Resource Public Key Infrastructure (RPKI), també coneguda com a Resource Certification, és un marc especialitzat d'infraestructura de clau pública (PKI) per donar suport a una seguretat millorada per a la infraestructura d'encaminament BGP d' Internet.
RPKI proporciona una manera de connectar la informació de recursos de números d'Internet (com ara números del sistema autònom i adreces IP) a un àncora de confiança. L'estructura del certificat reflecteix la manera com es distribueixen els recursos de números d'Internet. És a dir, els recursos els distribueix inicialment l'IANA als registres regionals d'Internet (RIR), que al seu torn els distribueixen als registres locals d'Internet (LIR), que després distribueixen els recursos als seus clients. Els titulars legítims dels recursos poden utilitzar RPKI per controlar el funcionament dels protocols d'encaminament d'Internet per evitar el segrest de rutes i altres atacs. En particular, RPKI s'utilitza per assegurar el protocol de passarel·la fronterera (BGP) mitjançant la validació de l'origen de la ruta (ROV) de BGP, així com el protocol de descoberta de veïns (ND) per a IPv6 mitjançant el protocol de descoberta segura de veïns (SEND).
L'arquitectura RPKI està documentada a RFC 6480. L'especificació RPKI està documentada en una sèrie distribuïda de RFC: RFC 6481, RFC 6482 [rfc:6483 , RFC] [rfc:6484 6483, RFC 6484], RFC 6485, RFC 6486 [rfc:6487 ,] [rfc:6488 RFC 6487], RFC 6488, [rfc:6489 RFC 6488], [rfc:6490 RFC 6488], [rfc:6491 RFC 6486990], [rfc:6492 RFC 648690 492], i RFC 6493. SEND està documentat a RFC 6494 i RFC 6495. Aquests RFC són un producte del grup de treball SIDR ("Secure Inter-Domain Routing") de l'IETF [1] i es basen en una anàlisi d'amenaces que es va documentar a [rfc:4593 la RFC 4593]. Aquests estàndards cobreixen la validació de l'origen BGP, mentre que la validació del camí és proporcionada per BGPsec, que s'ha estandarditzat per separat a RFC 8205. Ja existeixen diverses implementacions per a la validació de l'origen del prefix.
RPKI utilitza certificats X.509 PKI (RFC 5280) amb extensions per a adreces IP i identificadors AS (RFC 3779). Permet als membres dels registres d'Internet regionals, coneguts com a registres d'Internet locals (LIR), obtenir un certificat de recurs que enumera els recursos de números d'Internet que tenen. Això els ofereix una prova validable de titularitat, encara que el certificat no conté informació d'identitat. Mitjançant el certificat de recurs, els LIR poden crear certificacions criptogràfiques sobre els anuncis de ruta que autoritzen que es facin amb els prefixos que tenen. Aquestes certificacions, anomenades Route Origin Authorizations (ROA), es descriuen a continuació.
Una autorització d'origen de ruta (ROA) indica quin sistema autònom (AS) està autoritzat per originar determinats prefixos IP. A més, pot determinar la longitud màxima del prefix que l'AS està autoritzat a anunciar.
Hi ha eines de codi obert [2] disponibles per executar l'autoritat de certificació i gestionar el certificat del recurs i els objectes secundaris, com ara els ROA. A més, els RIR tenen una plataforma RPKI allotjada disponible als seus portals de membres. Això permet als LIR triar confiar en un sistema allotjat o executar el seu propi programari.
El sistema no utilitza un únic punt de publicació del dipòsit per publicar objectes RPKI. En canvi, el sistema de dipòsits RPKI consta de diversos punts de publicació de dipòsits distribuïts i delegats. Cada punt de publicació del dipòsit està associat a un o més punts de publicació de certificats RPKI. A la pràctica, això significa que quan s'executa una autoritat de certificació, un LIR pot publicar tot el material criptogràfic per si mateix o pot confiar en un tercer per a la seva publicació. Quan un LIR opta per utilitzar el sistema allotjat proporcionat pel RIR, en principi la publicació es fa al repositori RIR.
El programari de la part de confiança obtindrà, emmagatzemarà a la memòria cau i validarà les dades del dipòsit mitjançant rsync o el protocol Delta del dipòsit RPKI (RFC 8182).[3] És important que una part de confiança es sincronitzi regularment amb tots els punts de publicació per mantenir una visió completa i oportuna de les dades del dipòsit. Les dades incompletes o obsoletes poden conduir a decisions d'encaminament errònies.[4][5]
Després de la validació dels ROA, les certificacions es poden comparar amb l'encaminament BGP i ajudar els operadors de xarxa en el seu procés de presa de decisions. Això es pot fer manualment, però les dades d'origen del prefix validat també es poden enviar a un encaminador compatible mitjançant el protocol RPKI to Router (RFC 6810),[6] Cisco Systems ofereix suport natiu a moltes plataformes [7] per obtenir les dades RPKI. configurar i utilitzar-lo a la configuració de l'encaminador.[8] Juniper ofereix suport a totes les plataformes [9] que executen la versió 12.2 o posterior. Quagga obté aquesta funcionalitat mitjançant BGP Secure Routing Extensions (BGP-SRx) [10] o una implementació RPKI [11] totalment compatible amb RFC basada en RTRlib. El RTRlib [12] proporciona una implementació C de codi obert del protocol RTR i la verificació de l'origen del prefix. La biblioteca és útil per als desenvolupadors de programari d'encaminament, però també per als operadors de xarxa. Els desenvolupadors poden integrar la RTRlib al dimoni BGP per estendre la seva implementació cap a RPKI. Els operadors de xarxa poden utilitzar RTRlib per desenvolupar eines de monitorització (per exemple, per comprovar el funcionament correcte de les memòries cau o per avaluar-ne el rendiment).
RFC 6494 actualitza el mètode de validació del certificat dels mecanismes de seguretat del protocol SEND (Secure Neighbor Discovery) perquè el protocol de descoberta de veïns (ND) utilitzi RPKI per utilitzar-lo en IPv6. Defineix un perfil de certificat SEND utilitzant un perfil de certificat RFC 6487 RPKI modificat que ha d'incloure una única extensió de delegació d'adreça IP RFC 3779.