A RPKI (Resource Public Key Infrastructure) é uma estrutura para certificar a posse de recursos da Internet (IPv4, IPv6 e ASN) Ele usa uma versão estendida dos padrões X.509 para criar e validar certificados contendo informações sobre posse de recursos. O RPKI segue a hierarquia de alocação da IANA para RIRs, de RIRs para LIRs e de LIRs para usuários finais. Como tal, o RPKI é um componente importante para a segurança de roteamento entre domínios, permitindo a validação da origem por meio de objetos assinados criptograficamente chamados ROAs (Autorização de Origem de Rota). Basicamente, um ROA é uma afirmação assinada por um detentor de prefixo, autorizando um número AS específico a anunciar o prefixo ou um subconjunto dele. Os ROAs são tornados públicos e validados por terceiros e os resultados da validação podem ser usados para produzir filtros BGP para aceitar ou negar anúncios de rotas de ingresso. A validação funciona subindo a cadeia de confiança, validando cada certificado ao longo do caminho até o âncora de confiança (TA).
O AT é o certificado mais alto da PKI, é autoassinado e deve conter todos os Recursos da Internet. No entanto, como atualmente não há AT gerenciado por um órgão de ponta, os cinco RIRs, incluindo o AFRINIC, estão atualmente gerenciando seu próprio AT. Portanto, cada AT contém recursos alocados pela IANA às respectivas RIR e cada RIRO sistema RPKI opera independentemente um do outro. Em geral, RIRs trabalham em conjunto para garantir que não haja sobreposição de recursos em seus respectivos ATs.
No entanto, a situação pode se tornar desafiadora com a transferência de recursos. ARIN, RIPE NCC e APNIC têm inter-RIR políticas de transferência e, portanto, estão transferindo recursos entre si. Suponha que o recurso X esteja migrando do ARIN para o RIPE NCC, o ARIN precisa remover o recurso X do seu TA e o RIPE NCC precisa adicionar X ao seu. Os problemas que podem surgir com a transferência de recursos são: (1) é um procedimento demorado, pois envolve a regeneração da AT de ambos os lados (2) sempre existe o risco de que um RIR reivindicar recursos em excesso e isso invalidaria a árvore abaixo dela.
Por definição, uma AT é uma entidade estática, geralmente válida por 10 a 20 anos e só será alterada se houver uma substituição de chave. Adicionar ou remover recursos no AT significa que um RIR terá que executar o processo complexo de regenerar uma AT toda vez que os recursos forem transferidos. Além disso, sempre que houver alteração nos recursos, precisamos ter acesso à chave privada do AT para a nova assinatura do certificado e isso é inerentemente uma prática ruim.
O RPKI é considerado um sistema de tempo de inatividade de 0%, com 100% de precisão o tempo todo e é por isso que é importante para RIRs para adotar o fazer antes do intervalo princípio. Se os recursos foram transferidos de RIRX para RIRY e RIRX emitiu certificados anteriormente com os recursos transferidos, toda a árvore sob este certificado será invalidada, pois o pai não contém mais os recursos transferidos. Isso representa um problema operacional real, pois o roteamento depende da validade dos objetos na árvore abaixo. Ter TAs com um conjunto unificado de todos os recursos (por exemplo, 0/0) atenua o risco e alivia a ameaça de ter um RIR reivindicar recursos em excesso.
Atualmente, a AFRINIC opera seu RPKI conforme a seguir:
- Uma única Trust Anchor (TA), que abrange as participações principais do Internet Number Resource (INR) do AFRINIC, bem como todas as alocações menores de INR onde o AFRINIC se considera autoritário.
- Cinco (5) Autoridades de certificação (CAs) on-line: uma para as grandes participações do INR alocadas à AFRINIC diretamente da IANA e uma para as outras quatro RIRs, cobrindo os recursos para os quais o AFRINIC é a autoridade de alguma minoria de recursos.
- CAs membros, cada uma assinada pela CA on-line de cobertura.
Após a transição para uma AT de todos os recursos, o AFRINIC RPKI será então o seguinte:
- Uma única âncora de confiança expandida, que abrange "todos os recursos".
- As mesmas cinco CAs on-line, como antes, foram assinadas novamente pela AT atualizada e expandida.
- CAs membros, cada uma assinada pela mesma CA on-line de cobertura que antes.
Isso significa que, durante e após a alteração, não há alterações visíveis nas propriedades da CA online e nenhuma alteração nas CAs membros. Portanto, nenhum ROA existente é afetado e o processo de criação de ROAs novos ou atualizados permanece inalterado.
Da mesma forma, se você executar ferramentas locais de terceiros confiáveis, geralmente chamadas de "validadores", elas deverão continuar sendo executadas como antes, sem alterações necessárias.
O AFRINIC entrará em operação com uma AT de “todos os recursos” (âncora de confiança) em 14 de Setembro de 2017. Essa alteração não afetará a validação de certificados e ROAs existentes.
Isso será totalmente testado em um ambiente de teste interno antes dessa data.
