Modele attestation de non ressources

Le RPKI hébergé est une infrastructure dans laquelle ARIN héberge une autorité de certification (CA) et signe toutes les associations d`origine des itinéraires (ROAs) pour les ressources de la région ARIN. Seuls les détenteurs de ressources directes peuvent participer au RPKI. Toute organisation en aval doit avoir son fournisseur en amont soumettre des demandes ROA en leur nom. [3] G. Huston, G. Michaelson, R. loomans, «un profil pour les certificats de ressources X. 509 PKIX», travail en cours, Internet Draft, draft-ietf-Sidr-res-certs-15. txt, novembre 2008. La spécification du certificat de ressource. Tout détenteur d`une ressource qui peut faire d`autres allocations de ressources à d`autres parties doit pouvoir émettre des certificats de ressources qui correspondent à ces allocations. De même, tout détenteur souhaitant utiliser le RPKI pour signer numériquement une attestation doit être en mesure d`émettre un certificat d`entité finale (EE) pour effectuer l`opération de signature numérique.

[6] G. Huston, R. loomans, B. Ellacot, R. Austein, «un protocole pour l`approvisionnement des certificats de ressources», Work en cours, Internet Draft, draft-ietf-Sidr-rescerts-Provisioning-03. txt, août 2008. Un protocole proposé pour une utilisation entre un sujet et un émetteur de certificat pour s`assurer que les demandes de certificat, l`état d`allocation des ressources de numéro IP et l`état du certificat émis sont correctement synchronisés. Cette synchronisation étend le modèle de demande de certificat conventionnel dans un protocole de transaction qui inclut également la possibilité d`effectuer des demandes de révocation de certificat et des requêtes d`État à partir du sujet. L`intention ici est que tout instrument signé par la clé privée du sujet qui se rapporte à une assertion de contrôle des ressources, qu`il s`agisse d`un message de protocole dans un protocole de routage ou une demande administrative à un fournisseur de services Internet (ISP) pour acheminer un préfixe ou comme assertion de titre sur le «droit d`utilisation» d`une ressource de nombre, peut être validée par la clé publique correspondante contenue dans le certificat et la ressource de numéro IP qui est énumérée dans ce certificat. Le certificat de ressource lui-même peut être vérifié dans le contexte d`une infrastructure de clé publique (PKI) de certificat de ressource.

[10] K. SEO, R. Watro, D. Kong, S. Kent, «politique de certification (CP) pour l`ICP des ressources (RPKI)», «travaux en cours, Internet Draft, draft-ietf-Sidr-CP-04. txt, novembre 2008. Une description de la stratégie de certificat qui s`applique à tous les certificats émis dans le cadre de RPKI. Une approche possible envisagée par le groupe de travail SIDR est de mettre en œuvre les modèles d`authentification RPSS en utilisant la signature d`objet dans le contexte du RPKI. Par exemple, le RPSS suppose que les itinéraires ne devraient être annoncés qu`avec le consentement du détenteur de l`origine en tant que numéro de l`annonce et avec le consentement du détenteur de l`espace d`adressage implique dans le RPSS que les deux parties devraient autoriser l`entrée d`une route o dans le tri. Traduire cette stipulation dans un modèle analogue à l`aide du RPKI exigerait qu`un objet de routage soit signé avec les signatures numériques du détenteur de l`AS et du titulaire de l`espace d`adressage, et qu`un client IRR puisse vérifier cet objet de routage au moment de l`utilisation en vérifiant les deux signatures numériques. Le détenteur de l`espace d`adressage ou le titulaire de l`AS peut révoquer l`autorisation en révoquant le certificat EE utilisé pour signer l`objet de routage, et la vérification est indépendante du tri particulier qui a publié l`objet de routage.

Il est également possible que le tri lui-même puisse être plié dans le référentiel de publications distribuées RPKI, car il n`y a pas d`exigence particulière dans un tel environnement pour une collection disparate d`IRR avec leurs propres collections partielles de routage l`information politique, bien qu`à ce stade, cette discussion se dirige vers le domaine de la spéculation plus avancée sur le potentiel d`application des certificats de ressources et des signatures numériques à RPSL et le cadre de tri.