A Infraestrutura de Chave Pública de Recursos (RPKI) é uma estrutura para certificar a titularidade de recursos da Internet (IPv4, IPv6 e ASNEle usa uma versão estendida dos padrões X.509 para criar e validar certificados contendo informações sobre a titularidade de recursos. O RPKI segue a hierarquia de alocação da IANA para RIRs, de RIRde LIRs para usuários finais. Assim, a RPKI é um componente importante para a segurança do roteamento interdomínio, permitindo a validação da origem por meio de objetos assinados criptograficamente chamados ROAs (Route Origin Authorization). Basicamente, um ROA é uma declaração assinada pelo detentor de um prefixo, autorizando um número AS específico a anunciar o prefixo ou um subconjunto dele. Os ROAs são então tornados públicos e validados por terceiros, e os resultados da validação podem ser usados para gerar filtros BGP para aceitar ou negar anúncios de rotas de entrada. A validação funciona percorrendo a cadeia de confiança, validando cada certificado ao longo do caminho até o usuário final. âncora de confiança (TA).
O TA é o certificado de nível mais alto da PKI, é autoassinado e deve conter todos os Recursos da Internet. No entanto, como atualmente não existe uma única AT gerenciada por um órgão máximo, as cinco RIRAs agências de transferência de recursos, incluindo a AFRINIC, estão atualmente gerenciando suas próprias agências de transferência. Portanto, cada agência de transferência contém recursos alocados pela IANA à respectiva agência. RIR e cada RIROs sistemas RPKI operam independentemente uns dos outros. Em geral, RIROs assistentes técnicos trabalham em colaboração para garantir que não haja sobreposição de recursos em suas respectivas áreas de assistência técnica.
No entanto, a situação pode se tornar desafiadora com as transferências de recursos. ARIN, RIPE NCC e APNIC têm inter-RIR políticas de transferência e, portanto, transferem recursos entre si. Suponha que o recurso X esteja sendo transferido da ARIN para a RIPE NCC; a ARIN precisa remover o recurso X de sua TA e a RIPE NCC precisa adicionar X à sua. Os problemas que podem surgir com uma transferência de recursos são: (1) é um procedimento demorado, pois envolve a regeneração da TA em ambos os lados; (2) sempre existe o risco de que uma RIR A reivindicação excessiva de recursos invalidaria a árvore abaixo dela.
Por definição, uma TA é uma entidade estática, geralmente válida por 10 a 20 anos, e só se altera em caso de troca de chave. Adicionar ou remover recursos na TA significa que... RIR Será necessário executar o complexo processo de regeneração de uma Autoridade de Transferência (TA) sempre que houver transferência de recursos. Além disso, a cada alteração de recursos, precisamos ter acesso à chave privada da TA para a renovação do certificado, o que é inerentemente uma má prática.
O RPKI foi concebido para ser um sistema com 0% de tempo de inatividade e 100% de precisão em todos os momentos, e é por isso que é importante para RIRs para adotar o fazer antes do intervalo princípio. Se os recursos foram transferidos de RIRX para RIRY e RIRX já emitiu certificados com os recursos transferidos; toda a árvore abaixo desse certificado será invalidada, pois o certificado pai não contém mais os recursos transferidos. Isso representa um problema operacional real, já que o roteamento depende da validade dos objetos na árvore abaixo. Ter TAs com um conjunto unificado de todos os recursos (por exemplo, 0/0) mitiga o risco e reduz a ameaça de ter um RIR Apropriação excessiva de recursos.
A AFRINIC opera atualmente sua RPKI (Rede de Infraestrutura de Chaves Públicas Remota) da seguinte forma:
- Uma única Âncora de Confiança (TA, na sigla em inglês), que abrange as principais participações da AFRINIC em Recursos Numéricos da Internet (INR, na sigla em inglês), bem como todas as alocações menores de INR onde a AFRINIC se considera uma autoridade competente.
- Cinco (5) Autoridades Certificadoras (ACs) online: uma para as grandes reservas de INR alocadas à AFRINIC diretamente pela IANA e uma para cada uma das outras quatro. RIRs, abrangendo os recursos para os quais a AFRINIC é a autoridade em relação a uma minoria de recursos.
- Certificados de Autoridade de Certificação (CAs) membros, cada um assinado pelo CA online responsável.
Após a transição para uma Assistência Técnica (AT) com todos os recursos disponíveis, o AFRINIC RPKI será o seguinte:
- Uma âncora de confiança única e ampliada, que abrange “todos os recursos”.
- Os mesmos cinco CAs online, como antes, foram reassinados pelo TA recém-atualizado e ampliado.
- Certificações de Autoridade Certificadora (CAs) membros, cada uma assinada pela mesma CA online que a anterior.
Isso significa que, durante e após a alteração, não haverá mudanças visíveis nas participações da Autoridade de Certificação online, nem qualquer alteração nas Autoridades de Certificação membros. Portanto, nenhum Registro Operacional de Contas (ROA) existente será afetado, e o processo para criar ou atualizar ROAs permanece inalterado.
Da mesma forma, se você executar ferramentas locais de terceiros confiáveis, geralmente chamadas de "validadores", elas deverão continuar funcionando como antes, sem necessidade de alterações.
A AFRINIC entrará em operação com uma TA (âncora de confiança) de "todos os recursos" em 14 de Setembro de 2017Essa alteração não afetará a validação de certificados e ROAs existentes.
Isso será totalmente testado em um ambiente de teste interno antes dessa data.
