Certificação de Recursos (RPKI)

O sistema de certificação de recursos do LACNIC conta com duas modalidades: “delegada” e “hospedado”. Na modalidade “delegada” uma organização pode implementar sua própria entidade certificadora e assim manter sua própria chave privada para a assinatura de materiais criptográficos.

Serviço Delegado do RPKI

O serviço “delegado” opera desde 18 de dezembro de 2019. Esta modalidade está disponível para todos os associados do LACNIC. Os interessados em aceder ao RPKI no modo delegado, devem encaminhar um e-mail a hostmaster [at] lacnic [.] net com os seguintes dados:

  • O ID da organização (Orgld)
  • Nome e sobrenomes do contato.
  • Correio eletrônico do contato.

Brasil: As organizações que receberam espaço do Registro.br podem acessar mediante: https://registro.br/tecnologia/numeracao/rpki/

Serviço Hospedado do RPKI

O serviço “hospedado” opera desde 1º de janeiro de 2011. Nesta modalidade, acessando a uma simples página web, as organizações associadas podem realizar todas as atividades relacionadas com a arquitetura RPKI através do seguinte link.

As organizações que receberam recursos do IAR.MX deverão acessar através do seguinte link http://rpki.lacnic.net

Manual de Uso do Sistema

Acesse aqui o manual de uso do sistema para ver na íntegra a informação relacionada à gestão e administração de certificados e ROAs.

Por mais informação leia a nossa sessão de Perguntas e respostas (FAQ)

Atividades de Padronização

Os trabalhos de padronização da infraestrutura RPKI estão em andamento no IETF (Internet Engineering Task Force). O grupo de trabalho RPSEC (Routing Protocol Security Requirements) analisou em seu documento RFC 4593 as ameaças de segurança dos protocolos de roteamento IP. Em particular, este documento menciona a falsificação de informação dentro de uma mensagem de roteamento.

No ano 2007 IETF criou o grupo de trabalho SIDR (Secure Inter-domain Routing) para a elaboração da arquitetura que permita excluir as ameaças identificadas no RFC 4593 para o roteamento entre domínios (ou externo). A tecnologia a ser desenvolvida deverá permitir sua implementação de forma incremental. 

Particularmente, o grupo SIDR documentou o uso de certificados para delegar o direito de uso de um recurso na Internet. O trabalho abrange a especificação da arquitetura do RPKI, das políticas de certificação, dos perfis dos certificados a serem emitidos e de diferentes materiais criptográficos de utilidade, entre outros. Antes de conseguir emitir certificados RPKI, foi necessário definir extensões dos certificados X509 para apresentar endereços IPv4, IPv6 e ASNs. Os RFCs que já formam parte da especificação do RPKI são: RFC6480 a RFC6493, RCF6810 e RFC6811

Encontre mais informação relacionada com o grupo de trabalho SIDR e SIDROPS nos seguintes links:
https://datatracker.ietf.org/wg/sidr/about/
https://datatracker.ietf.org/wg/sidrops/about/

Referências extras

https://datatracker.ietf.org/group/sidrops/about/
https://datatracker.ietf.org/wg/sidr/charter/
https://www.fortproject.net/

Âncora de confiança do RPKI

No âmbito da arquitetura do RPKI, o "TAL" (Trust Anchor Locator) é um arquivo que contém as informações necessárias para que uma ferramenta de validação do RPKI possa acessar a localização do repositório e iniciar o processo de validação.

O TAL contém dois elementos:

  • Um URL que aponta para o repositório do RPKI do LACNIC

  • A chave pública de LACNIC codificada adequadamente

O TAL do LACNIC é o seguinte:

  rsync://repository.lacnic.net/rpki/lacnic/rta-lacnic-rpki.cer 
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqZEzhYK0+PtDOPfub/KR 
c3MeWx3neXx4/wbnJWGbNAtbYqXg3uU5J4HFzPgk/VIppgSKAhlO0H60DRP48by9 
gr5/yDHu2KXhOmnMg46sYsUIpfgtBS9+VtrqWziJfb+pkGtuOWeTnj6zBmBNZKK+ 
5AlMCW1WPhrylIcB+XSZx8tk9GS/3SMQ+YfMVwwAyYjsex14Uzto4GjONALE5oh1 
M3+glRQduD6vzSwOD+WahMbc9vCOTED+2McLHRKgNaQf0YJ9a1jG9oJIvDkKXEqd 
fqDRktwyoD74cV57bW3tBAexB7GglITbInyQAsmdngtfg2LUMrcROHHP86QPZINj 
DQIDAQAB

Embora a maioria das ferramentas de validação já inclua os arquivos TAL necessários, em alguns casos, pode ser útil ter o arquivo TAL separadamente.

Ele pode ser baixado clicando no link:

https://www.lacnic.net/rpki/lacnic.tal

O formato dos arquivos TAL é especificado pelos documentos da Internet Engineering Task Force (IETF):

SYSTEM CERTIFICATION ISO 9001 SGS

CHK_LACNIC