Información General sobre Certificación de Recursos (RPKI)

 

LACNIC opera el Sistema de Certificación de Recursos (RPKI) para los recursos numéricos asignados en la región.

Certificación de Recursos (RPKI)

El objetivo de este proyecto es la emisión de material criptográfico que permita a los miembros de LACNIC demostrar digitalmente que poseen el derecho de uso de direcciones IPv4 e IPv6.

El proyecto de certificación de recursos establece una infraestructura de clave pública (o PKI) comúnmente llamada RPKI (Resource Public Key Infraestructure). Esta infraestructura combina la jerarquía del modelo de asignación de recursos de Internet a través de Registros Regionales (RIRs) o Registros Nacionales, con el uso de certificados digitales basados en la norma X509. El uso típico de los certificados X509 es el de la autenticación, ya sea de un individuo, o por ejemplo, de un sitio web. En RPKI los certificados X509 no van a incluir información de identificación, dado que su único fin es el traspaso del derecho de uso de recursos de Internet.

LACNIC participa desde el año 2007 en la definición de los estándares que hoy permiten el desarrollo de esta herramienta. En mayo de 2010 LACNIC lanzó su entidad certificadora (o CA) RPKI versión Beta, para los recursos que administra. Y desde enero de 2011 ya se encuentra en producción el Servicio de Certificación de Recursos de LACNIC.

Sistema RPKI

El Sistema de RPKI de LACNIC puede ser accedido en esta liga.

El sistema tiene dos modalidades, "delegada" y "alojado". En la modalidad "delegada" una organización puede implementar su propia entidad certificadora y así mantener su propia clave privada para la firma de materiales criptográficos. Este esquema no se encuentra aún en funcionamiento, pero está previsto que comience a operar a finales del primer semestre de 2011.

El servicio "alojado" se encuentra en operación desde el 1 de enero de 2011. En esta modalidad, con el acceso a una simple página web, las organizaciones miembros pueden realizar todas las tareas relacionadas con la arquitectura RPKI.

Manual de Uso del Sistema

El manual de uso del Sistema de RPKI de LACNIC así como otra información de referencia se puede acceder aquí.

Actividades de Estandarización

Los trabajos de estandarización de la infraestructura RPKI se llevan adelante en el IETF (Internet Engineering Task Force). El grupo de trabajo RPSEC (Routing Protocol Security Requirements) analizó en su documento RFC 4593 las amenazas de seguridad de los protocolos de enrutamiento IP, en particular dicho documento menciona la falsificación de información dentro de un mensaje de enrutamiento.

En el año 2007 IETF creó el grupo de trabajo SIDR (Secure Inter-domain Routing) para la elaboración de la arquitectura que permita eliminar las amenazas identificadas en el RFC 4593 para el enrutamiento entre dominios (o externo). La tecnología a desarrollar deberá permitir su implementación de forma incremental.

Particularmente, el grupo SIDR está documentando el uso de certificados para la delegación del derecho de uso de un recurso en Internet. El trabajo abarca la especificación de la arquitectura del RPKI, de las políticas de certificación, de los perfiles de los certificados a emitir y de diferentes materiales criptográficos de utilidad, entre otros. Antes de poder emitir certificados RPKI, fue necesario definir extensiones de los certificados X509 para representar direcciones IPv4 e IPv6 y ASNs; estas extensiones se definen en el documento RFC3779.

Más información relacionada con el grupo de trabajo de SIDR del IETF y los documentos de estandarización que se están desarrollando se puede acceder en esta liga.

Función de Certificación de Recursos (RPKI)

A través de la existencia de una PKI de recursos de Internet, es posible validar el derecho a uso de un recurso por parte de una organización. El principal objetivo de esta infraestructura es el de proporcionar las bases para el mejoramiento de la seguridad en el encaminamiento (o "routing") de paquetes IP. Algunas de las aplicaciones propuestas para esta infraestructura son:

  • Construcción de filtros para anuncios utilizando BGP (Border Gateway Protocol).
  • Construcción de reglas de enrutamiento basadas en la validez criptográfica de los prefijos anunciados
  • Extensiones de seguridad para protocolo BGP, a través de las propuestas SBGP o soBGP.
  • Extensiones de seguridad para protocolos de enrutamiento interno, como ser OSPF o ISIS.
  • Autenticación de routers en las redes de área local (o LANs) para el protolo de Descubrimiento de Vecinos Seguro o SEND.
  • Firma de información en servicios de Whois o en objetos RPSL (Routing Policy Specification Language).