Een nieuw internet

De hiervoor genoemde projecten draaien op het bestaande internet of het web, zonder op een fundamenteel niveau aanpassingen door te voeren. Een partij die daar wel concrete stappen voor aan het zetten is, is de Nederlandse SIDN. De Stichting Internet Domeinregistratie Nederland heeft een eigen onderzoeksafdeling die zich richt op de verbetering van de internetinfrastructuur, SIDN Labs.

"Internet is niet ontworpen voor de toepassingen waar we het vandaag voor gebruiken", zegt Cristian Hesselman, die leiding geeft aan SIDN Labs. "De omstandigheden zijn veranderd. Eerst had je e-mail en webbrowsen, maar nu is alles met internet verbonden. Internettoepassingen grijpen steeds meer in op de fysieke wereld, zoals met drones. Diensten verzamelen steeds meer informatie over mensen, zonder dat je weet waar het heen gaat. Bovendien zijn er grote partijen die macht naar zich toetrekken. We moeten daar als Nederland en Europa op inspelen."

Samen met NLnet Labs, SURFnet, AMS-IX, TU Delft, de Universiteit van Amsterdam en de Universiteit Twente heeft SIDN Labs het onderzoeksprogramma 2STiC opgezet. Dit staat voor Security, Stability and Transparency in inter-network Communication. De partijen willen experimenteren met nieuwe internetarchitecturen om de veiligheid, stabiliteit en transparantie van internetcommunicatie te vergroten. Hesselman: "We richten ons vooral op de 'lagere lagen' van een internet, zoals het niveau van tcp/ip, dns en bgp in het huidige internet."

De afgelopen tientallen jaren zijn er veel projecten geweest om internet op te lappen om alle nieuwe toepassingen aan te kunnen en de veiligheid te vergroten, zoals dnssec en secure routing, maar volgens het 2STiC-consortium heeft dat tot een complexe architectuur geleid. De 'nieuwe internetten' waar de deelnemers mee testen, gaan het huidige internet niet vervangen, maar draaien parallel, voor specifieke doeleinden zoals veiligheid. "We voorzien dat applicaties uiteindelijk het internet kunnen kiezen dat het beste past bij hun vereisten voor communicatie", aldus het consortium.

Alternatieve internetarchitecturen met afwijkende protocollen kunnen volgens Hesselman in de praktijk worden getest dankzij de komst van programmeerbare routers. "De eerste producten daarvoor zie je nu op de markt komen. Je kunt deze apparaten zo programmeren dat ze ook nieuwe, niet op ip gebaseerde protocollen draaien. We zetten een dergelijk programmeerbaar netwerk in Nederland op voor testdoeleinden met nodes in onder andere Arnhem en Delft."

Een van de internetarchitecturen waarmee SIDN Labs experimenteert, is Scion. Deze architectuur moet de problemen met het oude border gateway protocol en problemen met het internetprotocol, zoals ddos-aanvallen, spoofing, vervalste tls-certificaten, groot uitval bij relatief kleine incidenten en prefix hijacking omzeilen. Dat doet Scion door de huidige autonomous systems, groepen van ip-netwerken, te bundelen in wat isolation domains of isd's worden genoemd.

De drie tot tien internet service providers waaruit dergelijke isd's bestaan, komen tot een gezamenlijk beleid, de trust root configuration. Een van de uitwerkingen kan zijn dat de isp's in een land een isd vormen. Dit lijkt te leiden tot balkanisatie, maar volgens de bedenkers biedt hun systeem dankzij isolatie veiligheid en robuustheid, samen met openheid en transparantie. Die transparantie maakt dat censuur door overheden zichtbaar wordt, en dankzij flexibele en efficiënte path-aware-communicatie kunnen bepaalde autonomous systems worden vermeden. Ook opent het systeem de weg naar multi-path-communicatie voor hoge beschikbaarheid, snelle failover bij netwerkproblemen en resistentie tegen aanvallen. Daarnaast zijn cryptografische mechanismes op basis van public-key-infrastructuur onderdeel, en die zijn te updaten.

Een voordeel van Scion is dat het geleidelijk aan kan worden uitgerold bij isp's en dat routering via het bestaande internet mogelijk is door Scion-pakketjes in te kapselen in ip-packets. Als een Scion-pad tussen twee providers aanwezig is, is dat niet nodig en verloopt de communicatie buiten ip om. De techniek is ontwikkeld aan de ETH Zurich, en in Zwitserland zijn er nu drie Scion-nodes. In Nederland is er een node bij SIDN Labs.

Een andere techniek, die het over een radicaal andere boeg gooit, is Named Data Networking. Dit is een ontwerp voor een internet als distributienetwerk, terwijl het huidige ip-netwerk is ontworpen als communicatienetwerk. Internet wordt steeds meer voor media, sociale diensten en smartphone-toepassingen en dus distributie ingezet, maar distributieproblemen oplossen met een communicatienetwerk is complex en leidt geheid tot problemen, stellen de makers van NDN.

De basis van NDN ligt bij content in plaats van ip-pakketjes, en daarmee wat de levering betreft bij datanamen in plaats van ip-adressen. Het initiatief voor de communicatie ligt bij de ontvangende partij, de dataconsument, die een interest-pakketje stuurt met daarin de naam die de gewenste data identificeert. Een router zoekt de naam op in zijn Forwarding Information Base. Zodra een node met de opgevraagde data is gevonden, stuurt deze een datapakketje en een handtekening terug. Het datapakketje bevat zowel de naam als de inhoud van de data. De combinatie van ondertekening met de handtekening en de naam is verplicht, wat voor vertrouwen tussen uitgevers en consumenten moet zorgen. Het voorkomt onder andere spoofing en manipulatie.

Ook NDN gaat prefix hijacking en ddos-aanvallen tegen en de techniek voorkomt het versturen van kwaadaardige pakketjes. Caching bij routers speelt een grote rol, maar de architectuur verwijdert de informatie over wie de data opvraagt, waarmee de privacy is gewaarborgd. Ten slotte stellen de bedenkers voor gedistribueerde systemen de techniek Sync voor, waarmee meerdere partijen hun datasets kunnen synchroniseren om niet van centrale servers afhankelijk te zijn.

Tot slot

Als er zoveel projecten zijn om internet te verbeteren, dringt zich al snel de bekende competing standards-grap op. Volgens Hesselman zijn er maar weinig projecten die momenteel daadwerkelijk experimenteel testen met vernieuwende netwerkconcepten en gaat het al jaren voornamelijk om academische voorstellen. "We hebben met ipv6 en dnssec gezien dat infrastructuurwijzigingen lang kunnen duren. Het is lastig om het mondiaal uit te rollen. We beginnen klein en kijken waar we uitkomen."

Terwijl bij de onderste lagen geëxperimenteerd wordt met nieuwe internetten in aanvulling op het huidige, zullen het bestaande internet en het web steeds meer het strijdtoneel worden tussen de grote centrale partijen en de kleinschalige decentrale alternatieven.