Labs Resource PKI

    Infraestructura de Clave Pública para Certificación de Recursos

    La certificación de recursos en Internet (RPKI, Resource Public Key Infrastructure) es un conjunto de tecnologías que permiten emitir pruebas criptográficas de autorización de uso de recursos de Internet. Estas pruebas se emiten en forma de en forma de certificados digitales y otros objetos firmados digitalmente que son almacenados en repositorios públicamente accesibles.

    Hasta ahora la información sobre el derecho de uso de recursos era solamente accesible a través del servicio de WHOIS o a través de repositorios públicos como los IRRs (Internet Routing Registries) donde los usuarios de recursos voluntariamente cargaban datos sobre prefijos y sistemas autónomos. La información de WHOIS es información autoritativa dado que se alimenta directamente de la base de datos de registro de los RIRs, pero la misma se expresa en un formato basado en texto plano sin una estructura estándard lo que hace dificil su procesamiento automático.

    RPKI permite que los RIRs emitan a sus miembros certificados digitales X.509 v3 que incluyen dentro de sus extensiones el listado taxativo de los recursos (IPv4, IPv6 y ASNs) que cada miembro posee. Estos certificados tienen la particularidad de tener su bit CA en 1, lo que permite que los mismos sean usados para firmar otros certificados.

    Haciendo uso de estos certificados de recursos los usuarios de la RPKI pueden firmar otros objetos digitales, llamados ROAs (Route Origin Authorizations) en los que un usuario de recursos puede firmar el origen de sus rutas en BGP.

    Glosario

    Repositorio: Servidor publico accesible por RSYNC donde se almacenan todos los objetos digitales creados por una RPKI.

    AS de origen: El sistema autónomo de origen (origin AS) es el sistema autónomo que genera una ruta en BGP. Es el primer elemento de la lista de sistemas autónomos que aparece en el atributo AS_PATH.

    ROA: Un ROA (Route Origin Authorization) es un objeto digital que permite firmar afirmaciones de origen BGP. Por ejemplo un ROA puede contener una afirmación firmada digitalmente de que el prefijo 128.66.0.0/16 se origina en el ASN 64516.