Certification des ressources (RPKI)

A Propos

La certification de ressources est un moyen permettant de vérifier l'association entre les ressources de numéros Internet (adresses IP et numéros de système autonomes) et leurs détenteurs légitimes.  Il vise à ajouter une forme vérifiable du droit actuel d'un détenteur d'utiliser ces ressources sur Internet. Un élément important de  cette certification des ressources est qu’elle suit le système hiérarchique de gestion des ressources Internet.  Depuis 2006, l’AFRINIC collabore avec d'autres registres Internet régionaux (RIR) sur l'activité de certification des ressources, tout en suivant le développement des normes dans le groupe de travail SIDR (Secure Inter-Domain Routing) à l'IETF .. https://tools.ietf.org/wg/sidr/ 

L’AFRINIC fournit un système avec des fonctionnalités de base, qui sera étendu au fil du temps dans un plan de déploiement progressif. La certification sera offerte dans un environnement hébergé via le portail MyAFRINIC. Les membres peuvent signer les autorisations d'origine de route (ROA) et voir leurs certificats. Le système prend en charge toutes les opérations de chiffrement telles que les demandes de certificats et les renouvellements, les re-clés et la publication d'objets dans le référentiel (rsync: //rpki.afrinic.net). L'accès à la sous-section de certification des ressources nécessite un certificat BPKI (Business Public Key Infrastructure).

 

Que pouvez-vous faire avec votre certificat RPKI?

Les certificats de ressources peuvent être utilisés à diverses fins: 

  • Prouver le droit d'utiliser les ressources
  • Signer les Autorisations de routage d'origine 
  • Signer des objets de routage Internet

 

Prouver la propriété des ressources de numéros Internet dans le contexte du transfert IPv4 après l'épuisement du pool IPv4 du RIR

 

Contexte technique

Les certificats de ressources sont basés sur le format de certificat X.509 (RFC 5280). Le format a été étendu par la norme IETF, (RFC 3779) pour inclure l'adresse IP et les numéros AS dans une extension de certificat critique. Ces certificats sont ensuite publiés et liés ensemble de manière vérifiable dans le RPKI. Les certificats de ressources ne sont pas des certificats d'identité et ne peuvent être utilisés que par des applications et services spécialisés liés à la vérification des droits d'une entité à utiliser une adresse IP ou un numéro AS. 

L’AFRINIC a investi des ressources importantes dans le développement de son propre système interne basé sur le code APNIC RPKI. Une version de base du système évoluera au cours de l'année en plusieurs phases. Ces phases comprennent l'extension du protocole «up / down», la sous-certification et la migration vers un seul Trust Anchor (TA). 

Pour utiliser le système 

  1. Activez votre compte sur MyAFRINIC si vous ne l'avez pas déjà fait.
  2. Inscrivez votre certificat BPKI.
  3. Accédez à la certification des ressources sous Ressources.

AFRINIC RPKI:

rsync: //rpki.afrinic.net

https://rpki.afrinic.net    

Documents de politique:

Déclaration de pratique de certificat (CPS) 

Statistiques Statistiques globales

Détails quotidiens de validation des objets dans le référentiel

AFRINIC RPKI 

Validateurs

RIPE NCC

RPKI.net rcynic

Outil de validation RPSTIR - Outil de validation BBN  

Implémentation d'outils RPKI

RPKI.net Open Source 

Liens connexes 

  • Extension de routage sécurisé BGP (BGP-SRx)
  • RPKI pour Quagga RPKI Origine Validation

Certification de ressources à d'autres RIR 

APNIC: https://www.apnic.net/services/services-apnic-provides/resource-certification.

RIPE NCC: https://www.ripe.net/certification/

LACNIC: https://lacnic.net/en/rpki/index.html

ARIN: https://www.arin.net/resources/rpki.html 

Des questions

Si vous avez des questions, envoyez un mail à rpki-help [at] afrinic.net.  Il y a une liste de diffusion rpki-discuss [at] afrinic.net pour discuter des services RPKI.

Date de modification