Von vorn herein sichere Kommunikation

Eines Vorweg: Ich habe mich noch kaum mit Netzwerktechnik auseinandergesetzt. Das steht noch an. Ich schreibe nachfolgend ausdrücklich nicht von umsetzbaren Plänen, sondern möchte wissen, ob sie umsetzbar sind.

—————————————————————————————————————————

Wieso zieht man die Kommunikation über das Internet nicht einfach von vorn herein sicher auf? Jetzt mal abgesehen von Überwachungsvorhaben, die dadurch unmöglich gemacht werden, wenn man nur der Mann in der Mitte ist und keinen Zugriff auf die Systeme an den beiden Enden hat.

Ich stelle mir das so vor: Es gibt kein IPv4 und kein IPv6 zur Kommunikation, sondern alle werden über öffentliche Schlüssel eines asymmetrisches Kryptosystems angesprochen. Jeder erstellt sich durch die Generierung eines Schlüsselpaars seine IP selbst und den privaten Schlüssel kennt kein anderer.

Dann können natürlich keine Adressbereiche mehr vergeben werden und die Provider müssten größere Listen führen, aber heute dürfte das doch überhaupt kein Problem mehr sein.

Dazu sollte natürlich ein Verfahren genutzt werden, das sehr viele Möglichkeiten zulässt. RSA (das ist nur ein Beispiel) beispielsweise hat zwar eine Schlüssellänge von 1.024 Bit, aber real gibt es nur ca. 2^73 Möglichkeiten und nicht 2^1.024. 2^73 Möglichkeiten sind für meinen Geschmack auf Dauer zu wenig.

Der Vorteil einer solchen Adressierung ist, dass es nichts mehr brächte, Datenverkehr mitzuschneiden.

Hätte dann noch jeder Rechner eine Liste mit allen DNS-Einträgen und man würde gewarnt werden, wenn sich die IP eines Eintrags, den man auflösen will, erst kürzlich geändert hat, brächte auch eine Manipulation dieser nichts mehr. Das ist aber eigentlich auch schon mit IPv4 möglich.

Benutzer wird von Ihnen ignoriert. Anzeigen

das scheitert am routing. schon jetzt sind die routingtabellen bei den peers viel zu lange, und mit zukünftigen technologien wie ipv6m werden sie wohl noch länger, was über kurz oder lang wahrscheinlich zu performance-problemen führen wird.

wenn du noch dazu jedem host im netz eine quasizufällige signatur gibst, statt einer addresse verlierst du die struktur vollständig. Die suche nach einer route funktioniert bei ipv4 ähnlich eines geordneten baumgraphen(CIDR lasse ich da jetzt mal raus). das ist relativ optimal. hat jetzt aber jeder seinen eigenen senf, kannst du nicht mehr in einer derartigen struktur suchen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Jetzt, wo nur noch 8 Bit, also 256 IP-Adressen vergeben werden, geht die Struktur sowieso zunehmend flöten. Außerdem werden ja nicht gleich 2^xx oder gar 2^xxx IP-Adressen genutzt, nur, weil so viele möglich sind.

Angenommen, es ist möglich, die Adresslisten schnell genug zu durchsuchen. Wäre ein Internet mit einer solchen Adressierung dann möglich?

Man könnte ja dennoch geordnete Listen führen. Dazu müsste man einen geordneten Teil und einen ungeordneten Teil haben. Dank des Zufallsprinzips sind die IP-Adressen mit gleichmäßigen Abständen verteilt. Durch Abschätzungen kommt man schnell in den richtigen Bereich des geordneten Teils. Dadurch lassen sich auch sehr viele Adressen verwalten. Wird nichts im geordneten Teil gefunden, wird der ungeordnete Teil der Reihe nach abgesucht. Bei diesem muss jeder Eintrag gecheckt werden. Deswegen würde man den ungeordneten Teil aber immer wieder in den geordneten übernehmen und in ihm stünden dann immer nur die ganz neuen IP-Adressen.

Benutzer wird von Ihnen ignoriert. Anzeigen

__destruct() schrieb:
--------------------------------------------------------------------------------
> Jetzt, wo nur noch 8 Bit, also 256 IP-Adressen vergeben werden, geht die
> Struktur sowieso zunehmend flöten. Außerdem werden ja nicht gleich 2^xx
> oder gar 2^xxx IP-Adressen genutzt, nur, weil so viele möglich sind.
>
> Angenommen, es ist möglich, die Adresslisten schnell genug zu durchsuchen.
> Wäre ein Internet mit einer solchen Adressierung dann möglich?
>
> Man könnte ja dennoch geordnete Listen führen. Dazu müsste man einen
> geordneten Teil und einen ungeordneten Teil haben. Dank des Zufallsprinzips
> sind die IP-Adressen mit gleichmäßigen Abständen verteilt. Durch
> Abschätzungen kommt man schnell in den richtigen Bereich des geordneten
> Teils. Dadurch lassen sich auch sehr viele Adressen verwalten. Wird nichts
> im geordneten Teil gefunden, wird der ungeordnete Teil der Reihe nach
> abgesucht. Bei diesem muss jeder Eintrag gecheckt werden. Deswegen würde
> man den ungeordneten Teil aber immer wieder in den geordneten übernehmen
> und in ihm stünden dann immer nur die ganz neuen IP-Adressen.


es werden nicht nur noch /24 vergeben, sondern nur noch max /24. Du kannst auch hingehen und ein /28 oder ein /30 beantragen(was ja dank CIDR möglich ist).

Und ja, wenn man diese Listen durchsuchen könnte, wäre ein internet damit möglich. dummerweise würde sich der suchaufwand von O(n) = log n (oder nahe dran) auf O(n)=n erhöhen. und sämtliche knotenpunkte des netzes müssten über jeden peer bescheid wissen, was wiederum neue routingalgorithmen erzwingen würde, und router mit sehr viel arbeitsspeicher.

Das ordnen der ip-addressen setzt zu viel speicher vorraus. du musst immer dran denken, dass mehr als 4 milliarden geräte am internet hängen. die Router bei den peeringstellen transferieren teilweise weit mehr als 2 TBit/s. Eine Try and Miss-strategie würde bei derartigen systemen viel zu lange dauern, im resultat wären verbindungen(zumindest der aufbau, bei dem alle peers ihre route finden und cachen müssen) viel zu langsam.

PS: Zum vergleich - heutzutage beschweren sich die peeringbetreiber über zu lange routingtabellen bei 18 Einträgen. Jetzt stell dir mal vor du brauchst mehrere milliarden einträge...
PPS: Für eine derartige infrastruktur könnte man evtl eine abwandlung des A*-Algorithmus verwenden, problematisch dabei ist jedoch, dass man das ziel nicht kennt.

Benutzer wird von Ihnen ignoriert. Anzeigen