{"id":26342,"date":"2024-06-17T20:11:59","date_gmt":"2024-06-17T20:11:59","guid":{"rendered":"https:\/\/blog.lacnic.net\/?p=26342"},"modified":"2024-06-17T20:22:22","modified_gmt":"2024-06-17T20:22:22","slug":"acabou-o-tempo-por-que-os-roa-do-rpki-estao-sempre-prestes-a-expirar","status":"publish","type":"post","link":"https:\/\/blog.lacnic.net\/pt-br\/acabou-o-tempo-por-que-os-roa-do-rpki-estao-sempre-prestes-a-expirar\/","title":{"rendered":"Acabou o tempo! Por que os ROA do RPKI est\u00e3o sempre prestes a expirar"},"content":{"rendered":"\n

Doug Madory<\/strong><\/a>  &  Job Snijders<\/strong><\/a>,<\/p>\n\n\n\n

Este artigo foi publicado originalmente no <\/em>Kentik Blog<\/a><\/p>\n\n\n\n

Resumo<\/strong><\/strong><\/h3>\n\n\n\n

No RPKI, determinar quando exatamente uma ROA vence n\u00e3o \u00e9 uma quest\u00e3o simples. Nesta postagem, os especialistas em BGP Doug Madory e Job Snijders da Fastly analisam a diferen\u00e7a entre as datas de vencimento indicadas nos ROA e as datas de vencimento efetivas usadas pelos validadores, que s\u00e3o significativamente mais curtas. Al\u00e9m disso, analisamos como o comportamento das datas de vencimento efetivas mudam ao longo do tempo devido a diferen\u00e7as de implementa\u00e7\u00e3o na cadeia de autoridades de certifica\u00e7\u00e3o.<\/p>\n\n\n\n

\n\n\n\n

Na nossa colabora\u00e7\u00e3o anterior sobre RPKI<\/a>, comemoramos o mais recente marco na ado\u00e7\u00e3o de ROV (valida\u00e7\u00e3o de origem de rotas, por sua sigla em ingl\u00eas) com RPKI: mais de 50% das rotas IPv4 j\u00e1 t\u00eam ROA<\/a> (autoriza\u00e7\u00f5es de origem de rota, por sua sigla em ingl\u00eas). Neste artigo, iremos nos aprofundar na mec\u00e2nica do RPKI para compreender como a cadeia criptogr\u00e1fica contribui para a data de vencimento efetiva de um ROA.<\/p>\n\n\n\n

No RPKI, um ROA \u00e9 um registro assinado criptograficamente que armazena o n\u00famero do sistema aut\u00f4nomo (ASN) autorizado para originar um intervalo de endere\u00e7os IP no BGP. Junto com o ASN e um ou mais prefixos de endere\u00e7os IP, o ROA tamb\u00e9m cont\u00e9m um certificado de entidade final X.509<\/a> que, entre outras coisas, indica a janela de validade<\/em>: as marcas de tempo antes e depois das quais o ROA \u00e9 v\u00e1lido.<\/p>\n\n\n\n

Embora as datas de vencimento de alguns ROA individuais possam ser dentro de um ano, as datas de vencimento efetivas<\/em> usadas pelos validadores do RPKI normalmente ocorrem apenas algumas horas ou dias depois. Isso acontece porque essas datas de vencimento efetivas s\u00e3o transitivas, quer dizer, s\u00e3o determinadas pela data de vencimento mais curta dos elos da cadeia criptogr\u00e1fica.<\/p>\n\n\n

Leia tamb\u00e9m:<\/div><\/div><\/div>
Marco importante na implanta\u00e7\u00e3o da valida\u00e7\u00e3o de origem com RPKI<\/a><\/div><\/div><\/section>\n\n\n

<\/a>Como \u00e9 que isso funciona?<\/strong><\/p>\n\n\n\n

Para entender como isso funciona, precisamos aprofundar no significado de \u201cassinada criptograficamente\u201d na defini\u00e7\u00e3o de ROA mencionada no in\u00edcio deste post.<\/p>\n\n\n\n

Usando a rpki-client, a ferramenta de console<\/a> de Job, podemos pesquisar o ROA para 151.101.8.0\/22 \u200b\u200bque afirma que AS54113 est\u00e1 autorizado para originar este prefixo IPv4.<\/p>\n\n\n\n

asID: 54113\nIP address blocks: 151.101.8.0\/22 maxlen: 22<\/code><\/pre>\n\n\n\n
Al\u00e9m disso, nesse primeiro bloco est\u00e3o nossas primeiras datas relativas \u00e0 validade deste ROA.<\/p>\n\n\n\n
Signing time:             Sat 11 May 2024 01:00:27 +0000\nROA not before:           Sat 11 May 2024 01:00:27 +0000\nROA not after:            Fri 09 Aug 2024 01:00:27 +0000<\/code><\/pre>\n\n\n\n
Portanto, este ROA \u00e9 v\u00e1lido at\u00e9 agosto de 2024, desde que todos os outros elementos da cadeia tamb\u00e9m sejam v\u00e1lidos at\u00e9 agosto de 2024.  \u00c9 a\u00ed que entra em jogo a seguinte se\u00e7\u00e3o Signature path<\/em>.<\/p>\n\n\n\n
Validation:               OK\nSignature path:           rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/871da40f-793a-4a45-a0a9-978148321a07\/e605f279-55f4-48ec-ba13-4845c0973a63\/e605f279-55f4-48ec-ba13-4845c0973a63.crl\n                          rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/871da40f-793a-4a45-a0a9-978148321a07\/e605f279-55f4-48ec-ba13-4845c0973a63\/e605f279-55f4-48ec-ba13-4845c0973a63.mft\n                          rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/871da40f-793a-4a45-a0a9-978148321a07\/e605f279-55f4-48ec-ba13-4845c0973a63.cer\n                          rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/871da40f-793a-4a45-a0a9-978148321a07\/871da40f-793a-4a45-a0a9-978148321a07.crl\n                          rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/871da40f-793a-4a45-a0a9-978148321a07\/871da40f-793a-4a45-a0a9-978148321a07.mft\n                          rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/871da40f-793a-4a45-a0a9-978148321a07.cer\n                          rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/5e4a23ea-e80a-403e-b08c-2171da2157d3.crl\n                          rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/5e4a23ea-e80a-403e-b08c-2171da2157d3.mft\n                          rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3.cer\n                          rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/arin-rpki-ta.crl\n                          rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/arin-rpki-ta.mft\n                          rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta.cer\nSignature path expires:   Fri 31 May 2024 14:00:00 +0000<\/code><\/pre>\n\n\n\n
O caminho de assinaturas acima (Signature path<\/em>, tamb\u00e9m conhecido como Certification path<\/em><\/a>) descreve o processo de valida\u00e7\u00e3o de assinatura criptogr\u00e1fica de v\u00e1rios passos que foi necess\u00e1rio para passar deste ROA para a \u201cancora de confian\u00e7a\u201d (neste caso, ARIN). Cada elo desta cadeia tem a sua pr\u00f3pria data de validade, a mais longa definida para um futuro distante (o ano de 2025!). Mas \u00e9 a mais pr\u00f3xima que rege o vencimento geral do caminho da assinatura e, portanto, a data de vencimento efetiva do ROA.<\/p>\n\n\n\n
Existem tr\u00eas tipos diferentes de arquivos vinculados pela ferramenta do console: listas de revoga\u00e7\u00e3o de certificados (.crl), manifestos (.mft) e certificados (.cer).<\/p>\n\n\n\n
Gloss\u00e1rio<\/strong> 

Os manifestos<\/em> declaram com seguran\u00e7a o conte\u00fado de um reposit\u00f3rio RPKI e fazem refer\u00eancia \u00e0s CRL e os ROA atuais. Um manifesto determinado \u00e9 v\u00e1lido at\u00e9 a pr\u00f3xima atualiza\u00e7\u00e3o (next Update<\/em>). Quando confrontados com m\u00faltiplas vers\u00f5es v\u00e1lidas de um manifesto, os validadores do RPKI decidem qual vers\u00e3o do manifesto usar com base em um n\u00famero de s\u00e9rie que aumenta monotonicamente dentro da carga \u00fatil do manifesto. 

As CRL<\/em> (Certificate Revocation Lists<\/em> ou listas de revoga\u00e7\u00e3o de certificados) cont\u00eam a lista de n\u00fameros de s\u00e9rie dos certificados que foram revogados pela Autoridade de Certifica\u00e7\u00e3o (CA) emissora antes da data de vencimento programada. Para retirar um ROA da rota\u00e7\u00e3o, uma CA remove o nome do arquivo do ROA do manifesto e adiciona o n\u00famero de s\u00e9rie do certificado da entidade final do ROA \u00e0 CRL. Uma CRL \u00e9 v\u00e1lida at\u00e9 o momento especificado para a pr\u00f3xima atualiza\u00e7\u00e3o (next Update<\/em>). 

Os certificados<\/em> s\u00e3o usados \u200b\u200bpara provar a validade das chaves p\u00fablicas. Os certificados RPKI s\u00e3o definidos usando o padr\u00e3o X.509<\/a>. Cada certificado cont\u00e9m sua pr\u00f3pria janela de validade, uma chave p\u00fablica, ponteiros para a localiza\u00e7\u00e3o dos reposit\u00f3rios na rede e alguns metadados adicionais. Os validadores do RPKI usam a chave p\u00fablica para validar o manifesto, a CRL e os ROA na localiza\u00e7\u00e3o do reposit\u00f3rio. Por sua vez, o conte\u00fado do certificado \u00e9 protegido por uma assinatura criptogr\u00e1fica de um emissor superior na cadeia. No RPKI, o \u201ccertificado raiz\u201d \u00e9 conhecido como a \u00e2ncora de confian\u00e7a<\/em>. Trata-se de um certificado autoassinado que pode ser validado com um localizador de \u00e2ncoras de confian\u00e7a<\/em>.  <\/p>\n\n\n\n
Seguindo os links, podemos construir a seguinte lista de vencimentos nesse caminho de assinaturas:<\/p>\n\n\n\n
Signature path:           Fri 31 May 2024 23:00:00 rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/871da40f-793a-4a45-a0a9-978148321a07\/e605f279-55f4-48ec-ba13-4845c0973a63\/e605f279-55f4-48ec-ba13-4845c0973a63.crl\n                          Fri 31 May 2024 23:00:00 rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/871da40f-793a-4a45-a0a9-978148321a07\/e605f279-55f4-48ec-ba13-4845c0973a63\/e605f279-55f4-48ec-ba13-4845c0973a63.mft\n                          Mon 13 Apr 2026 22:13:58 rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/871da40f-793a-4a45-a0a9-978148321a07\/e605f279-55f4-48ec-ba13-4845c0973a63.cer\n                          Sat 01 Jun 2024 13:00:00 rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/871da40f-793a-4a45-a0a9-978148321a07\/871da40f-793a-4a45-a0a9-978148321a07.crl\n                          Sat 01 Jun 2024 13:00:00  rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/871da40f-793a-4a45-a0a9-978148321a07\/871da40f-793a-4a45-a0a9-978148321a07.mft\n                          Thu 25 Dec 2025 14:09:41 rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/871da40f-793a-4a45-a0a9-978148321a07.cer\n                          Wed 31 May 2024 14:00:00 rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/5e4a23ea-e80a-403e-b08c-2171da2157d3.crl\n                          Wed 31 May 2024 14:00:00 rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3\/5e4a23ea-e80a-403e-b08c-2171da2157d3.mft\n                          Mon 04 May 2026 15:17:49 rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/5e4a23ea-e80a-403e-b08c-2171da2157d3.cer\n                          Mon 30 Sep 2024 15:17:49 rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/arin-rpki-ta.crl\n                          Mon 30 Sep 2024 15:17:49 rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta\/arin-rpki-ta.mft\n                          Mon 03 Nov 2025 rsync:\/\/rpki.arin.net\/repository\/arin-rpki-ta.cer\nSignature path expires:   Fri 31 May 2024 14:00:00 +0000<\/code><\/pre>\n\n\n\n
<\/a>Por que \u00e9 bom ter ROA que est\u00e3o sempre prestes a expirar?<\/strong><\/strong><\/h2>\n\n\n\n
Muitos dos elementos do caminho de certifica\u00e7\u00e3o acima parecem ter per\u00edodos de validade relativamente curtos, restando apenas algumas horas ou alguns dias de validade. Esses per\u00edodos de validade curtos e eficazes t\u00eam um prop\u00f3sito.<\/p>\n\n\n\n
Eles ajudam a evitar o cen\u00e1rio em que um dos elos da cadeia criptogr\u00e1fica sofre uma interrup\u00e7\u00e3o na distribui\u00e7\u00e3o, quer dizer, o servidor rsync ou rrdp fica off-line, impedindo a recupera\u00e7\u00e3o de novas informa\u00e7\u00f5es. O resultado seria que os ROA ficariam presos no seu \u00faltimo estado.<\/p>\n\n\n\n
Se um ROA mal configurado tivesse contribu\u00eddo para a interrup\u00e7\u00e3o, seria necess\u00e1ria uma interven\u00e7\u00e3o manual para corrigi-lo. Neste cen\u00e1rio, interromper a distribui\u00e7\u00e3o impediria o uso da CRL para revogar um ROA problem\u00e1tico.<\/p>\n\n\n\n
Se os per\u00edodos de validade forem curtos, o ROA mal configurado expirar\u00e1 de forma autom\u00e1tica, o que potencialmente vai limpar a rota de conex\u00e3o para o ponto de publica\u00e7\u00e3o do ROA.<\/p>\n\n\n\n
<\/a>A remiss\u00e3o acontece bem antes do vencimento.<\/strong><\/strong><\/h2>\n\n\n\n
Os emissores de ROA, manifestos, CRL e certificados n\u00e3o ficam esperando de bra\u00e7os cruzados<\/p>\n\n\n\n

para que o produto assinado criptograficamente expire antes de emitir uma nova vers\u00e3o.<\/p>\n\n\n\n
Como exemplo de cronograma, alguns emissores podem renunciar ao seu manifesto e CRL a cada hora com um prazo de validade de oito horas no futuro e, ao faz\u00ea-lo, afirmar que os dados s\u00e3o v\u00e1lidos por mais oito horas. A remiss\u00e3o frequente ajuda a superar problemas transit\u00f3rios de rede entre o ponto de publica\u00e7\u00e3o dos ROA e os validadores RPKI implantados nas redes dos ISP.<\/p>\n\n\n\n
Os validadores do RPKI usar\u00e3o vers\u00f5es de objetos armazenados localmente em cach\u00ea at\u00e9 o momento em se tornam inv\u00e1lidas, ou poder\u00e3o ser substitu\u00eddos por objetos sucessores a partir de uma sincroniza\u00e7\u00e3o bem-sucedida com o ponto de publica\u00e7\u00e3o.<\/p>\n\n\n\n
Esse comportamento \u00e9 an\u00e1logo \u00e0s configura\u00e7\u00f5es do tempo de vida (TTL) do DNS. Os TTL curtos permitem que os operadores de DNS redistribuam rapidamente o tr\u00e1fego quando necess\u00e1rio, ou garantam que um registro DNS seja liberado do cach\u00ea para evitar que um registro desatualizado direcione o tr\u00e1fego.<\/p>\n\n\n\n
<\/a>An\u00e1lise dos vencimentos efetivos dos ROA<\/strong><\/strong><\/h2>\n\n\n\n
Usando rpkiviews.org, podemos obter um instant\u00e2neo dos cerca de 528.000 ROA em uso na atualidade. No formato CSV, o conte\u00fado de um instant\u00e2neo \u00e9 assim:<\/p>\n\n\n\n
ASN,IP Prefix,Max Length,Trust Anchor,Expires\nAS13335,1.0.0.0\/24,24,apnic,1712499475\nAS38803,1.0.4.0\/24,24,apnic,1712532668\nAS38803,1.0.4.0\/22,22,apnic,1712532668\nAS38803,1.0.5.0\/24,24,apnic,1712532668\nAS38803,1.0.6.0\/24,24,apnic,1712532668\nAS38803,1.0.7.0\/24,24,apnic,1712532668\nAS18144,1.0.64.0\/18,18,apnic,1712358404\nAS13335,1.1.1.0\/24,24,apnic,1712499475\nAS4134,1.1.4.0\/22,22,apnic,1712508843<\/code><\/pre>\n\n\n\n
A quinta e \u00faltima coluna cont\u00e9m as datas de vencimento efetivas em formato epoch<\/a>. Se agruparmos essas marcas de tempo em intervalos de uma hora e tra\u00e7armos as contagens ao longo do tempo, obtemos o seguinte gr\u00e1fico que revela v\u00e1rios picos.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Conforme indicado no gr\u00e1fico, cada pico de vencimentos do ROA corresponde a um RIR diferente. Esta visualiza\u00e7\u00e3o captura os efeitos das diferen\u00e7as nas cadeias criptogr\u00e1ficas usadas por cada RIR.<\/p>\n\n\n\n
Mas este foi apenas um instant\u00e2neo de um determinado momento. Para entender como esses vencimentos efetivos mudam ao longo do tempo, assistamos a seguinte anima\u00e7\u00e3o:<\/p>\n\n\n\n
\n