Acabou o tempo! Por que os ROA do RPKI estão sempre prestes a expirar

17/06/2024

Acabou o tempo! Por que os ROA do RPKI estão sempre prestes a expirar

Doug Madory  &  Job Snijders,

Este artigo foi publicado originalmente no Kentik Blog

Resumo

No RPKI, determinar quando exatamente uma ROA vence não é uma questão simples. Nesta postagem, os especialistas em BGP Doug Madory e Job Snijders da Fastly analisam a diferença entre as datas de vencimento indicadas nos ROA e as datas de vencimento efetivas usadas pelos validadores, que são significativamente mais curtas. Além disso, analisamos como o comportamento das datas de vencimento efetivas mudam ao longo do tempo devido a diferenças de implementação na cadeia de autoridades de certificação.


Na nossa colaboração anterior sobre RPKI, comemoramos o mais recente marco na adoção de ROV (validação de origem de rotas, por sua sigla em inglês) com RPKI: mais de 50% das rotas IPv4 já têm ROA (autorizações de origem de rota, por sua sigla em inglês). Neste artigo, iremos nos aprofundar na mecânica do RPKI para compreender como a cadeia criptográfica contribui para a data de vencimento efetiva de um ROA.

No RPKI, um ROA é um registro assinado criptograficamente que armazena o número do sistema autônomo (ASN) autorizado para originar um intervalo de endereços IP no BGP. Junto com o ASN e um ou mais prefixos de endereços IP, o ROA também contém um certificado de entidade final X.509 que, entre outras coisas, indica a janela de validade: as marcas de tempo antes e depois das quais o ROA é válido.

Embora as datas de vencimento de alguns ROA individuais possam ser dentro de um ano, as datas de vencimento efetivas usadas pelos validadores do RPKI normalmente ocorrem apenas algumas horas ou dias depois. Isso acontece porque essas datas de vencimento efetivas são transitivas, quer dizer, são determinadas pela data de vencimento mais curta dos elos da cadeia criptográfica.

Leia também:

Como é que isso funciona?

(Acesso livre, não requer assinatura)

Para entender como isso funciona, precisamos aprofundar no significado de “assinada criptograficamente” na definição de ROA mencionada no início deste post.

Usando a rpki-client, a ferramenta de console de Job, podemos pesquisar o ROA para 151.101.8.0/22 ​​que afirma que AS54113 está autorizado para originar este prefixo IPv4.

asID: 54113
IP address blocks: 151.101.8.0/22 maxlen: 22

Além disso, nesse primeiro bloco estão nossas primeiras datas relativas à validade deste ROA.

As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.

Inscrever-se
Notificar de

0 Comments
mais antigos
mais recentes Mais votado
Feedbacks embutidos
Ver todos os comentários