Informação Geral sobre Certificação de Recursos (RPKI)

 

LACNIC opera el Sistema de Certificación de Recursos (RPKI) para los recursos numéricos asignados en la región.

Certificação de Recursos (RPKI)

O objetivo desse projeto é a emissão de material criptográfico que permita aos membros do LACNIC demonstrar de forma digital que possuem o direito de uso de endereços IPv4 e IPv6.

O projeto de certificação de recursos estabelece uma infra-estrutura de chave pública (ou PKI) chamada comumente RPKI (Resource Public Key Infraestructure). Essa infra-estrutura combina a hierarquia do modelo de designação de recursos da Internet através de Registros Regionais (RIRs) ou Registros Nacionais com o uso de certificados digitais baseados na norma X509. O uso típico dos certificados X509 é a autenticação de uma pessoa ou, por exemplo, de um website. Em RPKI os certificados X509 não vão incluir informação de identificação já que seu único objetivo é o traspasso do direito de uso de recursos da Internet.

Desde o ano de 2007 o LACNIC participa na definição dos padrões que hoje permitem o desenvolvimento dessa ferramenta. Em maio de 2010 o LACNIC lançou sua autoridade certificadora (ou CA) RPKI versão Beta para os recursos que administra. E desde janeiro de 2011 encontra-se em produção o Serviço de Certificação de Recursos do LACNIC.

Sistema RPKI

Acesse o Sistema de RPKI do LACNIC clicando aqui.

O sistema tem duas modalidades, "delegada" e "hospedado". Na modalidade "delegada" uma organização pode implementar sua própria autoridade certificadora e assim manter sua própria chave privada para a assinatura de materiais criptográficos. Esta modalidade ainda não está funcionando, mas está previsto que comece a operar nos finais do primeiro semestre de 2011.

O serviço "hospedado" encontra-se operando  desde o primeiro de janeiro de 2011. Nesta modalidade, as organizações podem realizar todas as tarefas relacionadas com  a arquitetura RPKI simplesmente acessando uma página web.

Manual de Uso do Sistema

O manual de uso do Sistema de RPKI do LACNIC bem como outras informações de referência estão disponíveis aqui.

Atividades de Padronização

Os trabalhos de padronização da infra-estrutura RPKI são desenvolvidos no IETF (Internet Engineering Task Force). O grupo de trabalho RPSEC (Routing Protocol Security Requirements) analisou em seu documento RFC 4593 as ameaças de segurança dos protocolos de roteamento IP, principalmente o documento que refere à falsificação de informação dentro de uma mensagem de roteamento.

Em 2007 o IETF criou o grupo de trabalho SIDR (Secure Inter-domain Routing) para a elaboração da arquitetura que permita eliminar as ameaças identificadas no RFC 4593 para o roteamento entre domínios (ou externo). A tecnologia a ser desenvolvida deverá permitir sua implementação de forma incremental.

O grupo SIDR, em particular, está documentando o uso de certificados para a delegação do direito de uso de um recurso na Internet. O trabalho abrange a especificação da arquitetura do RPKI, das políticas de certificação, dos perfis dos certificados a serem emitidos e dos diferentes materiais criptográficos de utilidade, entre outros. Antes de poder emitir certificados RPKI, foi necessário definir extensões dos certificados X509 para representar endereços IPv4 e IPv6 e ASNs; essas extensões estão definidas no documento RFC3779.

Mais informações relacionadas com o grupo de trabalho do SIDR do IETF e os documentos de padronização que estão sendo desenvolvidos estão disponíveis aqui.

Função de Certificação de Recursos (RPKI)

Através da existência de uma PKI de recursos de Internet é possível validar o direito de uso de um recurso por parte de uma organização. O principal objetivo de essa infra-estrutura é o de proporcionar as bases para melhorar a segurança no encaminhamento (ou roteamento) de pacotes IP. Algumas das aplicações propostas para essa infra-estrutura são:

  • Construção de filtros para anúncios usando BGP (Border Gateway Protocol).
  • Construção de regras de roteamento baseadas na validade criptográfica dos prefixos anunciados.
  • Extensões de segurança para protocolo BGP, através das propostas SBGP ou soBGP.
  • Extensões de segurança para protocolos de roteamento interno, como OSPF ou ISIS.
  • Autenticação de routers nas redes de área local (ou LANs) para o protocolo de Descoberta de Vizinhança Segura ou SEND.
  • Assinatura de informação em serviços de Whois ou em objetos RPSL (Routing Policy Specification Language).