Todos os usuários do sistema RPKI – sejam do lado da assinatura, do lado da validação ou ambos – merecem confiar em nossos sistemas e na precisão e acessibilidade dos dados que publicamos.
No sistema global do RPKI, os cincos Registros Regionais da Internet servem como âncora de confiança. Isso significa que cada um dos RIR possui um certificado raiz auto-assinado. Por baixo do certificado raiz, há múltiplas capas de certificados filhos, por exemplo, os de nossos membros. Estes certificados e todos os demais objetos RPKI são visíveis em um repositório. Isto acarreta uma grande responsabilidade para os RIR. Os usuários devem poder confiar em que nossos sistemas são seguros, resistentes e precisos.
No RIPE NCC, estamos dedicando uma grande quantidade de recursos para garantir esta confiança e resistência. Afinal, cada vez mais operadoras confiam no sistema do RPKI para o roteamento na Internet.
No ano 2019 iniciamos nosso projeto de “resiliência do RPKI” através de diversas avaliações de segurança, a implementação de um exaustivo monitoramento interno e externo, bem como a ascensão de nossos repositórios para melhorar a disponibilidade.
Neste processo aprendemos que a confiança se constrói se somos transparentes e fiáveis. Nesse sentido, começamos a publicar na nossa website todos os nossos relatórios de segurança e cumprimento: https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/security-and-compliance. Isso nos permite mostrar a nossos usuários o tipo de avaliações que realizamos, quem as realizou e que medidas tomamos para mitigar os problemas encontrados.
Uma das lições que aprendemos é que era necessário melhorar nossas provas unitárias e de integração. Isso deu lugar à incorporação de um engenheiro de controle de qualidade na equipe do RPKI.
Acreditamos também no código aberto. Quando os usuários podem consultar o código base e ver como funciona o sistema, isto nos permite uma melhor compreensão e aprimora a confiança. Diferentes elementos do nosso sistema de RPKI foram publicados como código aberto durante muitos anos. No ano passado adicionamos nosso núcleo de RPKI e o software de âncora de confiança a GitHub. https://github.com/RIPE-NCC
Recebemos comentários muito positivos da comunidade e apresentaremos este processo durante a reunião do RIPE em maio.
Com o intuito de manter a comunidade do RPKI informada sobre nossas prioridades, publicamos uma folha de rota trimestral. Esta folha de rota está aberta aos comentários e consideraremos qualquer solicitação de funções que recebamos. Desta forma, esperamos oferecer mais clareza sobre os prazos de nossos projetos.
Como fazer com que as normas atinjam o nível que segue
Uma das coisas que devemos nos perguntar constantemente é: Estamos fazendo as coisas corretamente? Nossa autoridade de certificação e âncora de confiança é segura? O que devemos melhorar e de que forma?
Existem centenas de âmbitos de auditoria, mas nenhum deles ajusta-se exatamente ao sistema do RPKI. Precisávamos um âmbito de auditoria amplamente reconhecido que abrangesse todos os elementos importantes da segurança informática e que pudesse se adaptar aos princípios de desenho e os RFC do RPKI. Para isso, optamos por associar-nos com The British Standards Institution para desenvolver um âmbito de auditoria RPKI que potencialmente possa também ser utilizado por outras âncoras de confiança.
Trata-se de um âmbito de auditoria ISAE3000/SOC 2 Tipo II. No ano 2021 identificamos os controles e BSI realizou uma análise de deficiências. Agora estamos reunindo provas para nossa auditoria. Em 2022 começaremos com uma avaliação da normativa a cargo de um terceiro.
Dado que as normas ISAE3000/SOC 2 de tipo II são livres por natureza, queremos estar seguros de contar com os controles e provas adequadas.
Obviamente, manteremos a comunidade informada sobre o processo e o resultado desta avaliação.
A importância da senha
O “K” no RPKI significa “senha”. No nosso serviço hospedado de RPKI, armazenamos as chaves públicas e privadas dos nossos associados na nossa plataforma. Além do mais, devemos garantir de que nossa própria senha privada se mantenha privada. Quanto às senhas, utilizamos vários módulos de segurança de hardware. Estes módulos de segurança de hardware devem possuir a máxima qualidade e altos padrões. No ano passado, substituímos nossos módulos de segurança de hardware que armazenavam a senha privada da âncora de confiança. Em breve publicaremos um artigo do RIPE Labs sobre como gerenciamos essa migração. No final deste ano, substituiremos nossos módulos de segurança de hardware online. Esta será uma migração ainda mais complicada, já que atingirá todas as senhas dos nossos associados que utilizam a nossa plataforma do RPKI hospedada.
O serviço de publicação do RPKI
Quando os usuários preferem hospedar sua própria entidade certificadora (CA), atualmente também são responsáveis por publicar de forma automática seus próprios objetos RPKI. Este é o modelo atual do “RPKI delegado”. Porém, na prática muitas vezes vemos que estes usuários não possuem a capacidade de facilitar pontos de publicação de alta disponibilidade. No ano passado, APNIC e ARIN já lançaram seu serviço de publicação para os usuários que querem operar sua própria CA. Este ano, RIPE NCC também porá à disposição este serviço através de nosso tabuleiro de RPKI.
E ainda tem mais…
Em 2022 continuamos com o objetivo da resistência e segurança do sistema de RPKI. Realizaremos outra prova de penetração em nosso software, firmamos também um acordo com um terceiro para que seja realizada uma provas de equipe vermelha (Red Team Testing).
Continuamos trabalhando para melhorar nossa infraestrutura de publicação de RRDP e rync, bem como nosso monitoramento e alertas. Estas coisas nunca se detêm. Além disso, queremos melhorar nosso tabuleiro RPKI no futuro, adicionando outros objetos RPKI que sejam padrões no IETF e a funcionalidade route/ruta6.
Juntamente com os demais RIR, nos comprometemos a manter uma âncora de confiança de RPKI segura e resistente.
