L'infrastructure de clé publique de ressource (RPKI) est un cadre permettant de certifier la propriété des ressources Internet (IPv4, IPv6 et ASN). Il utilise une version étendue des normes X.509 pour créer et valider des certificats contenant des informations sur le détenteur des ressources. RPKI suit la hiérarchie d'allocation de l'IANA à RIRs, de RIRs aux LIR et des LIR aux utilisateurs finaux. En tant que tel, le RPKI est un composant important pour la sécurité du routage interdomaine en permettant la validation de l'origine via des objets signés cryptographiquement appelés ROA (Route Origin Authorization). Fondamentalement, un ROA est une assertion signée par un détenteur de préfixe, autorisant un numéro AS spécifique à annoncer le préfixe ou un sous-ensemble de celui-ci. Les ROA sont ensuite rendus publics et validés par des tiers et les résultats de validation peuvent être utilisés pour produire des filtres BGP pour accepter ou refuser les annonces de route d'entrée. La validation fonctionne en remontant la chaîne de confiance, en validant chaque certificat le long du chemin menant au ancre de confiance (TA).
Le TA est le certificat le plus élevé de l'ICP, il est auto-signé et est censé contenir tous Ressources Internet. Cependant, comme il n'existe actuellement aucune TA unique gérée par un organe faîtier, les cinq RIRs dont AFRINIC gèrent actuellement leur propre AT. Chaque TA contient donc des ressources allouées par l'IANA aux RIR et chacun RIRLe système RPKI fonctionne indépendamment les uns des autres. En général, RIRs travaillent en collaboration pour s'assurer qu'il n'y a pas de chevauchement des ressources dans leurs AT respectives.
Cependant, la situation peut devenir difficile avec les transferts de ressources. ARIN, RIPE NCC et APNIC ont des inter-RIR transfèrent les politiques et transfèrent donc des ressources entre eux. Supposons que la ressource X se déplace d'ARIN vers RIPE NCC, ARIN doit supprimer la ressource X de son TA et RIPE NCC doit ajouter X à celle-ci. Les problèmes qui peuvent survenir lors d'un transfert de ressources sont les suivants: (1) il s'agit d'une procédure longue car elle implique la régénération de l'AT des deux côtés (2) il y a toujours un risque qu'un RIR sur-revendique les ressources, et cela invaliderait l'arborescence en dessous.
Par définition, une AT est une entité statique, généralement valable pendant 10 à 20 ans et ne changera qu'en cas de renouvellement de clé. L'ajout ou la suppression de ressources dans l'AT signifie qu'un RIR devra exécuter le processus complexe de régénération d'une AT à chaque transfert de ressources. De plus, chaque fois qu'il y a un changement dans les ressources, nous devons avoir accès à la clé privée du TA pour la re-signature du certificat, ce qui est intrinsèquement une mauvaise pratique.
RPKI est conçu comme un système à 0% de temps d'arrêt avec une précision de 100% à tout moment et c'est pourquoi il est important pour RIRs adopter le faire avant la pause principe. Si des ressources ont été transférées de RIRX à RIRY et RIRX a précédemment émis des certificats avec les ressources transférées, toute l'arborescence sous ce certificat sera invalidée car le parent ne contient plus les ressources transférées. Cela pose un réel problème opérationnel car le routage dépend de la validité des objets dans l'arborescence ci-dessous. Avoir des AT avec un ensemble unifié de toutes les ressources (par exemple 0/0) atténue le risque et atténue la menace d'avoir un RIR sur-réclamer des ressources.
AFRINIC exploite actuellement son RPKI comme suit:
- Un seul Trust Anchor (TA), qui couvre les principaux fonds INR (Internet Number Resource) d'AFRINIC, ainsi que toutes les petites allocations INR où AFRINIC se considère comme faisant autorité.
- Cinq (5) autorités de certification en ligne (CA): une pour les grandes réserves d'INR allouées à AFRINIC directement depuis l'IANA, et une pour les quatre autres RIRs, couvrant les ressources pour lesquelles AFRINIC est l'autorité pour une minorité de ressources.
- Autorités de certification membres, chacune signée par l'autorité de certification en ligne concernée.
Après la transition vers une AT toutes ressources, l'AFRINIC RPKI sera alors le suivant:
- Une ancre de confiance unique élargie, qui couvre «toutes les ressources».
- Les cinq mêmes autorités de certification en ligne, comme précédemment, ont signé de nouveau par l'AT nouvellement mise à jour et étendue.
- CA membres, chacun signé par le même CA couvrant en ligne qu'auparavant.
Cela signifie que pendant et après le changement, il n'y a aucun changement visible dans les fonds de l'AC en ligne, et aucun changement du tout sur les AC membres. Par conséquent, aucun ROA existant n'est affecté et le processus de création de ROA nouveaux ou mis à jour reste inchangé.
De même, si vous exécutez des outils locaux de confiance, souvent appelés «validateur», il devrait continuer à fonctionner comme avant, sans aucune modification nécessaire.
AFRINIC sera mis en ligne avec une AT «toutes ressources» (ancre de confiance) sur 14 septembre 2017. Cette modification n'affectera pas la validation des certificats et des ROA existants.
Celui-ci sera entièrement testé dans un environnement de test interne avant cette date.