一个德国研究小组警告说,资源公钥基础设施 (RPKI) 还不是解决互联网边界网关协议 (BGP) 安全弱点的简单方法,许多通信行业人士都认为它是这样。
在新发表的论文《RPKI:不完美但足够好》中,来自德国雅典娜国家应用网络安全研究中心和法兰克福歌德大学的哈亚·舒尔曼和尼克拉斯·沃格尔,以及来自雅典娜和达姆施塔特工业大学的迈克尔·瓦德纳,概述了一系列令人生畏的RPKI问题,这些问题仍需要解决,以便其实现其承诺。
该论文削弱了美国白宫国家网络总监办公室 (ONCD) 的乐观情绪,该办公室上个月发布了一份路线图,要求美国 ISP 尽快实施 RPIK,以解决 BGP 广为人知的不安全性问题。
当今互联网路由所依赖的 BGP 协议的根本问题是,它在设计时没有作者所说的“公告加密身份验证”。
坦率地说,服务提供商可能会有意或无意地配置错误,引入虚假或误导性的路由,从而劫持或重定向流量,或欺骗合法路由。
这是最近反复出现的主题,据报道发生了多起 BGP 路由事件,包括 2018 年涉及中国电信的不止一起事件。就在那时,美国政府开始对 BGP 感兴趣,而 BGP 以前是互联网的一个方面,只有工程师才会感到焦虑。
在 BGP 下,无法对路由更改进行身份验证。十多年前,RPIK 问世旨在解决这个问题,它使用一种称为路由源授权 (ROA) 的数字记录来识别 ISP 对特定 IP 基础设施具有权限。
路由源验证 (ROV) 是路由器检查通告的路由是否由正确的 ROA 证书授权的过程。原则上,这使得流氓路由器无法恶意声明它没有任何权限的路由。RPKI 是公有密钥基础设施,在安全性方面将这一切粘合在一起。
问题是,要使该系统正常工作,RPIK 需要更多的 ISP 来采用它,而直到最近,这种情况发生得非常缓慢。
然而,尽管研究人员注意到了进展,但他们认为还有更深层次的问题。许多问题与任何软件相同。
最重要的是,随着白宫路线图重新设定了人们的期望,它现在需要这种关注。到目前为止,RPKI 进展得相当愉快。然而,鉴于互联网路由与数字安全的巨大相关性,政府的参与只会增加,这标志着一个需要更好实施的阶段的开始。
上一条: 科威特域名机构可能推出.KW域名注册
