ملخص
- إن تصريح أصل المسار (ROA) ليس إعلانًا مستقلاً. فهو يُقبل فقط من خلال مسار شهادة صالح متجذر في مرجع ثقة RIR. تستطيع سلطة التصديق العليا إصدار الشهادة التي تُوقع تحتها ROAs الخاصة بالمشغل أو استبدالها أو تقييدها أو إبطالها.
- التسجيل والتصديق منسقان بشكل متعمد. وبالتالي يعكس البيان المشفر سجلات الموارد الحالية، ولكنه يعني أيضًا أن قرار النقل، أو خطأ في الحالة التعاقدية، أو أمر قضائي، أو إجراء حسابي يمكن أن يغير مجموعة تصاريح التوجيه التي تراها الأطراف الموثوقة.
- الإبطال لا يصدر أمرًا لجدول التوجيه العالمي. قد يؤدي فقدان ROA إلى جعل الإعلان "غير موجود"، بينما قد يجعله تصريح معدل أو منافس "غير صالح". ثم تطبق الشبكات سياسات التوجيه الخاصة بها. التأثير موزع ومتغير وربما خطير.
- أظهر حادث موارد الإرث لـ RIPE NCC في ديسمبر 2020 آلية الانتشار: خطأ في الحالة التعاقدية ضيق الشهادات، وحذف ROAs المستضافة، وتسبب في اختفاء ROAs المفوضة أو ظهور ادعاءات زائدة. هذا دليل على مسار تحكم حقيقي، وليس على معدل خطأ عالمي.
- يمنح RPKI المفوض للمشغل مفتاح توقيع خاص به وسيطرة تشغيلية على سلطة التصديق الفرعية الخاصة به. لا يزيل RIR الأعلى. يظل العنصر الأعلى يحدد مجموعة الموارد المعتمدة ويمكنه إبطال الشهادة الفرعية في ظل ظروف معينة.
- يجب أن تتضمن الحوكمة الأقوى أسباب الإبطال المتوقعة، والإشعار القائم على المخاطر، ومعاينات التغيير القابلة للقراءة آليًا، وخطط النقل "الإنشاء قبل القطع"، والتعافي من الطوارئ، والأسباب المكتوبة، والمراجعة المستقلة، وتسجيل الحوادث العامة. يجب ألا تحل إخلاءات المسؤولية محل الوقاية والعلاج.
- يمكن لجمعية موارد الأرقام أن تساهم بشكل بناء من خلال مقارنة قواعد سلطات التصديق العليا، ونشر قوائم مراجعة الاستمرارية، وتمثيل المالكين الأصغر في نقاشات السياسات التقنية. مشاركتها لا تمنح سلطة تصديق ولا تثبت هيكل ثقة بديل.
تقييم الحزمة الحاسمة بعيدًا عن التسجيل
تخيل إعلانًا عاديًا لبادئة من النظام الذاتي لمشغل. يقوم المشغل بتكوين BGP بشكل صحيح. يتلقى مزودو العبور المسار. في مكان آخر، يقوم مدقق طرف موثوق بسحب مواد RPKI، وإنشاء مجموعة من تصاريح أصل المسار الصالحة، وتمرير الأحمال الناتجة إلى أجهزة التوجيه. تقارن أجهزة التوجيه البادئة و AS الأصلي بمجموعة الأحمال. يمكن أن يكون الإعلان "صالحًا" أو "غير صالح" أو "غير موجود". ثم تطبق كل شبكة سياستها الخاصة.
التسجيل ليس في مسار الحزمة. لا يضغط زرًا يسحب المسار من كل جهاز توجيه. ومع ذلك، فهو يقف فوق الأدلة المشفرة المستخدمة في هذا القرار الموزع. إذا لم يعد مسار الشهادة إلى ROA المشغل صالحًا، فإن تلك ROA لا تساهم بحمل صالح. إذا بقي تصريح آخر يغطيها، فقد يصبح المسار "غير صالح". إذا لم يبق أي تصريح، يصبح عمومًا "غير موجود". الشبكة التي ترفض المسارات "غير الصالحة" قد ترفض الإعلان؛ الشبكة التي تقبل المسارات "غير الموجودة" قد تستمر في نقله.
هذا التسلسل هو الآلية الحاسمة. الحدث الإداري يحدث عند سلطة تصديق عليا. المستودعات توزع الكائنات المعدلة. المدققون يحدثون رؤيتهم المحلية. أجهزة التوجيه تتلقى بيانات تحقق جديدة. سياسات الشبكة المستقلة تحول هذه البيانات إلى عواقب وصول.
الفجوات والتخزين المؤقت في هذه السلسلة مهمة. مختلف المدققين يحدثون في أوقات مختلفة. المشغلون قد يحجبون البيانات أثناء مشاكل المستودع. سياسة التوجيه ليست موحدة. لا يوجد أساس صادق للادعاء بأن حدث شهادة واحد يفصل البادئة فورًا في كل مكان. ولا يوجد أساس لمعاملة الإبطال كتغيير إداري غير ضار. الهندسة المعمارية صممت بحيث يمكن للحالة المشفرة التأثير على التوجيه. يجب أن تأخذ الحوكمة هذا التأثير بجدية دون المبالغة في توحيده.
توقيع المشغل مشروط
القصة الجذابة لـ RPKI هي سيطرة المالك. يقوم مالك العنوان بتصريح AS أصلي عن طريق إنشاء ROA. التشفير يمكن الآخرين من التحقق من أن البيان يأتي من مفتاح مرتبط بالموارد المعتمدة. هذا تصحيح قيم لنظام توجيه لا تحتوي فيه إعلانات BGP على دليل مدمج على أن الأصل مصرح به.
لكن مفتاح المالك ليس سياديًا. RFC 6480 يصف تسلسلًا هرميًا محاذيًا لتعيين موارد أرقام الإنترنت. شهادة الموارد تربط مفتاحًا عامًا بعناوين IP وأرقام AS. صحة الكائن الموقع تعتمد على مسار تصديق إلى مرجع ثقة مختار، وعلى صلاحية الشهادة، ومعلومات الإبطال، والموارد المسموح بها عند كل مستوى.
المشغل الذي يستخدم CA مفوضة يتحكم في المفتاح الخاص لتلك الشهادة الفرعية. لا يمكن للعنصر الأعلى استخدام هذا المفتاح لتزوير توقيع الابن. هذا التمييز ضروري. يحمي سلامة عملية التوقيع الخاصة بالمشغل ويتيح الأتمتة المحلية والتفويض الفرعي وقرارات إدارة المفاتيح.
يحتفظ العنصر الأعلى بسلطة أخرى. يمكنه إصدار الشهادة الفرعية، أو تغيير الموارد المغطاة بشهادة بديلة، أو وضع الشهادة على قائمة إبطال. التوقيع الفرعي على موارد لم تعد مدعومة بمسار أبوي صالح لا يمكن أن يجعل نفسه صالحًا بالإصرار الرياضي. لا يحتاج العنصر الأعلى إلى امتلاك المفتاح الفرعي لإنهاء سريان تصريحات الابن.
RPKI المستضاف يضيق التمييز أكثر. يدير RIR CA المالك ويخزن المفتاح الخاص في بنيته التحتية. يختار المالك نواياه التوجيهية عبر بوابة أو واجهة، بينما تقوم الخدمة بالتوقيع والتجديد والنشر. يمكن أن تعبر ROA الناتجة عن تعليمات المالك بدقة، لكن الحفظ المشفر والسلطة الأبوية يقعان داخل نفس المؤسسة. لذلك تغير الراحة توزيع السيطرة، وليس فقط نطاق العمل التقني.
حقيقة التسجيل تصبح نطاقًا مشفرًا
RPKI لم يلحق بسجلات RIR بشكل عشوائي. وعده المركزي هو أن الشهادة تعكس تفويضًا حاليًا لموارد الأرقام. بيان ممارسة التصديق لـ APNIC يصف الترتيب بوضوح: المنظمات التي تصدر الشهادات هي أيضًا المنظمات التي تقوم بالتفويض، وبالتالي فهي مرجعية لهذا الربط. توثيق RIPE NCC ينص على أن شهادات موارده مرتبطة بالمنظمات المسجلة وتتغير تلقائيًا عند إضافة الموارد أو إعادتها أو نقلها أو تحويلها.
هذه المحاذاة تمنع المالك السابق من الاعتماد إلى أجل غير مسمى على شهادة قديمة بعد نقل شرعي. تمكن المستلم من إنشاء تصاريح جديدة وتسمح للأطراف الموثوقة برفض الادعاءات القديمة. بدون عنصر أعلى قادر على تحديث النطاق، كان RPKI سيحمي النوايا التوجيهية القديمة على حساب التسجيل الحالي.
نفس المحاذاة تعطي السجلات الإدارية حياة ثانية. اسم أو حالة أو علاقة تعاقدية في أنظمة التسجيل لم تعد تستخدم فقط للإجابة على من يحصل على الخدمات أو ما يظهر في RDAP. يمكنها تحديد البادئات التي تدخل في شهادة الموارد. هذه الشهادة تحدد أي الكائنات الموقعة يمكن التحقق منها. المسار من التسجيل إلى أدلة التوجيه مقصود.
سؤال الحوكمة ليس ما إذا كان يجب قطع هذا المسار. هذا سينهي غرض تصديق الموارد. يتعلق الأمر بتقييد الأخطاء والإجراءات التقديرية عند بداية المسار. عندما تُزال مورد بعد نقل مكتمل، يجب أن ينتهي تصريح المالك القديم. عندما يؤدي خلاف حسابي مؤقت أو فاتورة متنازع عليها أو تصنيف قانوني خاطئ إلى نفس النتيجة دون ضمانات مناسبة، فقد حملت آلية الأمان عيبًا إداريًا إلى مستوى أكثر تأثيرًا.
يجب اتخاذ التمييز بين التصحيح الدقيق والإنفاذ المبكر قبل الإبطال. يمكن للتشفير أن يظهر أن عنصرًا أعلى قد وقع شهادة جديدة أو وضع شهادة قديمة على CRL. لا يمكن أن يظهر أن الموظفين فسروا اندماجًا بشكل صحيح، أو أن الإشعار وصل إلى المسؤول الصحيح، أو أن ضربة عقوبات كانت مبررة، أو أن نقلًا متنازعًا يستحق تأثيرًا فوريًا. هذه أسئلة مؤسسية حول العملية الموقعة.
الإبطال ليس نتيجة واحدة
كلمة "إبطال" توحي بمفتاح واحد. نتيجة التوجيه مشروطة. يعرف RFC 6811 ثلاث حالات للتحقق من صحة أصل المسار. المسار "غير موجود" إذا لم يغطه حمل صالح. هو "صالح" إذا غطاه حمل واحد على الأقل وتطابق. هو "غير صالح" إذا غطاه حمل واحد على الأقل لكن لا تطابق.
افترض أن مالكًا لديه ROA دقيقة لبادئة ويختفي مسار الشهادة. بمجرد أن يتوقف المدققون عن قبول تلك ROA، قد لا يتبقى حمل يغطيها. عندها ينتقل المسار من "صالح" إلى "غير موجود". العديد من الشبكات تقبل "غير موجود" لأن نشر RPKI غير مكتمل ورفض كل مسار غير معتمد لا يزال مدمرًا. لذلك قد يكون التأثير الفوري فقدان حماية التحقق وليس الوصول.
الآن افترض أن ROA صالحة أوسع تبقى تحت CA أخرى، أو أن تصريحًا بديلًا يغطي البادئة بأصل أو أقصى طول مختلف. قد يصبح المسار "غير صالح". الشبكات التي ترفض المسارات "غير الصالحة" قد تتجاهله. أخرى قد تخفض التفضيل أو تشير إليه للمراقبة أو تقبله. يترك RFC 7115 السياسة النهائية للظروف المحلية؛ حالة التحقق تبلغ التوجيه بدلاً من فرض إجابة عالمية.
هذا التباين ليس سببًا للرضا. لا يجب أن يختفي المسار في كل مكان حتى يكون الضرر كبيرًا. الرفض الانتقائي من قبل مزودي عبور كبار، شبكات سحابية، مؤسسات عامة، أو منصات محتوى يمكن أن يجزيء الوصول. البادئة التي تصبح "غير موجودة" تفقد الأمان الذي يعتمد عليه العملاء. قد يحتاج المشغل أيضًا إلى إعادة إنشاء ROAs بشكل عاجل تحت شهادة جديدة بينما تتقارب المخازن المؤقتة بسرعات مختلفة.
لذلك يجب أن تتجنب لغة الحوكمة خطأين. يجب ألا تدعي أن RIR يتحكم مباشرة في كل مسار. ولا يجب أن تدعي أن تغيير الشهادة يؤثر فقط على علامة أمان اختيارية. العنصر الأعلى يتحكم في مدخل للقرارات التي تتخذ في العديد من الشبكات المستقلة. الطبيعة الموزعة للإجراء النهائي لا تقلل من واجب العناية للعنصر الأعلى ولا من حاجة المشغل لتخطيط الاستمرارية.
قرار التصميم نشأ قبل الاستخدام التشغيلي الواسع
الترتيب الحديث تشكل على مر السنين. سبقت أعمال من RIRs و IETF نشر وثائق بنية RPKI الرئيسية في عام 2012. اقتراح سياسة RIPE رقم 2008-08 ناقش كيف يجب أن تعكس الشهادات الموارد المسجلة، معلنًا أن الشهادات ستعكس حالة التسجيل في أي وقت، رغم أن الاقتراح سحب لاحقًا. APNIC أبلغت عن عمل على تصديق الموارد في عام 2009. لم تكن هذه مجرد مناقشات حول تشفير أفضل. كانت تتعلق بالمؤسسة التي ستصادق على سيطرة الموارد.
الخدمات الإنتاجية جاءت حوالي عام 2011. أطلق RIPE NCC خدمة تصديق موارد مستضافة في بداية عام 2011، بوظائف محدودة في البداية. عرض الإطلاق الخدمة كوسيلة لجعل التسجيل أكثر متانة والتوجيه أكثر أمانًا. لاحقًا في 2011، قدم دليل مفهوم للتصديق المحلي حيث يمكن للمشغل تشغيل CA خاص به مع RIPE NCC كعنصر أعلى. سجل LACNIC خدمات مستضافة من يناير 2011 وخدمات مفوضة من ديسمبر 2019. اختلفت الجداول الزمنية والقدرات الإقليمية.
وثائق IETF المركزية المنشورة في 2012 فصلت الوظائف بشكل نظيف على الورق. RFC 6480 وصف البنية. RFC 6482 حدد ROAs. RFC 6483 شرح التحقق من صحة أصل المسار. RFC 6492 حدد التبادل الذي تطلب من خلاله CA فرعية شهادات ويصدرها أو يلغيها العنصر الأعلى. أضافت أعمال لاحقة بروتوكولات النشر وحللت إجراءات CA الضارة.
الحل المؤسسي كان عمليًا. RIRs كانت تدير بالفعل سجلات الموارد، وتصادق على المالكين، وتنسق التفرد. جعلها فوق شهادات الموارد تجنب إنشاء هيئة ملكية عالمية مستقلة. الخدمات المستضافة خفضت حاجز الدخول للمشغلين الذين لا يريدون تشغيل CA أو مستودع. التفويض حافظ على مسار للمنظمات التي تحتاج إلى سيطرة أكثر صرامة على المفاتيح.
هذا الحل يستحق التقدير. كما يستحق مراجعة دستورية منتظمة. وظيفة بدأت كخدمة أمان اختيارية تقدم الآن أدلة تستهلكها المزيد من الشبكات والأنظمة الآلية. مع زيادة الاعتماد، قد تصبح شروط الخدمة المكتوبة للتجارب غير كافية للبنية التحتية التي يمكن لأخطائها تغيير الوصول. الاختبار المناسب ليس ما إذا كان التصميم الأصلي خبيثًا. إنه ما إذا كانت الحوكمة نضجت مع العواقب التشغيلية.
سلطة التصديق العليا أكثر من مجرد مرحل تقني
RFC 6492 يعطي الأنظمة الأبوية والفرعية لغة معيارية لسرد الموارد، وطلب الإصدارات، والإبطال. لا يقرر لماذا يعتقد العنصر الأعلى أن المورد يجب أن يدرج، أو ما إذا كان النقل مكتملاً، أو ما هي العملية التي يجب أن تسبق التغيير غير الطوعي. البروتوكول يحمل بأمانة قرارًا اتخذ في مكان آخر.
هذا شائع في البنية التحتية. المعايير التقنية تحدد كيفية مصادقة الأمر وتقديمه. لا توفر القانون العام الكامل للمؤسسة المخولة بإرساله. قد يكون الإبطال الموقع بشكل صحيح مع ذلك مبكرًا أو خاطئًا أو غير عادل إجرائيًا. على العكس، قد يكون العنصر الأعلى ملزمًا بالإبطال حتى لو فضل المشغل تأخيرًا، كما بعد اختراق مؤكد أو نقل مكتمل.
لذلك يفي RIR بثلاثة أدوار مترابطة على الأقل. يحافظ على معلومات التسجيل. يقرر نطاق الموارد الذي ستصادق عليه خدمة التصديق الخاصة به. يدير أو يكون عنصرًا أعلى لـ CAs التي تترجم هذا النطاق إلى كائنات مشفرة. في الخدمة المستضافة، قد يخزن أيضًا المفتاح الخاص للمستخدم وينشر كائناته الموقعة.
تركيز الأدوار يمكن أن يحسن الاتساق. عندما يكتمل نقل، يمكن لمؤسسة واحدة تحديث السجل، واستبدال الشهادات، ومساعدة الأطراف في إنشاء تصاريح جديدة. كما يمكنها تضخيم الخطأ. تغيير حالة خاطئ لا يحتاج إلى انتظار عمل منظمة منفصلة؛ يمكن للأتمتة نقله مباشرة إلى إصدار الشهادة وحالة المستودع.
يجب أن تطابق الحوكمة الدور المركز. يجب على العنصر الأعلى توثيق التعيين بين أحداث التسجيل وأحداث الشهادات. يجب أن يميز بين التغييرات التي يمكن أن تحدث تلقائيًا وتلك التي تتطلب تأكيدًا بشريًا. يجب أن يحدد من يمكنه تفويض إبطال طارئ، وكيف تعمل المراجعة المزدوجة، وما الأدلة التي تحفظ، وكيف يمكن للمشغل الاعتراض على خطأ. بيان ممارسة التصديق يمكن أن يصف الممارسة التقنية؛ شروط الخدمة وسياسات المجتمع يجب أن تحدد أيضًا شرعية القرار.
حادث عام 2020 كشف مسار الانتشار
في 17 ديسمبر 2020، أبلغ RIPE NCC عن خطأ يتعلق بموارد الإرث. خطأ برمجي في تنفيذ عنصر سجل غير مرتبط وضع الحالة التعاقدية لموارد الإرث المتأثرة إلى "لا شيء". أصبحت هذه الموارد غير مؤهلة للتصديق عندها.
العواقب اتبعت التسلسل الهرمي. تم تحديث شهادات الموارد لـ 36 CA لتشمل موارد أقل قابلة للتصديق. تم حذف 41 ROA مستضافة أنتجت 202 حمل صالح من 24 CA. الشهادات الصادرة لـ CAs مفوضة متأثرة تقلصت؛ اعتمادًا على برامجها، اختفت ROAs الخاصة بها أو رُفضت بسبب الادعاء الزائد. استعاد RIPE NCC الحالة التعاقدية لـ 105 موردًا متأثرًا وأعاد إنشاء ROAs المستضافة. طُلب من المشغلين المفوضين التحقق مما إذا كانوا بحاجة إلى إعادة إنشاء خاصة بهم.
يجب أن تبقى الأرقام ضمن الحادث. لا تؤسس لمعدل خطأ سنوي، ولا مقام عالمي، ولا مقياس خطأ مقارن لـ RIRs. تحليل ما بعد الوفاة لا يثبت أيضًا أن كل مسار متأثر أصبح غير قابل للوصول. حالة التحقق وسياسة الشبكة تحددان هذه النتيجة.
ما يثبته الحادث هو الآلية. خطأ في الحالة التعاقدية في بيئة التسجيل انتشر إلى نطاق الشهادة ومواد تصريح المسار. المستخدمون المستضافون والمفوضون كانت لديهم التزامات استرداد مختلفة. استطاع RIR إعادة إنشاء ROAs المستضافة التي يديرها، بينما قد يحتاج المالكون المفوضون إلى التصرف ضمن CAs الخاصة بهم.
أعلن RIPE NCC عن تحسين ضمان الجودة واختبار القبول وتقييم التأثير القائم على المخاطر. هذه إجراءات معقولة. الدرس الأوسع هو أن التغييرات قرب حدود التسجيل والتصديق تستحق نفس العناية التي تستحقها التغييرات على منصة توجيه. يجب أن يشمل الاختبار فرق الشهادات المتوقع، وتأثير ROA والأحمال الصالحة، وآثار النقل، وسلوك العملاء المفوضين، ومسار الاسترداد. تغيير تسجيل يبدو إداريًا يمكن أن يكون له نصف قطر تفجير مشفر.
النقل هو أصعب حالة اعتيادية
الاختراق الطارئ درامي، لكن النقل هو اختبار الحوكمة المتكرر. يجب أن يتوقف التسجيل عن تصديق المالك السابق ويبدأ في تصديق المستلم. قد يحتاج التوجيه إلى الاستمرار خلال العملية. قد يظل AS الأصلي كما هو، أو يتغير مرة واحدة أو تدريجيًا. البائع والمشتري والوسيط ومزود العبور و RIR قد يتحكم كل منهم بجزء مختلف من التسلسل.
إرشادات RIPE NCC تنص على أنه عند نقل أو تحويل مورد، تتغير المنظمة المسجلة والشهادة؛ تُزال ROAs الأساسية ويجب إعادة إنشائها. توثيق الخدمة المستضافة ينص أيضًا على أن الموارد تضاف أو تُزال تلقائيًا من الشهادات عندما تتغير الحيازات المسجلة. هذا السلوك يحمي المستلم من الادعاءات القديمة للمالك السابق. يخلق اعتمادية تبديل يجب معالجتها كجزء من الصفقة.
تبدأ خطة النقل عالية الجودة قبل تحديث التسجيل. يجب على الأطراف جرد كل ROA وإعلان فعلي، بما في ذلك البادئات الأكثر تحديدًا وأصول متعددة ومزودي تخفيف مؤقتين. يجب أن يتفقوا على التصاريح التي يجب أن تكون موجودة بعد الإكمال، ومن سينشئها، وكيف سيؤكد الوصول إلى CA المستلم، وكيف سيتم مراقبة المدققين. يجب على RIR تقديم معاينة قابلة للقراءة آليًا لما سيُزال وما يمكن للمستلم إنشاؤه.
المبدأ هو "الإنشاء قبل القطع" حيثما تسمح البنية. يجب أن يظل التصريح الصادر صالحًا حتى يُنشر التصريح الوارد ويكون قابلاً للسحب، إلا إذا تطلب الأمان أو القانون إزالة فورية. حيث لا يمكن للأنظمة الإقليمية دعم التصديق المتداخل، يجب أن يكون القيد صريحًا وأن يكون للانتقال تراجع مختبر أو مسار استرداد مسرع.
ليس كل تداخل آمنًا. تصديق طرفين لنفس الموارد يمكن أن يخلق ادعاءات متنافسة أو يطيل سلطة المالك السابق. انتقال محدود قد يكون مع ذلك أكثر أمانًا من فجوة غير معلنة. يجب أن يحدد تصميم السياسة المدة والكائنات المسموح بها والموافقة والمراقبة والانتهاء التلقائي. استمرارية النقل ليست مطلبًا للحفاظ على الحقوق القديمة إلى أجل غير مسمى؛ إنه مطلب لتسلسل الحقوق الصالحة دون ضرر توجيه يمكن تجنبه.
يجب أن يصل الإشعار قبل الحدث المشفر قدر الإمكان
الإشعار التقليدي غالبًا ما يكون بريدًا إلكترونيًا يقول أن حالة الحساب تغيرت. هذا ضعيف جدًا عندما يمكن للحدث تغيير نطاق الشهادة. قد تصل الرسالة إلى جهة اتصال الفواتير بدلاً من فريق أمان التوجيه. قد تصف مشكلة تعاقدية دون سرد البادئات أو الشهادات أو ROAs المتأثرة. قد تصل بعد أن تكون الأنظمة الآلية قد تصرفت بالفعل.
يجب أن يكون الإشعار قائمًا على المخاطر. اختراق مفتاح خاص مؤكد قد يبرر إبطالًا فوريًا، يليه إشعار سريع واستبدال. النقل الطوعي المكتمل يتبع جدولًا زمنيًا متفق عليه. الدفع المتنازع عليه، أو ضربة عقوبات، أو انتهاك سياسة مشتبه به، أو وراثة شركة غير مؤكدة يسمح عادةً بفترة تحذير، إلا إذا تطلب تهديد محدد الاستعجال.
للإجراءات غير العاجلة، يجب أن يتلقى المشغل معاينة دقيقة: الموارد المتأثرة، معرفات الشهادات الحالية، الكائنات الموقعة التي من المتوقع أن ينتهي التحقق منها، وقت السريان، السبب، السلطة، العلاج المتاح، ومسار المراجعة. يجب أن تكون المعاينة متاحة في البوابة وفي شكل موقع قابل للقراءة آليًا حتى يتمكن المشغلون الكبار من مقارنتها بالنوايا التوجيهية.
يجب أن يستخدم التسليم جهات اتصال تشغيلية وقانونية مستقلة، وليس فقط بيانات اعتماد الحساب التي قد تكون متنازعًا عليها أو مخترقة. يجب تسجيل التأكيد، لكن غياب التأكيد لا يجب أن يخلق حقًا لا نهائيًا للنقض. يمكن أن يتم التصعيد عبر قنوات متكررة وجدول زمني منشور.
يجب أن تسمح فترة الإشعار بالتصحيح. إذا عين التسجيل المنظمة الخطأ، أو قرأ مستند اندماج خطأ، أو أصاب الطرف الخاضع للعقوبات الخطأ، يجب أن يكون الموظفون قادرين على تعليق الإجراءات غير العاجلة أثناء فحص الأدلة. إذا كان الإجراء صحيحًا، يكسب المشغل وقتًا لإعداد ROAs جديدة أو عملاء لتغيير حالة التحقق.
الإشعار الجيد ليس وعدًا بأن كل مسار سيبقى "صالحًا". إنه تسليم منضبط بين السلطة الإدارية وعملية الشبكة. يقلل المفاجآت، وينشئ سجلاً أدلة، ويتيح المساءلة لاحقًا.
الأسباب والمراجعة هي ضوابط أمنية
أحيانًا تتعامل المؤسسات مع الإجراءات القانونية الواجبة كتأخير مفروض على الأمان التقني. هنا هو جزء من الأمان. العنصر الأعلى الذي يمكنه الإبطال بسرعة يحتاج ضوابط ضد الاستيلاء على الحسابات، وأخطاء الموظفين، والمطالبات القانونية الكاذبة، وتغييرات التسجيل المسيئة. الأسباب المكتوبة والمراجعة المستقلة تجبر ربط القرار بالأدلة والسلطة.
أسباب الإبطال يجب أن تكون استباقية ومحدودة. الأمثلة تشمل اختراق مفتاح مؤكد، طلب المالك، تعارض الشهادة مع تغيير تسجيل مكتمل، انتهاء العلاقة الخدمية المقابلة، أمر قانوني ملزم، احتيال مثبت، أو فشل مستمر لـ CA مفوضة وفقًا لسياسة منشورة. الصياغات الواسعة مثل "أسباب تشغيلية" يجب أن تكون مصحوبة بعتبات وأدوار موافقة وواجبات استرداد.
يجب أن يطابق المراجعة الإطار الزمني. طعن روتيني يُقرر بعد أشهر لا يمكن حماية تحول مسار يحدث اليوم بعد الظهر. المستوى الأول يجب أن يكون فحصًا تقنيًا وتسجيليًا سريعًا من قبل موظفين غير مسؤولين عن الإجراء الأصلي. المستوى الثاني يمكنه معالجة النزاعات التعاقدية أو السياسية. قد تبقى الإجراءات العاجلة سارية أثناء المراجعة إذا استمر التصديق في تشكيل خطر جاد، لكن يجب على المؤسسة شرح السبب.
المراجع يحتاج أكثر من السجلات الحالية. يجب أن يرى تاريخ الحدث: من غير حالة التسجيل، وما القاعدة التي طبقت، وما فرق الشهادة الناتج، وما الإشعارات التي أرسلت، وما الموافقات التي حصلت، وما خيارات الاسترداد الموجودة. يجب أن يحصل المشغلون على أكبر قدر ممكن من هذا التبرير بقدر ما تسمح الأمان والخصوصية.
نشر فئات القرار المجهولة يمكن أن يحسن الاتساق. يمكن للأعضاء رؤية عدد مرات استخدام أسباب الطوارئ وغير الطوارئ، ومدى سرعة إصلاح الأخطاء، وما إذا كانت السياسات الإقليمية تسبب فجوات نقل متكررة. التقارير المجمعة لا يجب أن تدعي دقة حيث الأحداث نادرة، لكن الصمت يترك المجتمع غير قادر على تقييم السلطة المركزة.
التفويض يقلل اعتمادًا، لا التسلسل الهرمي
يُقدم RPKI المفوض أحيانًا كرد على سيطرة RIR. إنه رد جزئي. المشغل يولد ويحمي مفتاحه الخاص، ويدير برنامج CA الخاص به، ويقرر أي الكائنات يوقع. يمكنه دمج تغييرات التصريح في عملية الشبكة، وإدارة موارد من عدة عناصر أعلى في نظام واحد، وربما إصدار شهادات فرعية.
هذه ضوابط مهمة. فشل بوابة الخدمة المستضافة لا يجب أن يمنع المالك المفوض من إنشاء ROA جديدة. موظفو RIR لا يمكنهم استخدام المفتاح الخاص للابن لتوقيع بيان مختلف. يمكن للمالك الحفاظ على تاريخ الأحداث الموقعة الخاص به واختيار خدمة نشر منفصلة.
العنصر الأعلى لا يزال يتحكم في الشهادة التي تجعل الابن مرجعيًا لمجموعة موارد. RFC 6492 يسمح للعنصر الأعلى بإصدار شهادات وإبطالها. عندما يتغير التسجيل، يمكن للعنصر الأعلى توفير شهادة بموارد أقل. إذا استمر الابن في توقيع النطاق القديم، سيرفض المدققون الادعاءات الزائدة. لذلك يفصل التفويض حفظ التوقيع عن سلطة التسجيل؛ لا يلغي سلطة التسجيل.
RIPE-847 يجعل هذا صريحًا في سياق مختلف. منذ أكتوبر 2025، إذا لم يتمكن RIPE NCC من اكتشاف والتحقق من البيان الحالي و CRL لـ CA مفوضة لأكثر من ثلاثة أشهر، بعد بذل جهود معقولة لاكتشاف المواد الحالية وإشعار المشغل، يجب إبطال شهادة الموارد. السياسة تعالج CAs المفوضة المعطلة باستمرار والعبء الذي تشكله على الأطراف الموثوقة، لا النقائص القصيرة.
هذه وظيفة أبوية مشروعة ذات عواقب حوكمة. المشغل المفوض يكتسب سيطرة ويتحمل واجبات. العنصر الأعلى يكتسب سببًا للإبطال ويجب أن يطبقه بشكل متوقع. المراقبة يجب أن تتجنب الإنذارات الكاذبة الناجمة عن مشاكل وصول العنصر الأعلى نفسه. يجب أن يحدد الإشعار الفحوصات الفاشلة ويسمح للمالك بإثبات النشر الصحيح. يجب توثيق الاسترداد.
يُفهم التفويض بشكل أفضل كفصل دستوري داخل التسلسل الهرمي. يمنع العنصر الأعلى من فعل كل شيء، لكن لا يمنعه من فعل أي شيء.
المستودعات تشكل سطح تحكم ثاني
الشهادات و ROAs يجب أن تصل إلى الأطراف الموثوقة. مستودعات RPKI تنشر الشهادات وقوائم الإبطال والبيانات والكائنات الموقعة. يعرف RFC 8181 بروتوكولًا يمكن من خلاله لـ CA أن تطلب من خادم النشر نشر الكائنات أو سحبها. الخدمات المستضافة عادةً ما تجمع تشغيل CA والمستودع. المالكون المفوضون يمكنهم النشر بأنفسهم أو استخدام خدمة نشر RIR.
هذا التمييز مهم لأن امتلاك مفتاح التوقيع والقدرة على توزيع الكائن الموقع هما صلاحيتان مختلفتان. المالك المفوض الذي يستخدم "النشر في الأصل" يحتفظ بمفتاحه لكنه يعتمد على المستودع الذي يديره الأصل لقبول كائناته وتوفيرها. المالك الذي ينشر بنفسه يكتسب سيطرة توزيع أكبر ويتحمل أيضًا مسؤولية خدمة متاحة عالميًا وبيانات حالية وقوائم إبطال حالية ومرونة ضد انقطاعات التشغيل.
عدم توفر المستودع لا يؤدي ميكانيكيًا إلى رفض المسار الفوري. المدققون يخزون المواد مؤقتًا ويطبقون قواعد للمستودعات القديمة أو غير المتاحة. التطبيقات المختلفة والإعدادات المحلية يمكن أن تؤدي إلى جداول زمنية مختلفة. لكن النشر القديم يمكن أن يمنع التغييرات المقصودة من الوصول إلى العالم، والبيانات أو معلومات الإبطال غير الصالحة يمكن أن تتسبب في رفض فرع كامل.
لذلك يجب أن تحدد الخريطة المؤسسية أربع ضوابط بشكل منفصل: نطاق التسجيل، التصديق الأبوي، التوقيع الفرعي، والنشر. منظمة يمكنها التحكم في واحد أو اثنين أو ثلاثة دون التحكم في الأربعة. العقود وخطط الاستمرارية التي تقول فقط أن المشغل لديه مفتاحه الخاص غير مكتملة.
نفس الفصل يحسن تحليل الحوادث. إذا لم تظهر ROA جديدة، قد يكون السبب فشل عملية توقيع فرعية، أو طلب نشر مرفوض، أو فشل طلب نشر، أو مشكلة مزامنة مستودع، أو تخزين مؤقت للطرف الموثوق. إلقاء اللوم على RPKI المجرد يحجب أين كانت السلطة والمسؤولية حقًا.
الأوامر القضائية والعقوبات تتطلب جسرًا ضيقًا
تعمل RIRs ضمن القانون. محكمة قد تقرر نزاعًا تجاريًا، أو تأمر بالحفاظ على الأصول أو نقلها، أو تقيد حسابًا، أو تتعامل مع احتيال مزعوم. لوائح العقوبات قد تحظر الخدمة لشخص مدرج. لا يمكن للتسجيل أن يعد بتجاهل الالتزامات القانونية الملزمة لأن استمرارية التوجيه ثمينة.
الخطر يكمن في ترجمة ضغط قانوني عريض إلى إجراءات شهادات دون جسر محدد. أمر بشأن أسهم شركة قد لا يوجه RIR لإبطال شهادة مورد. ضربة عقوبات قد تكون غامضة. طلب دائن قد يتعلق بالدفع وليس بصحة تصريح مسار حالي. يجب على المؤسسة تحديد الفعل القانوني، وعلاقة المورد، وأقل استجابة ممتثلة اضطرابًا.
حيث يكون الإبطال الفوري ضروريًا، يجب أن تحدد السجلات من أذن به ولماذا قيد الإشعار. حيث يُسمح بالحفاظ، قد يجمد RIR النقل بينما يحافظ على التصريح الحالي حتى توضح المحكمة السيطرة. هذا الخيار يجب أن يستند إلى القانون والسياسة، لا أن يرتجل من قبل الموظفين التقنيين.
العمليات عبر الحدود تعقد الصورة. مالك المورد، الشركة الأم، الشبكة، RIR، والمحكمة قد يكونون في ولايات قضائية مختلفة. RPKI لا يحل النزاعات القانونية. يقينه المشفر قد يخفي الغموض القانوني: المدققون يعرفون أي مسار شهادة مقبول، لا ما إذا كان النزاع وراء إجراء أصلي قد حل بشكل صحيح.
هذا سبب آخر لعدم تقديم التحقق من صحة التوجيه كدليل ملكية. شروط RIPE NCC تنفي صراحة أن شهاداته تدعم مطالبات الملكية. شهادات الموارد تصادق ضمن نظام تنسيق. المحاكم قد تستخدم هذه الأدلة أو تفحصها، لكن الشهادة ليست سند ملكية عالمي.
يجب أن تتبع المسؤولية السيطرة القابلة للتجنب
شروط الخدمة الحالية غالبًا ما تسند معظم المخاطر إلى المستخدم. اتفاقية ARIN المنشورة تصف حقوق إنهاء واسعة، بما في ذلك الإنهاء الفوري لأسباب تعاقدية وحكومية وتقنية وأمنية مختلفة، وفترة أربعة عشر يومًا للإنهاء لأي سبب أو بدون سبب. تشمل أيضًا إخلاءات مسؤولية وتنازلات وتعويضات واسعة. شروط RIPE NCC تضع الاستخدام على مسؤولية المالك وتحد من المسؤولية باستثناء سوء السلوك المتعمد أو الإهمال الجسيم.
التأثير القانوني لهذه الأحكام يعتمد على القانون المطبق والحقائق؛ مقال مقارن لا يمكن أن يقرر قابلية الإنفاذ. رسالتها المؤسسية لا تزال واضحة. RIRs تريد مرونة لتشغيل خدمة أمان متطورة دون أن تصبح مؤمنًا لكل قرار توجيه يتخذ في مكان آخر.
هذا القلق مشروع. العنصر الأعلى لا يتحكم فيما إذا كانت شبكة بعيدة ترفض المسارات "غير الصالحة". لا يمكن أن يضمن توفر كل مستودع مفوض أو صحة ROA المالك. مسؤولية غير محدودة عن الأضرار غير المباشرة قد تثبط تقديم خدمة ذات منفعة عامة.
لكن الإخلاء الكامل للمسؤولية هو بديل سيء للمسؤولية المعايرة. يجب أن تتبع المخاطرة السيطرة القابلة للتجنب. يجب أن يكون المالك مسؤولاً عن النوايا التوجيهية الخاطئة التي يقدمها، والعبارات غير الآمنة، والفشل في CA يديرها. يجب أن يكون مزود النشر مسؤولاً عن الواجبات التي يقبلها صراحةً، ضمن حدود الخدمة المعقولة. يجب أن يكون العنصر الأعلى مسؤولاً عن التفويض المعيب بشكل جسيم، والانحرافات غير المبررة عن قواعد الإبطال المنشورة، وعدم اتباع انتقال موعود، أو التأخير القابل للتجنب في تصحيح أخطائه.
العلاجات لا يجب أن تبدأ بتعويضات عالية. يمكن أن تشمل الاسترداد الطارئ، وأرصدة الرسوم، والدعم التقني الممول، وحفظ الأدلة، والتحقيق المستقل، ونشر النتائج. للخسائر الجسيمة المثبتة، يمكن لكل مجتمع إقليمي النظر في ترتيب تعويض محدود أو آلية تأمين. النقطة المركزية هي أن المؤسسة التي تحمل السيطرة الحاسمة لا يجب أن تكون مسؤولة نظريًا فقط.
ميثاق لإجراءات العنصر الأعلى سيجعل السلطة قابلة للقراءة
يجب على كل RIR نشر ميثاق مضغوط لإجراءات على حدود التسجيل والتصديق. لن يحل محل سياسة الشهادة التقنية ولا اتفاقية الخدمة العامة. سيخبر المشغل بما يمكن أن يحدث لحالة التصديق الخاصة به وتحت سلطة من.
يجب أن يصنف الميثاق الأحداث. الأحداث الطوعية تشمل الإبطال بطلب المالك، وتغيير المفتاح، والنقل. أحداث الأمان تشمل الاختراق وطلبات الطوارئ الموثقة. أحداث التسجيل تشمل الإعادة والنقل والتفويض المصحح. أحداث الامتثال تشمل العقوبات والأوامر القضائية والإنهاء التعاقدي. أحداث التشغيل تشمل النشر المفوض غير الصالح باستمرار.
لكل فئة، يجب أن يحدد الميثاق عتبة الأدلة، وفترة الإشعار، والموافقين، وما إذا كان "الإنشاء قبل القطع" متاحًا، والتأثير المتوقع على أمان التوجيه، ومسار المراجعة، وهدف الاسترداد، والسجلات المحفوظة. يجب أن يشرح الاختلافات بين المستخدمين المستضافين والمفوضين. يجب أن يسرد الواجهات التي يمكن من خلالها للمشغلين الحصول على جرد الكائنات الحالي ومعاينة لتغيير الشهادة المقترح.
يجب أن يحدد الميثاق أيضًا السلطة السلبية: ما لن يقرره RIR من خلال RPKI. يجب ألا تستخدم CA عليا الإبطال لمعاقبة نقد سياسي مشروع، أو تسوية دين خاص لا علاقة له بالخدمة، أو الاختيار بين بنيات شبكة متنافسة، أو منح سند ملكية. إذا كانت السياسات الإقليمية تأذن بإجراء أوسع، يجب أن تكون السلطة صريحة وقابلة للمراجعة.
التدقيق المستقل يمكن أن يختبر ما إذا كانت الأحداث الفعلية تتبع الميثاق. يجب أن تركز العينات ليس فقط على حماية المفاتيح المشفرة ولكن أيضًا على صحة المشغلات من أنظمة التسجيل. يجب على المدققين فحص التفويض والتوقيت والإشعار والاسترداد. يمكن للملخصات العامة الكشف عن الفئات ونتائج التحكم دون الكشف عن أسرار المالكين.
هذه ليست بيروقراطية مضافة إلى الأمان. إنها الدستور التشغيلي لخدمة أمان ذات آثار خارجية.
ما يمكن لجمعية موارد الأرقام فعله دون المطالبة بالمفتاح
جمعية موارد الأرقام تدعو علنًا إلى تسجيل دقيق، وسيطرة المالك، والمشاركة، وتقليل التدخل التعسفي. هذه المبادئ ذات صلة بـ CA عليا لأن أقوى حماية ضد التجاوز ليست إنكار التسلسل الهرمي، بل استخدامه الشفاف والمحدود.
يمكن لـ NRS المساهمة بشكل ملموس من خلال الحفاظ على فهرس مقارن لإجراءات العنصر الأعلى. لكل RIR، يمكنها تسجيل الأسباب المنشورة لاستبدال الشهادات وإبطالها، وقواعد الإشعار، ومرافق الانتقال، وسبل الطعن، وصياغات المسؤولية، وخيارات النشر المفوض. يمكنها التحقق مما إذا كانت الصفحات مفهومة لمشغل صغير، وتحديد الشروط التي تترك عواقب التوجيه غير مفسرة.
يمكنها أيضًا نشر قائمة مراجعة استمرارية النقل بناءً على جرد الكائنات، واستعداد المستلم، والأصول المتعددة، وتفويضات العملاء، ومراقبة المدقق، واتصالات التراجع. الأعضاء الأصغر غالبًا ليس لديهم فريق مفاتيح عامة خاص بهم. قائمة مراجعة محايدة وتمرين مكتبي سينقل المخاطر المؤسسية إلى إعداد عملي دون دعوة NRS لتشغيل CA.
أخيرًا، يمكن لـ NRS جمع تجارب الأعضاء الموثقة تحت قواعد أدلة صارمة: التاريخ، الخدمة الإقليمية، نوع الحدث، الإشعار، التأثير على حالة التحقق، الاسترداد، وعدم اليقين غير المحلول. التجميع يجب أن يتجنب ادعاء معدل بدون مقام معروف. القيمة ستكون في كشف أنماط الفشل المتكررة وثغرات السياسة.
هذه الأدوار إيجابية لكن محدودة. ميثاق NRS وصفحات الشرح هي مناصرة من طرف أول. لا تثبت أن NRS هي مرجع ثقة معترف به، أو سلطة تسجيل مخولة، أو حكم محايد، أو مشغل شهادات متفوق تقنيًا. أقوى موقع لها هو كمؤسسة مجتمع مدني حول التسلسل الهرمي: جعل القواعد قابلة للمقارنة، ومساعدة المالكين في الاستعداد، ودفع المجتمعات الإقليمية لربط السلطة المشفرة بالواجب الإجرائي.
الاعتراضات جدية لكنها قابلة للتحكم
أحد الاعتراضات هو أن الإشعار المسبق يساعد المهاجم بمفتاح مخترق. لهذا السبب يميز الانضباط المقترح بين إجراءات الأمان العاجلة والتغييرات الإدارية العادية. يمكن أن يظل الإبطال الفوري متاحًا إذا كان التأخير سيزيد من تهديد ملموس. التفويض المزدوج والاستبدال السريع والمراجعة اللاحقة تجعل سلطة الطوارئ أكثر أمانًا دون إبطائها.
اعتراض ثانٍ هو أن "الإنشاء قبل القطع" قد يصادق على مدعيين اثنين. أحيانًا قد يفعل، والتداخل غير الحذر سيضعف النظام. الرد ليس تداخلًا عالميًا. إنها أداة انتقال ضيقة تُستخدم فقط حيث تدعمها سلطة التسجيل وموافقة الأطراف والقيود التقنية، مع صلاحية قصيرة ومراقبة مرئية. حيث يكون التداخل غير مقبول، يمكن للتحقق المسبق والانتقال المتفق عليه تقليل الفجوة.
اعتراض ثالث هو أن المشغلين يقبلون بالفعل شروط الخدمة. الموافقة على الشروط لا تزيل الاعتماد المؤسسي. العديد من المشغلين لديهم عنصر أعلى إقليمي واحد فقط للموارد التي يحملونها بشكل قانوني. خيار رفض RPKI ليس إجابة كاملة عندما يقدر العملاء والنظراء التحقق بشكل متزايد. حوكمة الأعضاء يجب أن تحسن الشروط بدلاً من التظاهر بأن العلاقة هي شراء تنافسي عادي.
اعتراض رابع هو أن نظام التوجيه الموزع يحمي المستخدمين لأن الشبكات تختار سياساتها الخاصة. بينما يقلل السيطرة المباشرة لـ CA، فهو يعني أيضًا أن الضرر قد يكون غير متساوٍ وصعب القياس. العواقب المجزأة تقوي حجة القياس الدقيق للحوادث؛ لا تعذر خطأ عنصر أعلى يمكن تجنبه.
الاعتراض الأخير هو التكلفة. أدوات المعاينة والمراجعة السريعة والتدقيق تتطلب موظفين. لكن RIR يدير بالفعل أنظمة المصادقة والتسجيل والنقل والتصديق. إضافة ضمانات عند الواجهة بينها أرخص من معاملة كل خطأ كحادث غير متوقع. رسوم خدمات التصديق يجب أن تدعم الضوابط التي تجعلها جديرة بالثقة.
قس الحدود، لا مفتاحًا عالميًا أسطوريًا
المساءلة تحتاج قياسات لكن لا نسب مئوية عالمية مخترعة. يمكن لـ RIRs نشر عدد استبدالات الشهادات الأبوية حسب السبب، والإبطالات الطارئة، والإبطالات غير الطارئة، وتحولات النقل، وأحداث الاسترداد، وإجراءات CAs المفوضة. يمكنها تقديم الوسيط والمدى للإشعار والاسترداد حيث يسمح حجم العينة، مع إخفاء التفاصيل التي تحدد المالك.
القياسات التقنية يجب أن تتبع ما إذا كان الإجراء يتوافق مع معاينته، وما إذا كانت الكائنات المتأثرة أعيد إنشاؤها، وما إذا كان العملاء المفوضون بحاجة إلى استرداد يدوي، وما إذا كان توزيع المستودع حقق الأهداف المعلنة. قياسات التسجيل يجب أن تلتقط عدد الأحداث المؤثرة على الشهادات الناتجة عن بيانات مصححة وليس عن إجراءات مالك مخططة.
المراقبون المستقلون يمكنهم قياس تغييرات RPKI المرئية، لكن لا يمكنهم استنتاج كل سبب بشكل موثوق من الكائنات العامة. ROA مفقودة قد تكون مقصودة. تقلص الشهادة قد يتبع نقلًا صالحًا. لذلك يجب دمج القياسات عن بعد مع سجلات مؤسسية مدققة، لا استبدالها بتخمينات خارجية.
المشغلون أيضًا يحتاجون قياساتهم الخاصة. يجب أن يحتفظوا بجرد حالي للعلاقات مع العناصر الأعلى، والموارد المعتمدة، وROAs، والأبناء المفوضين، ونقاط النشر، واعتمادات التوجيه. يجب أن ينبهوا عند تغييرات غير متوقعة في نطاق الشهادة، ويقارنوا الأحمال الصالحة من أكثر من تطبيق أو نقطة مراقبة. يجب أن يعرفوا أي العملاء أو الخدمات يتطلبون حالة "صالح"، بدلاً من افتراض أن كل شبكة تعامل "غير موجود" بنفس الطريقة.
أكثر مقياس مفيد هو الوقت من إجراء عنصر أعلى خاطئ إلى استعادة تصريح صالح. يختبر الكشف والاتصال والسلطة والتوقيع والنشر معًا. عدد حوادث منخفض مع مسار استرداد فوضوي ليس حوكمة ناضجة.
حاليًا، لا تدعم أي بيانات عامة احتمالًا موثوقًا عبر RIRs للإبطال غير القانوني أو فقدان المسار. يجب أن يظل عدم اليقين هذا مرئيًا. إنه سبب لنشر أدلة أفضل، وليس ترخيصًا لاختلاق الطمأنة.
سلطة الأمان تحتاج إلى عمود فقري إجرائي
RPKI يحل مشكلة حقيقية. يمكن من جعل نية التوجيه للمشغل قابلة للتحقق تشفيريًا، ويعطي الشبكات أساسًا أقوى لرفض الأصول العشوائية أو الخبيثة. التسلسل الهرمي ليس عيبًا محرجًا مخفيًا في هذا الإنجاز. إنها الطريقة التي يربط بها النظام التفويض بالتفويض الحالي للموارد.
لكن التسلسل الهرمي يحمل السلطة لأسفل. RIR الأعلى يقرر الموارد التي يمكن لشهادة فرعية تغطيتها. الخدمة المستضافة قد تمتلك أيضًا مفتاح توقيع المالك وتنشر كل كائن. لذلك يمكن أن تصبح تحديثات التسجيل تغييرات في أدلة التحقق من صحة التوجيه. حادث RIPE NCC لعام 2020 أظهر أن هذا المسار تشغيلي، بينما تظهر الشروط والسياسات الإقليمية الحالية أن أسباب الإبطال والعلاجات لا تزال تختلف.
الرد الصحيح ليس التخلي عن RPKI ولا التظاهر بأن التشفير يلغي الحكم المؤسسي. CAs العليا تحتاج قواعد متوقعة، وسلطات طوارئ محدودة، وإشعار ذا معنى، وهندسة نقل، ومراجعة سريعة، وتسجيل حوادث شفاف، ومسؤولية متناسبة مع السيطرة. CAs المفوضة يجب تشجيعها حيث تبرر فوائدها واجباتها، لكن لا يجب تقديمها كهروب من العلاقة مع العنصر الأعلى.
عبارة "سلطة التصديق فوق المشغل" يجب أن تصبح تذكيرًا تصميميًا. المشغل يمكنه إرسال المسار وتوقيع التصريح. مؤسسة أخرى تحدد ما إذا كان التوقيع ضمن سلسلة موارد صالحة. إذا تصرفت تلك المؤسسة بدقة وبشكل متوقع وبمساءلة، يصبح RPKI أقوى. إذا انتقلت أخطاؤها الإدارية أو سلطتها التقديرية غير المحدودة بشكل غير مرئي، يمكن أن يصبح أمان التوجيه قناة لمخاطر السجل.
المرحلة التالية من حوكمة RPKI هي إذن إجرائية منها تشفيرية. المعايير تشرح بالفعل كيف تعمل الشهادات وقوائم الإبطال والبيانات وROAs. تحتاج المجتمعات الإقليمية الآن إلى توضيح متى يمكن للعنصر الأعلى التصرف، وكيف تحمى الاستمرارية، وماذا يحدث عندما تكون السلطة فوق المشغل مخطئة.
المصادر
- IETF، RFC 6480،بنية تحتية لدعم التوجيه الآمن للإنترنت:https://www.rfc-editor.org/rfc/rfc6480
- IETF، RFC 6483،التحقق من صحة أصل المسار باستخدام البنية التحتية للمفاتيح العامة لشهادات الموارد وتصاريح أصل المسار:https://www.rfc-editor.org/rfc/rfc6483
- IETF، RFC 6492،بروتوكول لتزويد شهادات الموارد:https://www.rfc-editor.org/rfc/rfc6492
- IETF، RFC 6811،التحقق من صحة أصل بادئة BGP:https://www.rfc-editor.org/rfc/rfc6811
- IETF، RFC 7115،تشغيل التحقق من صحة الأصل بناءً على البنية التحتية للمفاتيح العامة للموارد:https://www.rfc-editor.org/rfc/rfc7115
- IETF، RFC 8181،بروتوكول نشر للبنية التحتية للمفاتيح العامة للموارد:https://www.rfc-editor.org/rfc/rfc8181
- IETF، RFC 8211،إجراءات ضارة من قبل سلطة تصديق أو مدير مستودع في البنية التحتية للمفاتيح العامة للموارد:https://www.rfc-editor.org/rfc/rfc8211
- RIPE NCC،سياسة التصديق الأولية في منطقة خدمة RIPE NCC:https://www.ripe.net/community/policies/proposals/2008-08/
- RIPE NCC،إطلاق خدمة تصديق الموارد:https://www.ripe.net/about-us/news/ripe ncc-resource-certification-service-launch/
- RIPE NCC،استخدام نظام RPKI:https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/using-the-rpki-system/
- RIPE NCC،استخدام سلطة التصديق المستضافة:https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/resource-certification-roa-management/
- RIPE NCC،استخدام سلطة تصديق مفوضة:https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/using-a-delegated-certification-authority/
- RIPE NCC،شروط وأحكام خدمة التصديق:https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/legal/ripe ncc-certification-service-terms-and-conditions/
- RIPE NCC، RIPE-847،إبطال CAs RPKI مفوضة غير وظيفية باستمرار:https://www.ripe.net/publications/docs/ripe-847/
- RIPE NCC،خطأ في الحالة التعاقدية لموارد الإرث أثر على RPKI:https://www.ripe.net/ripe/mail/archives/routing-wg/2020-December/004210.html
- ARIN،خيارات نشر RPKI:https://www.arin.net/resources/manage/rpki/options/
- ARIN،اتفاقية شروط خدمة RPKI:https://www.arin.net/resources/manage/rpki/tos/
- APNIC،بيان ممارسة التصديق:https://www.apnic.net/community/security/resource-certification/certification-practice-statement/
- APNIC،البنية التحتية للمفاتيح العامة للموارد:https://www.apnic.net/community/security/resource-certification/
- LACNIC،تصديق الموارد:https://www.lacnic.net/640/1/lacnic/resource-certification-rpki
- Number Resource Society،ميثاقنا:https://nrs.help/our-charter/
- Number Resource Society،الأسئلة المتكررة:https://nrs.help/faq/

