O objetivo desse projeto é a emissão de material criptográfico que permita aos membros do LACNIC demonstrar de forma digital que possuem o direito de uso de endereços IPv4 e IPv6.
O projeto de certificação de recursos estabelece uma infra-estrutura de chave pública (ou PKI) chamada comumente RPKI (Resource Public Key Infraestructure). Essa infra-estrutura combina a hierarquia do modelo de designação de recursos da Internet através de Registros Regionais (RIRs) ou Registros Nacionais com o uso de certificados digitais baseados na norma X509. O uso típico dos certificados X509 é a autenticação de uma pessoa ou, por exemplo, de um website. Em RPKI os certificados X509 não vão incluir informação de identificação já que seu único objetivo é o traspasso do direito de uso de recursos da Internet.
Desde o ano de 2007 o LACNIC participa na definição dos padrões que hoje permitem o desenvolvimento dessa ferramenta. Em maio de 2010 o LACNIC lançou sua autoridade certificadora (ou CA) RPKI versão Beta para os recursos que administra. E desde janeiro de 2011 encontra-se em produção o Serviço de Certificação de Recursos do LACNIC.
O sistema tem duas modalidades, "delegada" e "hospedado". Na modalidade "delegada" uma organização pode implementar sua própria autoridade certificadora e assim manter sua própria chave privada para a assinatura de materiais criptográficos. Esta modalidade ainda não está funcionando, mas está previsto que comece a operar nos finais do primeiro semestre de 2011.
O serviço “hospedado” encontra-se operando desde o primeiro de janeiro de 2011. Nesta modalidade, as organizações podem realizar todas as tarefas relacionadas com a arquitetura RPKI simplesmente acessando uma página web.
Manual de Uso do Sistema
O manual de uso do Sistema de RPKI do LACNIC bem como outras informações de referência estão disponíveis aqui.
Atividades de Padronização
Os trabalhos de padronização da infra-estrutura RPKI são desenvolvidos no IETF (Internet Engineering Task Force). O grupo de trabalho RPSEC (Routing Protocol Security Requirements) analisou em seu documento RFC 4593 as ameaças de segurança dos protocolos de roteamento IP, principalmente o documento que refere à falsificação de informação dentro de uma mensagem de roteamento.
Em 2007 o IETF criou o grupo de trabalho SIDR (Secure Inter-domain Routing) para a elaboração da arquitetura que permita eliminar as ameaças identificadas no RFC 4593 para o roteamento entre domínios (ou externo). A tecnologia a ser desenvolvida deverá permitir sua implementação de forma incremental.
O grupo SIDR, em particular, está documentando o uso de certificados para a delegação do direito de uso de um recurso na Internet. O trabalho abrange a especificação da arquitetura do RPKI, das políticas de certificação, dos perfis dos certificados a serem emitidos e dos diferentes materiais criptográficos de utilidade, entre outros. Antes de poder emitir certificados RPKI, foi necessário definir extensões dos certificados X509 para representar endereços IPv4 e IPv6 e ASNs; essas extensões estão definidas no documento RFC3779.
Mais informações relacionadas com o grupo de trabalho do SIDR do IETF e os documentos de padronização que estão sendo desenvolvidos estão disponíveis aqui.
Função de Certificação de Recursos (RPKI)
Através da existência de uma PKI de recursos de Internet é possível validar o direito de uso de um recurso por parte de uma organização. O principal objetivo de essa infra-estrutura é o de proporcionar as bases para melhorar a segurança no encaminhamento (ou roteamento) de pacotes IP. Algumas das aplicações propostas para essa infra-estrutura são:
Construção de filtros para anúncios usando BGP (Border Gateway Protocol).
Construção de regras de roteamento baseadas na validade criptográfica dos prefixos anunciados.
Extensões de segurança para protocolo BGP, através das propostas SBGP ou soBGP.
Extensões de segurança para protocolos de roteamento interno, como OSPF ou ISIS.
Autenticação de routers nas redes de área local (ou LANs) para o protocolo de Descoberta de Vizinhança Segura ou SEND.
Assinatura de informação em serviços de Whois ou em objetos RPSL (Routing Policy Specification Language).
