに2000億ドルのビジネスになることはできません。
第4の障壁は最も基本的であり、Steinmannが繰り返し戻るものです。インフラ更新は、他の種類のテクノロジー採用とは心理的に異なります。それが機能するとき誰も気づきません。失敗するとき誰もが気づきます。そして、ほとんどのメトリクスによってまだ機能しているものを置き換える努力は、その基盤ではなく家に焦点を当てた理事会を正当化するのにほぼ不可能です。「家の基礎を更新したのはいつですか?」Steinmannは尋ねます。「あなたはしません。最初に家を取り壊すでしょう。しかし、私たちがここでやっていることは、家を取り壊さずに基礎を更新しています。」
採用タイムラインに対するPerrigの見方は楽観的です。彼は、3〜5年以内に、SCIONが数千のアプリケーションで使用される基本的なネットワークライブラリに組み込まれると信じています。つまり、開発者が考える必要はなく、そこにあるだけです。BeeluxのISPはすでにSCION接続を提供しています。一部の顧客は、現在のISPがそれを提供していないため、特にプロバイダーを切り替えています。Perrigは、自己強化フライホイールが回転し始めることを説明しています。「2年前、私はこれを確実に言っていなかったでしょう」と彼は言います。「今、私はそれを見ることができます。5年以内に確信していますが、願わくば3つ。」
Steinmannはより測定されています。彼はPerrigの楽観主義が必要だとクレジットしています – それなしで、プロジェクトはこの時点に決して到達することはできませんでした – しかし、タイムラインを共有していません。「彼は申し訳ありませんが、これは必要です」とSteinmannは言います。「しかし、私には疑問があります。採用の遅さと人々が実験する意欲のため。何か新しくて未知のものを採用する意欲は単にそこにはありません。」
外からSCIONに近づくCurranは、最も有用なフレーミングかもしれません。テクノロジーは健全であり、そのアーキテクチャは実際の弱点に対処し、SCION自体が支配的なプロトコルになるか、密接に関連する後継者をシードするかどうかは、旅の方向性よりも重要です。採用を加速させるのは、彼が示唆しているのは、段階的な証拠ではなく、既存インフラストラクチャの十分に劇的な故障です。「国家国家がトラフィックを再ルーティングし、国家インフラストラクチャを取り下げる攻撃を見かけた場合、SCIONが解決策を提供したネットワークでの低レベルの戦争の行為 – その後、迅速に採用されます」とCurranは言います。「次の1年で国家が後援する攻撃がどのように機能するかを見なければなりません。それは主な原動力になるでしょう。」
主権、オプション性、および同じコインのリスク
SCIONは、ヨーロッパのデジタル主権の文脈でますます議論されています。そのアーキテクチャはそのプロジェクトに明らかな関連性があります。隔離ドメインにより、国または地域は、米国ベースの認証局とは独立して、独自のトラストルートを定義できます。敵対的な国家の俳優が従来のインターネットルーティングで引き出す可能性のある理論的なキルスイッチは、よく設計されたSCION展開には存在しません。
Perrigは、主権フレーミングで意図的に慎重です。彼は、どのパスを使用するか、どのトラストルートに依存するか、どのネットワークに接続するかの選択の自由を選択する用語を好みます。そして、主権言語が伴う政治的な重みに抵抗します。彼は慎重であることは正しくありません。主権フレーミング、ネットワークアーキテクチャのみが提供できるものを約束しすぎます。
Steinmannは主権言語を直接使用していますが、促すことなく、ほとんどの主権提唱者が省略する警告を紹介しています。「はい、それは主権な選択肢です。あなた自身の管轄権の能力を超えた中央のキルスイッチはありません」と彼は言います。「しかし、同じ制御可能性は全体主義的な政府のアプローチによって悪用される可能性があります。その場合、完全に制御可能になります。それは同盟国に依存を減らすのに役立つでしょう。しかし、それはまた、自由なインターネットに対する兵器として悪用される可能性があります。それが欠点であり、私は何が良いかを判断しません。」
Curranは、建築的ではなく政治的な制約を追加しています。価値を持ちたいと思っているネットワークは、グローバルに相互接続される必要があります。インターネットの残りの部分にトラフィックをルーティングできない主権のSCION展開は有用なネットワークではありません。テクノロジーはパスと信頼に対する意味のあるコントロールを可能にしますが、自動的または完全に主権を提供しません – そして、それは提供することを主張していません。
SCION が提供するもの、そしてスイスが本番環境で実証したものは、オペレーターが正確に誰を信頼しているか、彼らのトラフィックがどこへ向かっているか、参加の条件が何であるかを正確に知っているネットワークです。これは、あなたが添付する主権フレームワークに関係なく、パブリックインターネットが提供しないコントロールの一形態です。
誰も答えていない質問
SCIONができることと現在使用されているもの間のギャップは、その核心において、技術的な問題ではありません。テクノロジーは、ほとんどのインフラストラクチャオペレーターが直面することはない条件下で検証されています。それを実行するために必要なガバナンスフレームワークが、設計され、テストされ、規模で動作しています。それが置き換えた古いネットワーク。一時停止されていません。オフにしました。
起こったことがないのは、スイスから世界の他の地域へのリープです。SCIONの展開モデル – 最初に統治を構築し、重要な当事者を約束し、トラストルートを定義し、ルールを実装する – は、スイスで機能し、ほぼ他の場所で闘争する処理の正確な種類です。
標準化、ヨーロッパのデジタル主権アジェンダ、または十分に深刻なBGP事件がその計算を変更するかどうかは、今のところ、未解決の質問です。Steinmannの最後のポイントは簡単でした。誰も基礎について考えていません。彼がひび割れるまで。彼は、誰も被迫されずに家の基礎を更新しないことは正しいです。彼は、家を取り壊さずにそれを行うことができることも正しいです。それが今行動する理由か、構造がシフトし始めるまで待つ理由であるかどうかは、世界の他の地域がまだしていない決定です。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/17/switzerland_bgp_alternative/
