Migração do core RPKI do LACNIC
02/07/2024
Por Jorge Cano, Arquiteto de Software Sênior, LACNIC
A evolução do RPKI (Resource Public Key Infrastructure) do LACNIC e o compromisso constante da nossa organização em melhorar a segurança da infraestrutura da Internet alcançaram avanços significativos na implementação do RPKI na região, estabelecendo as bases para um futuro mais seguro e estável no roteamento da Internet.
Nossa organização dedicou um grande esforço nos últimos três anos para mudar o RPKI e assim ter um processo mais fortalecido na certificação de recursos na região.
Ajudamos a tornar o roteamento global mais seguro por meio do uso de certificados de recursos e ROA (autorizações de origem), promovendo a certificação de recursos.
Na medida em que a comunidade de operadores de rede se familiariza com esta tecnologia, detectamos um crescimento sustentado no uso do RPKI. Isso facilita na tomada de decisões informadas para melhorar a segurança do roteamento.
DIFERENÇAS
Todas as organizações que possuem RPKI através do LACNIC e usam este mediante a plataforma MiLACNIC, usam RPKI hospedado. Quer dizer, o LACNIC é responsável por tudo o relacionado à gestão criptográfica, armazenamento de chaves, armazenamento e geração de certificados, etc. As organizações só geram ROA (autorizações de origem) em uma interface web.
Enquanto isso, o modo delegado do RPKI é muito semelhante a uma delegação do DNS. Na árvore dos certificados é configurada uma espécie de ponteiro, um registro NS do DNS, e todos os certificados que correspondem a uma série de blocos de numeração devem ser procurados em uma autoridade certificadora que está abaixo da árvore.
(Acesso livre, não requer assinatura)
BASES
A arquitetura desenhada no RPKI do LACNIC possui três camadas: tem um core RPKI (é a parte mais complexa e é responsável por processar tudo o que é criptografia); depois um pubserver e pré-validação (validação do material produzido e preparação do repositório em disco, verifica o que vai ser publicado); e a terceira camada é o front end (oferecem as coisas que estão bem e são publicadas).
Neste processo de migração do core do RPKI detectamos que uma das coisas mais delicadas ao fazer alterações em um sistema do RPKI é preservar a integridade do cachê dos clientes. Por isso fizemos um grande número de testes usando vários validadores do RPKI, usando diferentes versões, para corroborar que nossas mudanças não afetarão a comunidade além de reiniciar o validador no caso de algumas versões antigas.
O RPKI do LACNIC tem mais de 15 anos desde as primeiras versões
No final de 2022 começamos a trabalhar com a premissa de que o antigo core do RPKI devia ser substituído e decidimos fazê-lo de novo, incorporando para isso um produto de código aberto chamado Krill.
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.