ملخص

  • توفر RPKI هو خاصية شاملة. قد يكون فحص صحة الخادم أخضر بينما يتلقى المحققون الخارجيون بيانات قديمة أو غير كاملة أو غير متسقة أو غير قابلة للاستخدام تشفيريًا.
  • الانقطاع القصير لا يغير بالضرورة التحقق من التوجيه، لأن الأطراف المستخدمة تخزن مؤقتًا الكائنات التي تم التحقق منها سابقًا. يصبح نفس الانقطاع خطيرًا عندما يتجاوز البيان أو قائمة إلغاء الشهادات حقل nextUpdate الخاص به، أو تنتهي صلاحية شهادة، أو لا يصبح التغيير المطلوب مرئيًا خارجيًا أبدًا.
  • تظهر الحوادث العامة فئات فشل مميزة: أبلغت APNIC عن عدم تناسق rsync بينما ظل RRDP صالحًا في 2019؛ أبلغت RIPE NCC عن انتهاء صلاحية CRL بعد فشل نشر صامت في 2020 ونشر غير متناسق لشهادة الأصل والفرع في 2021؛ أبلغت JPNIC عن تحول ROA إلى NotFound بعد توقف النشر لفترة كافية لانتهاء صلاحية حقلي النضارة في 2022.
  • يجب أن يقيس التزام الخدمة الموثوق به عمليات الاسترداد الناجحة من شبكات مستقلة، والاكتمال حسب البروتوكول، والصحة التشفيرية، وهامش النضارة، وتغييرات الحمولة الصالحة التي تم التحقق منها، وتقارب الاسترداد، وأي تغيير مرتبط في التحقق من التوجيه الملاحظ.
  • يتطلب الإسناد سجلاً زمنيًا من التغيير المصرح به إلى إنتاج الشهادة، والنشر، والاسترجاع الخارجي، والتحقق، والتسليم إلى جهاز التوجيه، وسياسة التوجيه. بدون هذه السلسلة، يمكن للسجل والمستودع ومزود البرامج ومشغل الشبكة توجيه الاتهام إلى طبقة أخرى.
  • لا يمكن استنتاج التأثير على التوجيه من فشل المستودع وحده. يختار المشغلون سياساتهم المحلية، ويستخدمون برامج وفترات تحديث مختلفة، ويرون مسارات BGP مختلفة. يجب أن تشير التقارير إلى المجموعة الملاحظة وتحتفظ بالمجاهيل بدلاً من الادعاء بمعدل فشل عالمي.
  • يمكن لـ NRS تعزيز شرعية السجلات من خلال رعاية مجسات محايدة وحقول حوادث مشتركة ومعيار ضمان قابل للتكرار خارجيًا. مساهمتها الإيجابية ستكون جعل الادعاءات المؤسسية المحدودة قابلة للاختبار، وليس الإعلان عن أن كل انقطاع في المستودع تسبب في فقدان العملاء.

يبدأ الفشل من الطرف المستخدم، وليس من غرفة الخوادم

الحدث الحاسم في RPKI ليس ضوءًا أحمر على وحدة تحكم مشغل المستودع. إنه عدم قدرة طرف مستخدم خارجي على استرجاع البيانات التي يعتمد عليها شبكة لاتخاذ قرارات أصل المسار والتحقق منها. قد يتزامن الحدثان، لكنهما ليسا متطابقين.

يمكن لمشغل المستودع رؤية عمليات سليمة وفتحات مفتوحة وطلبات محلية ناجحة بينما يواجه المستخدمون في مكان آخر فشل DNS أو عقدة توزيع محتوى معطلة أو عدم تطابق TLS أو شجرة rsync غير كاملة أو عدم تناسق جلسة RRDP أو مجموعة من الكائنات التي لم تعد توقيعاتها تشكل مسارًا صالحًا. على العكس، قد يكون المستودع غير متاح لعدة ساعات دون تغيير العرض المعتمد الذي يمتلكه المشغلون بالفعل، بشرط أن تظل المواد المخزنة مؤقتًا قابلة للاستخدام ولا يتم تفويت أي تحديث عاجل.

هذا التمييز أكثر من علامة ترقيم تقنية. غالبًا ما تستخدم وثائق السياسة التوفر كما لو كان خاصية لجهاز: دقائق التشغيل مقسومة على دقائق الشهر. RPKI هي خدمة نشر مضمنة في قرار أمني موزع. ناتجها المفيد هو مجموعة معتمدة من التأكيدات، وليس صفحة ويب تستجيب. لذلك فإن القياس الذي يتوقف عند حافة المستودع يقيس قدرة المشغل على خدمة نفسه، وليس قدرة الطرف المستخدم على الاعتماد عليه.

السؤال الصحيح يمكن ملاحظته من الخارج: في لحظة معينة، من شبكة معينة، باستخدام بروتوكول معين وإصدار مدقق معين، هل يمكن للطرف المستخدم استرجاع المواد الكاملة المطلوبة لمسار شهادة معين، والتحقق منها وفقًا للمعايير المطبقة، وإنتاج الحمولات الصالحة المتوقعة قبل استنفاد هوامش النضارة؟

هذا السؤال أطول من "هل كان الخادم متصلاً؟" لأن الخدمة أطول. كما يوزع المسؤوليات بشكل أكثر إنصافًا. يمكن أن يظهر فشلاً من جانب المستودع، أو مشكلة وصول خاصة بالمسار، أو عيبًا في المدقق، أو ذاكرة تخزين مؤقت محلية قديمة، أو تأخيرًا في التسليم إلى جهاز التوجيه دون الادعاء بأن جميع الخمسة حدث واحد.

نشر RPKI هو سلسلة من التبعيات الزمنية

يمنح RPKI المشغلين وسيلة لتقييم ما إذا كان النظام المستقل مصرحًا له بالإعلان عن بادئة. ينشئ حامل المورد تصريح أصل المسار. تربط الشهادات الموارد الرقمية ذات الصلة في مسار شهادة. تنشر المستودعات الشهادات و ROA والبيانات وقوائم إلغاء الشهادات. يسترجع برنامج الطرف المستخدم هذه الكائنات ويتحقق منها، وينتج حمولات صالحة، ويوفرها لأنظمة التوجيه، عادة عبر بروتوكول RPKI-to-Router. يطبق جهاز التوجيه سياسة محلية على إعلانات BGP المصنفة على أنها Valid أو Invalid أو NotFound.

لكل فعل في هذا التسلسل حد فشل خاص به. قد يقدم الحامل أصلًا أو طولًا أقصى خاطئين. قد تصدر خدمة التصديق شهادة غير متسقة. قد لا تعرض خدمة النشر تغييرًا مكتملاً. قد يعمل بروتوكول وصول بينما يفشل آخر. قد يرفض الطرف المستخدم الكثير، أو يحتفظ بالقليل جدًا، أو يقوم بالتحديث ببطء شديد. قد تتوقف جلسة RTR عن حمل مجموعة محدثة. قد يتلقى جهاز التوجيه المجموعة ويطبق سياسة غير متوقعة. قد يتم تصفية مسار بواسطة شبكة ويقبله آخر.

المستودع مركزي لأن جميع الأطراف المستخدمة تحتاج إلى عرض نشر قابل للاسترجاع، لكنه ليس جهاز توجيه ولا يأمر باستجابة عالمية. تجعل RFC 7115 سياسة التوجيه محلية. هذا يحد مما يمكن أن يدعيه تقرير المستودع بأمانة. يمكن أن يثبت أن الكائنات كانت غير متاحة أو غير صالحة، وأن بعض الحمولات الصالحة اختفت تحت برنامج محدد، وأن المسارات المرصودة غيرت حالتها عند نقاط مراقبة مختارة. لا يمكنه استنتاج سياسة كل مشغل أو إمكانية الوصول لكل عميل من هذه الحقائق وحدها.

الوقت يربط الطبقات. انقطاع لمدة عشر دقائق مع هامش نضارة واسع يختلف عن انقطاع لمدة عشر دقائق يعبر nextUpdate الخاص بالبيان. تأخر ROA جديد يختلف عن اختفاء ROA صالح سابقًا. ذاكرة التخزين المؤقت التي تحمي الاستمرارية لمدقق واحد قد تكون غائبة أو قريبة من الانتهاء بالفعل لمدقق آخر. لذلك يجب التعبير عن جودة الخدمة كسلسلة من الأدلة الزمنية، وليس كمدة واحدة.

وقت التشغيل الداخلي ضروري ولكنه غير كافٍ بشكل جذري

تسأل مراقبة التوفر التقليدية عما إذا كان المضيف أو التطبيق يستجيب. هذا يظل مفيدًا. يجب أن يعرف المشغل ما إذا كانت الخوادم الأصلية والتخزين وخدمات التوقيع وعمال النشر وDNS وإنهاء TLS وعقد التوزيع سليمة. لكن الفحص الداخلي لديه ثلاث نقاط عمياء هيكلية.

أولاً، يبدأ عادة داخل أو بالقرب من شبكة المزود. قد يتجاوز محلل DNS ومسار التبادل وعائلة العناوين وعقدة توزيع المحتوى أو التحكم في الوصول التي يواجهها مدقق خارجي. طلب ناجح من نفس المنشأة لا يثبت شيئًا عن إمكانية الوصول من إفريقيا أو آسيا أو أوروبا أو الأمريكتين.

ثانيًا، يميل إلى اختبار النقل بدلاً من المعنى. قد يقدم رمز HTTP 200 ملف إشعار RRDP قديمًا. قد يستجيب برنامج rsync أثناء عرض شجرة محدثة جزئيًا. قد يكون الملف موجودًا لكنه غائب عن البيان الحالي، أو مدرجًا بتجزئة خاطئة، أو موقعًا تحت سلسلة غير صالحة، أو مرتبطًا بـ CRL منتهية الصلاحية. الخادم حي؛ التأكيد غير قابل للاستخدام.

ثالثًا، غالبًا ما تعرف المراقبة الداخلية أنه تمت محاولة إجراء نشر، ولكن ليس ما إذا كان المستخدمون المستقلون قد تلقوه. قد تحدد قائمة انتظار مهمة كمكتملة عندما تصل البيانات إلى دليل أصلي، حتى لو احتفظت طبقة توزيع بالعرض السابق. الفرق بين النشر المحاول والنشر المرئي خارجيًا هو بالضبط المكان الذي يجب أن تنظر فيه خدمة الضمان.

المعيار القابل للتكرار خارجيًا لا يرفض القياسات عن بعد من المزود. إنه يضعها في المكان الصحيح. الأدلة الداخلية تشرح السبب وتسرع الإصلاح. الأدلة الخارجية تثبت الحالة المرئية للمستخدم. يجب أن يتطلب التزام الخدمة كليهما ويحدد كيفية حل الخلافات. إذا قالت الفحوصات الداخلية "سليم" بينما فشل مدققون خارجيون متنوعون دلاليًا، فإن الخدمة متدهورة حتى يتم شرح الفجوة.

تحول ذاكرات التخزين المؤقت عطلًا بسيطًا إلى سباق مع الزمن التشفيري

تم تصميم RPKI مع تخزين مؤقت محلي لأنه لا يمكن افتراض إمكانية الوصول الدائم للمستودعات ومسارات الشبكة. تنصح RFC 8182 الأطراف المستخدمة بالاحتفاظ بالكائنات القديمة، وتوصي RFC 9286 بالاستمرار في استخدام الكائنات المخزنة مؤقتًا المرتبطة باسترجاع فاشل حتى تصبح قديمة أو يمكن استبدالها بنجاح. هذه ميزة استمرارية مهمة. وهي أيضًا سبب كون وقت التوقف الإجمالي وصفًا سيئًا للمخاطر.

في بداية الانقطاع، قد يحتفظ طرفان مستخدميان بحالات تخزين مؤقت مختلفة ولكن صالحة. أحدهما حدث التحديث قبل لحظات؛ الآخر يقترب من استرجاعه المجدول التالي. تختلف هوامش النضارة المتبقية لديهما. إذا تعافى المستودع بسرعة، فقد يستمر كلاهما في إنتاج نفس الحمولات الصالحة. إذا جاء الاسترداد بعد الحدود الزمنية ذات الصلة، فقد يفقد أحدهما الكائنات في وقت أبكر من الآخر. قد يتبع تطبيق ثالث سياسة محلية مختلفة للمواد القديمة.

وبالتالي فإن للحادث ثلاث ساعات على الأقل. الأولى تقيس فشل الاسترجاع الخارجي. الثانية تقيس هامش النضارة لكل فرع شهادة متأثر. الثالثة تقيس متى يتغير الناتج المعتمد بالفعل. عادة ما تنشر تقارير السياسة الأولى فقط، إن نشرت أيًا منها. ومع ذلك، فإن الثانية تحدد الاستعجال والثالثة تحدد العواقب على خدمة الأمان.

يمكن للتخزين المؤقت أيضًا إخفاء تحديث فاشل. تظل الكائنات الموجودة صالحة، لذا يبدو التحقق العام مستقرًا، لكن تصحيحًا تم إنشاؤه حديثًا من قبل حامل مفقود. إذا كان التغيير المفقود يهدف إلى السماح بالترحيل أو إصلاح حالة Invalid عرضية، فإن الاستمرارية للمواد القديمة لا تعني أن الخدمة كانت متاحة للحامل المتأثر. توفر القراءة وتوفر نشر التغييرات يحتاجان إلى قياسات منفصلة.

التقرير الذكي يرسم هذه الساعات معًا. يشير إلى متى فشلت عمليات الاسترجاع المستقلة لأول مرة، والحد الأدنى من الوقت الملاحظ حتى انتهاء الصلاحية أو التقادم ذي الصلة، ومتى توقفت التغييرات المتوقعة عن الظهور، ومتى غير المدققون مخرجاتهم، ومتى تقاربت حصة محددة من المجسات نحو الاسترداد. هذا السرد يظهر ما إذا كانت مقاومة ذاكرة التخزين المؤقت قد عملت ومدى قرب النظام من عواقب أكثر خطورة.

البيانات وقوائم الإلغاء تجعل التوفر الدلالي قابلاً للاختبار

مستودع RPKI ليس مجرد دليل من الملفات الموقعة. تسرد البيانات الكائنات الموقعة المرتبطة بسلطة التصديق وتتضمن تجزئات. تساعد الأطراف المستخدمة على اكتشاف الحذف والاستبدال والعروض غير الكاملة. تحدد قوائم إلغاء الشهادات الشهادات الملغاة. حقولها الزمنية تخلق توقعات مرئية خارجيًا بشأن النضارة.

توفر RFC 9286 أساسًا مفيدًا بشكل غير عادي لقياس الخدمة. يجب على الطرف المستخدم استرجاع البيان المحدد بواسطة الشهادة، والتحقق من أن الوقت الحالي يقع ضمن فترة البيان، والحصول على كل ملف مدرج، والتحقق من كل تجزئة. بيان غير صالح أو قديم، أو ملف مدرج مفقود، أو عدم تطابق تجزئة هو استرجاع فاشل. يجب على الطرف المستخدم الاستمرار في استخدام الإصدارات المخزنة مؤقتًا المناسبة حتى تصبح قديمة أو يحل محلها استرجاع ناجح.

هذا يعني أن المراقب الخارجي لا يحتاج إلى الثقة في بيان المشغل بأن النشر كان كاملاً. يمكن للمراقب اختبار المخزون الموقع مقابل الملفات المسترجعة. يمكنه تسجيل سلطة التصديق الدقيقة التي توقف عندها التحقق، والسبب، والبروتوكول، وهامش التخزين المؤقت المتبقي. تكرار هذا الاختبار من شبكات مستقلة يخلق سجل توفر قابل للتحقق.

نفس الطريقة تتجنب المبالغة. الفرع الفاشل لا يبطل تلقائيًا الفروع غير المرتبطة. لا ينبغي الإبلاغ عن نقطة نشر مفوضة غير متاحة كدليل على أن كل كائن تحت مرساة ثقة إقليمية قد اختفى. يجب أن تقتصر النتائج على السلطة والكائنات والمدققين المتأثرين. التصنيفات الواسعة جدًا تحجب كل من الهندسة والمساءلة.

يمنع القياس الدلالي أيضًا الخطأ العكسي: معاملة نقطة وصول يمكن الوصول إليها كمستودع سليم بينما فشلت الحقول الزمنية أو تناسق الكائنات بالفعل. في RPKI، فحوصات السلامة جزء من التوفر لأن الملف الذي لا يمكن الاعتماد عليه بأمان ليس الخدمة الموعودة.

يكشف انقطاع JPNIC في 2020 لماذا وقت التوقف المنقضي ليس التأثير

أبلغت JPNIC أن ROAWeb ومستودع RPKI كانا غير متاحين من 15 مايو الساعة 23:29 إلى 16 مايو 2020 الساعة 10:01 بتوقيت اليابان، بعد انقطاع التيار الكهربائي المرتبط بالأجهزة. لم يتمكن المستخدمون من إنشاء أو حذف ROA، ولم تتمكن الأطراف الخارجية من تنزيل الشهادات و ROA والملفات الأخرى. كان هذا بوضوح انقطاع خدمة.

ومع ذلك، أبلغت JPNIC أيضًا أن نتائج التحقق المستندة إلى ROA التي تم تنزيلها مسبقًا لم تتغير لأن انتهاء صلاحية الشهادات وقيم nextUpdate لـ CRL والبيان لم يتم تجاوزها. هذا هو التمييز الذي يجب أن يحافظ عليه التزام الخدمة الخارجي. فشلت نقطة النشر لمدة حوالي عشر ساعات ونصف، لكن وظيفة التحقق المخزنة مؤقتًا الموصوفة في الإشعار استمرت للكائنات والمستخدمين في ظل الظروف المذكورة.

الحدث كان مهمًا مع ذلك. فقد الحاملون مؤقتًا القدرة على إجراء تغييرات. لم يكن من الممكن تنفيذ تصريح أو إلغاء جديد ضروري. قد لا يستفيد المدققون الذين ليس لديهم ذاكرة التخزين المؤقت السابقة ذات الصلة، أو بحالة محلية مختلفة، من نفس الاستمرارية. لم يثبت الإشعار العام حالة كل طرف مستخدم أو إمكانية الوصول لكل مسار. لقد أثبت ادعاءً محدودًا ومهمًا تقنيًا حول المحتوى المنشور دون تغيير وفترات النضارة غير المستنفدة.

هذا أفضل من وصف الحدث بأنه غير ضار أو كارثي. مقياس مصمم جيدًا سيبلغ عن عدم توفر منفصل لإجراءات الإدارة وعمليات استرجاع النشر، ثم تغيير صفري ملحوظ في الناتج المعتمد بين حالات التخزين المؤقت التي تم اختبارها. سيكشف عن المجسات وفروع الكائنات والمدققين المستخدمين للوصول إلى هذا الاستنتاج.

الدرس إيجابي. يمكن للوقت التشفيري والتخزين المؤقت امتصاص فشل المستودع كما هو متوقع. يجب أن تكافئ السياسة هذه المرونة مع تسجيل خدمة التغيير المرفوضة. لا ينبغي أن يفقد المزود رصيد التوفر لاستمرارية التوجيه، ولا يحصل على رصيد كامل بينما لا يتمكن الحاملون من إصدار تحديث ضروري.

يظهر حدث APNIC في 2019 لماذا يحتاج كل بروتوكول وصول إلى نتائجه الخاصة

يصف إعلان خدمة APNIC في 13 ديسمبر 2019 انقطاعًا جزئيًا لمدة عشرين دقيقة لـ RPKI. كانت حالة مستودع rsync غير كاملة وتم نشر بيان قديم وملغي، مما جعل عددًا من الشهادات و ROA غير صالحة. لم يتأثر المدققون الذين يستخدمون RRDP واستمروا في رؤية صلاحية كاملة.

وبالتالي أنتج حادث واحد واقعتين خارجيتين مختلفتين ماديًا. مراقب اختبر فقط RRDP كان سيعلن النجاح. مراقب اختبر فقط rsync كان سيجد فشلاً دلاليًا. تجميع على مستوى الخادم كان يمكن أن يحسب المتوسط لكليهما في نسبة مئوية مطمئنة بينما يخفي أن مستخدمي طريقة موحدة يتلقون عرضًا غير قابل للاستخدام.

لا يمكن أن يوفر تنوع البروتوكولات مرونة إلا إذا حافظت القياسات على التمييز. تشمل المؤشرات ذات الصلة استرجاع إشعار RRDP، وسلامة اللقطات والتغييرات التفاضلية، وتقدم الجلسة والسلسلة، وإمكانية الوصول إلى rsync، واكتمال الشجرة، وما إذا حدث التبديل عندما فشلت الطريقة المفضلة. يجب على المزود أيضًا الكشف عن ما إذا كانت الطريقتان تشتركان في أصل واحد أو نظام تخزين أو مسار شبكة أو عملية تحديث، حيث قد يكون لطرق الوصول المستقلة اسميًا وضع فشل مشترك.

ينتمي سلوك الطرف المستخدم إلى السرد. تسمح RFC 8182 بآليات وصول بديلة عندما يواجه RRDP مشاكل، لكن التبديل المهيأ أو المنفذ غير مضمون للعمل في كل نشر. وجدت دراسة الطرف المستخدم لعام 2020 سلوك استرجاع غير متسق في ظل ظروفها التجريبية. جاءت هذه النتائج من مجموعة محدودة من سلطات التصديق والاختبارات المرصودة؛ إنها لا تشكل مقامًا لجميع المدققين الحاليين. تظهر لماذا يجب على مشغلي النشر اختبار سلوك العملاء الفعلي بدلاً من استنتاجه من تصميم البروتوكول.

يجب ألا ينشر الالتزام الخارجي أبدًا رقم توفر RPKI واحد بدون تفصيل حسب البروتوكول. إذا كانت إحدى الطرق توفر عرضًا صالحًا كاملاً والأخرى لا، فإن الخدمة مرنة لبعض المستخدمين ومتدهورة للآخرين. كلتا الحقيقتين تنتميان إلى العنوان.

يظهر فشل RIPE NCC في 2020 خطر الصمت في النشر

في فبراير 2020، أبلغت RIPE NCC أن مشكلة في القرص منعت ROA المنشأة حديثًا أو المعدلة أو المحذوفة من الوصول إلى خادم النشر الخاص بها. حدد الإشعار 176 تغييرًا من هذا القبيل. تم الاحتفاظ بالمعلومات المتأثرة في مكان آخر، لكن النشر لم يحدث ولم يبلغ القرص عن مشكلة قد تنبه المهندسين.

كان هذا بالفعل فشلاً قبل انتهاء صلاحية أي كائن تشفيري. تباعد فعل الحامل والحالة المرئية خارجيًا. يمكن للمستخدم أن يعتقد بشكل معقول أن تغييرًا قد تم قبوله بينما استمرت الأطراف المستخدمة في استرجاع الحالة القديمة. فشلت الخدمة عند مستوى تأكيد النشر حتى لو كانت الملفات لا تزال تقدم.

ثم عبر الحدث حدًا ثانيًا. أبلغت RIPE NCC أن CRL قد انتهت صلاحيتها، وبعد ذلك انتهت صلاحية الكائنات الأساسية أيضًا. ظهرت الحالة غير الطبيعية بشكل مختلف اعتمادًا على برنامج الطرف المستخدم. تطلب الإصلاح أكثر من حل مشكلة القرص؛ قامت المنظمة في النهاية بإجراء تدوير كامل لمفتاح سلطة التصديق قبل الحل.

يفتقد وقت التشغيل التقليدي كلاً من المرحلة الصامتة والهاوية الدلالية. اختبار قابل للتكرار خارجيًا كان سيقارن مرجع تغيير مقبول موقع أو قابل للتحقق بطريقة أخرى مع النشر المرصود، ويتتبع هامش نضارة CRL، ويطلق إنذارًا عندما لم يعد عرض المستودع يتقدم. ثم سيكون المدققون المستقلون قادرين على إظهار كيف يؤثر الفرع منتهي الصلاحية على المخرجات تحت إصدارات محددة.

يوضح الحادث أيضًا لماذا اكتشاف الحالة جزء من جودة الخدمة. بدأ الفشل يوم السبت، وأصبحت CRL قديمة يوم الأحد، وقالت المنظمة إنه تم إخطارها يوم الاثنين. يمكن مراقبة المستودع بشكل مستمر ومع ذلك يكون أعمى تشغيليًا إذا لم تتحقق فحوصاته من أن حالة السلطة الجديدة موجودة خارجيًا.

يجب أن تطلب السياسة ليس فقط مدى سرعة إصلاح المهندسين لحدث معروف، ولكن كم من الوقت كانت الخدمة خاطئة قبل أن يعلم بها أحد. متوسط وقت الكشف الخارجي هو مؤشر RPKI من الدرجة الأولى.

يظهر حادث RIPE NCC في 2021 أن الاكتمال يمكن أن يفشل فقط لبعض المدققين

في 7 يناير 2021، أدى نقل موارد صادر إلى قيام نظام RIPE NCC بنشر شهادة أصل محدثة قبل شهادة الفرع المرتبطة. خلال الفترة غير المتسقة، ادعى الفرع موارد لم تعد موجودة في الأصل. أبلغت المنظمة أن التنفيذات القديمة للطرف المستخدم التي تستخدم تفسيرًا صارمًا للبيان رفضت جميع الشهادات المدرجة في البيان عندما كان أحد الإدخالات غير صالح.

وبالتالي أنتجت نفس الحالة المنشورة نتائج مختلفة حسب إصدار البرنامج. قدرت RIPE NCC من سجلات الوصول أن 327 مثيلًا للطرف المستخدم تأثرت وحذرت من أن الحادث كان يمكن أن يؤدي إلى أعطال. لم تدعُ أن 327 شبكة فقدت الوصول، ناهيك عن أن كل مسار تحت مرساة الثقة قد فشل. هذا التحفظ مهم: عدد المثيلات ليس عدد الشبكات، والشهادات المرفوضة ليست مقامًا عالميًا لتأثير العميل.

يكشف الحدث عن ضعف في تقارير السياسة التي تستخدم مدقق مرجعي واحد. الامتثال يتطور. تفسر التطبيقات الحالات الصعبة بشكل مختلف، ويتم إصلاح الأخطاء، ويقوم المشغلون بالتحديث بسرعات مختلفة. قد ينجح المستودع مع أحدث تطبيق بينما يخلق عواقب وخيمة لمجموعة أقدم منتشرة.

يجب أن يحتفظ الضمان الخارجي بلوحة توافق معلنة للمدققين المدعومين والمنتشرين فعليًا. يجب أن يسجل اختلافات المخرجات على مستوى فرع الشهادة والحمولة الصالحة. اللوحة ليست تصويتًا على الامتثال للمعايير؛ يجب تحديد التنفيذ غير الممتثل على هذا النحو. إنها مقياس للتعرض التشغيلي المتوقع أثناء انتشار التحديثات.

تشير العلاجات التي اقترحتها RIPE NCC أيضًا إلى المقياس الصحيح. سعت إلى نشر ذري وفترات عدم تناسق أقصر. يجب أن يقيس هدف الخدمة الذرية المرصودة خارجيًا: لا يجب أن يسترجع أي مسبق حالة أصل وحالة فرع لا يمكن التحقق منهما معًا. هذا أكثر أهمية من قياس مدى سرعة انتهاء مهمتي تحديث داخليتين.

يظهر حدث JPNIC في 2022 التحول المتأخر من Valid إلى NotFound

أبلغ إشعار JPNIC لشهر فبراير 2022 أن سجل الوصول المتزايد ملأ قرص خادم المستودع بين 26 يناير و 2 فبراير. لم تستطع عملية النشر تحديث حقول nextUpdate في CRL أو البيانات. بمجرد تجاوز هذه الحقول، لم يعد من الممكن التحقق من ROA المرتبطة من قبل العملاء، وتم اكتشاف المسارات التي تغطيها على أنها NotFound.

هذا التسلسل مهم. لم تنقل الخدمة بالضرورة المسارات مباشرة من Valid إلى Invalid. لقد أزالت أدلة التصريح القابلة للاستخدام، مما أنتج NotFound لعرض التحقق المتأثر. العديد من السياسات التشغيلية تقبل NotFound، غالبًا بأفضلية مختلفة عن Valid. قد تكون العاقبة الأمنية فقدان الحماية بدلاً من فقدان فوري للوصول. التقرير الذي يصف كل ROA مفقود بأنه عطل توجيه يخلط بين هذه النتائج.

استمر الحدث لفترة كافية حتى تستنفد استمرارية ذاكرة التخزين المؤقت. كان قياس التوفر المعتمد فقط على اتصال TCP ناجح سيكون مضللاً بشكل خاص إذا كان الخادم لا يزال يستجيب بينما توقف نضارة النشر. الإنذار المفيد كان الوقت المتناقص حتى nextUpdate بالإضافة إلى غياب ملاحظة بيان جديد و CRL جديد.

قالت JPNIC أيضًا أن مستخدمًا كفؤًا أبلغ عن المشكلة. هذه الحقيقة تدعم الإصلاح المؤسسي: يجب أن يكون للمراقبين المستقلين قناة محددة وموثقة ومجهزة باستمرار إلى عمليات المستودع. لا ينبغي أن يعتمد الاكتشاف الخارجي على ملاحظة متخصص لشذوذ وإيجاد الاتصال الصحيح.

يجب أن يحدد تقرير لهذه الفئة من الأحداث، في المجموعة المقاسة، متى توقف كل ROA متأثر عن إنتاج حمولة صالحة، وما هي المسارات التي انتقلت من Valid إلى NotFound عند نقاط مراقبة BGP مختارة، وما إذا كان المشغلون قد أبلغوا عن عواقب على السياسة أو العملاء. إذا لم تكن بيانات العميل متاحة، فيجب أن تظل غير متاحة بدلاً من استنتاجها من عدد ROA.

يظهر تدهور ARIN في 2022 قيمة وحدود تكرار النقل

أبلغت ARIN عن تدهور خدمة RRDP لمدة تسعين دقيقة في 11 أغسطس 2022 بعد أن قام تغيير في التكوين بتثبيت شهادات متضاربة على بعض عقد الخدمة. سحبت المنظمة العقد المتأثرة من تدوير DNS، واستعادت الشهادات المطابقة، وأعادت تشغيل توليد المستودع. ظلت خدمة rsync تعمل طوال الوقت، بينما تأخر نشر ستة ROA.

هذه حالة مفيدة من المرونة الجزئية. ظلت طريقة النشر البديلة متاحة، وأعطى المزود عددًا محدودًا من التغييرات المتأخرة. لكن لا يترتب على ذلك أن كل طرف مستخدم حصل على هذه التغييرات عن طريق التبديل. قد يفضل المشغلون RRDP، أو يطبقون جداول إعادة محاولة، أو ليس لديهم تبديل وظيفي، أو لديهم مسارات شبكة تصل إلى الخدمة بشكل مختلف عن الآخر.

لوحة القيادة الجيدة ستظهر الاسترجاع الناجح حسب البروتوكول ونقطة المراقبة، ومحاولات ونتائج التبديل، وتأخير النشر للستة ROA المتأثرة، وتقارب المخرجات المعتمدة بعد الإصلاح. كما ستميز بين الحالة الموجودة للمستودع العام والتوقف المؤقت في توليد حالة جديدة. التوفر لمشغل مع ذاكرة تخزين مؤقت حالية لم يكن مطابقًا للتوفر لحامل ينتظر أحد ROA المتأخرة.

التكرار لا يستحق الائتمان إلا عند ممارسته بشكل مستقل. عنوانان URL يخدمهما نفس مجموعة العقد التي تم تكوينها بشكل خاطئ ليسا فحصين منفصلين. RRDP و rsync مع وضعي فشل منفصلين يمكن أن يحسنا الاستمرارية، لكن يجب على المزود إثبات أن المدققين يمكنهم استخدام المسار الناجي قبل انتهاء النضارة. التمارين المخطط لها، مثل السحب المتحكم لإحدى الطرق، يمكن أن تكشف ما إذا كان التبديل يعمل دون انتظار حالة طارئة.

هذا هو المكان الذي تتفوق فيه الاختبارات الخارجية على المخططات المعمارية. إنها تظهر المسار الذي سلكه العملاء بالفعل، والعرض الذي تحققوا منه بالفعل، واللحظة التي أصبحت فيها التأكيدات المتأخرة مفيدة.

يتطلب التزام خدمة المستودع أربعة أهداف خدمة متميزة

الهدف الأول هو توفر الاسترجاع. من نقاط مراقبة مستقلة، هل يمكن للطرف المستخدم حل اسم المستودع، والاتصال عبر عائلة العناوين المدعومة، والتفاوض على النقل المطلوب، واسترجاع مواد RRDP أو rsync؟ يجب تقسيم النتائج حسب البروتوكول وإصدار IP والمنطقة ومزود الشبكة. لا ينبغي أن يخفي المتوسط الشهري فشلاً كاملاً لأي مجموعة.

الثاني هو التوفر الدلالي. هل يحتوي العرض المسترجع على بيان صالح حالي، والكائنات المدرجة بتجزئات مطابقة، وCRL قابلة للاستخدام، ومسار شهادة صالح؟ هل يمكن للمدقق إنتاج مجموعة الحمولة الصالحة المتوقعة دون رفض فرع غير مرتبط؟ هذا الهدف يحول الصحة التشفيرية إلى مؤشر خدمة.

الثالث هو توقيت النشر. بعد قبول إجراء مصرح به، كم من الوقت يستغرقه مجسات مستقلة لملاحظة الكائن الجديد وإنتاج تغيير الحمولة المقابل؟ يغطي هذا الهدف الإنشاء والتعديل والإلغاء والنقل والتصحيح الطارئ. يتطلب مرجعًا يحافظ على الخصوصية يسمح للمدقق بمطابقة الإجراء مع النشر دون كشف أسرار الحساب.

الرابع هو تقارب الاسترداد. بعد الإصلاح، كم من الوقت يستغرقه لوحة محددة من المدققين المستقلين للوصول إلى نفس العرض الحالي وأنظمة التوجيه لتستقبله؟ المستودع الذي يتم إصلاحه عند المصدر لكنه يظل قديمًا عند عقد التوزيع لم يتعافى بالكامل. ولا المستودع الذي تكون ملفاته حديثة بينما لا تزال جلسات RTR تقدم مجموعة حمولات قديمة.

كل هدف يحتاج إلى مقام واضح. يمكن للاسترجاع استخدام محاولات المجسات المجدولة. يمكن للتوفر الدلالي استخدام فروع الشهادات المفترض أنها حالية. يمكن لتوقيت النشر استخدام الإجراءات المقبولة المؤهلة للنشر الفوري. يمكن للاسترداد استخدام مجسات نشطة بحالة معروفة قبل الحادث. خلط هذه المجموعات ينتج نسبة مئوية جذابة لكنها بلا معنى.

يدعم نموذج الأهداف الأربعة أيضًا الإسناد العادل. قد يفي المستودع بالاسترجاع بينما يفشل في السلامة الدلالية، أو يفي بكليهما بينما يكون التغيير الذي يطلبه الحامل خاطئًا. يمكن للمشغلين وهيئات المراقبة رؤية أي وعد فشل بالضبط.

يجب أن تكون المجسات المستقلة متنوعة بما يكفي لتحدي افتراضات المزود

يجب أن تشمل شبكة القياس المحايدة مجسات في مناطق متعددة وأنظمة مستقلة، باستخدام كل من IPv4 و IPv6 حيثما كان ذلك متاحًا. يجب أن تتجنب تركيز جميع المجسات في سحابة واحدة قد يفشل مسارها أو محللها كوحدة واحدة. لا ينبغي أن يدعي العدد والموقع تمثيل كل مستخدم للإنترنت؛ يجب الكشف عنهما ليفهم القراء المجموعة المرصودة.

يجب أن يستخدم كل مسبق ساعة محكومة، ويسجل استجابات DNS وعنوان الوجهة وتوقيت النقل واستجابة البروتوكول وتجزئات الكائنات واسم المدقق وإصداره ومواد مرساة الثقة وحالة ذاكرة التخزين المؤقت وملخص الحمولة الصالحة النهائي. يمكن حماية التفاصيل التشغيلية الحساسة، ولكن يجب نشر أدلة كافية ليتمكن طرف مؤهل آخر من تكرار الاختبار.

كلا وضعي ذاكرة التخزين المؤقت الباردة والساخنة ضروريان. المدقق البارد يظهر ما إذا كان الطرف المستخدم الجديد يمكنه بناء العرض. المدقق الساخن يظهر ما إذا كان المشغل القائم يمكنه الاستمرار خلال العطل. اختبار المثيلات الباردة فقط يبالغ في الخسارة الفورية؛ اختبار المثيلات الساخنة فقط يخفي خطر النفاد واستنفاد ذاكرة التخزين المؤقت.

يجب أن تسترجع المجسات على فترات زمنية واقعية مع احترام سعة المستودع. نظام القياس الذي يغرق الخدمة يخلق الحالة التي يدعي مراقبتها. يمكن للمزودين والباحثين الاتفاق على حدود معدل وهوية مخصصة دون إعطاء المزود مسارًا يتجاوز التوزيع العادي.

الإنذارات الكاذبة تتطلب إدارة منضبطة. قد يأتي فشل مسبق واحد من محلله أو ساعته المحلية أو قرصه أو مدققه أو المسار التصاعدي. يجب أن يستخدم الإعلان عن الحادث قاعدة معلنة مسبقًا، مثل فشل دلالي على عدد أدنى من الشبكات المستقلة أو تأكيد من المزود. تنتمي حالات الفشل الموضعي إلى البيانات دائمًا، لكن لا يصبح كل منها إشعارًا عالميًا.

يجب أن ينشر المعيار كود المسبق ومتجهات الاختبار وتعريفات النتائج. قابلية التكرار تأتي من طريقة مشتركة وملاحظات موقعة، وليس من هيبة المؤسسة.

هامش النضارة هو مؤشر المخاطر الذي لا يمكن للوحة القيادة الخضراء تقديمه

في أي لحظة، يكون لفرع المستودع فترة متبقية قبل أن يصبح البيان أو CRL ذو الصلة قديمًا أو تنتهي صلاحية الشهادة. هذه الفترة هي هامش النضارة الخاص به. يحول مشكلة استرجاع عادية إلى مقياس للمخاطر التشغيلية.

لنفترض أن مجسات خارجية فشلت في استرجاع فرع بينما لا يزال بيانه الحالي لديه ثمانية عشر ساعة. يستحق الحدث الانتباه، لكن المدققين المخزنين مؤقتًا لديهم مجال للاستمرار. إذا انخفض الهامش إلى ساعة واحدة دون استرداد، تصبح نفس حالة النقل عاجلة. إذا كان هناك إلغاء جديد مطلوب معلق أيضًا، فقد يكون خطر الأمان مرتفعًا بالفعل على الرغم من عدم انتهاء صلاحية الكائنات القديمة.

يجب على المزود الإبلاغ عن الحد الأدنى والوسيط وتوزيع الهامش عبر الفروع المتأثرة، وليس فقط الحد الأدنى على مستوى المستودع. لا ينبغي استخدام سلطة مفوضة بفترة قصيرة بشكل غير عادي للتلميح إلى أن كل فرع قريب من الفشل. وبالمثل، لا ينبغي لشهادة أصل طويلة الأجل إخفاء بيان فرع قريب من التقادم.

يدعم الهامش إنذار معدل الاستهلاك. إذا استهلك حدث ما هامش النضارة أسرع من زيادة ثقة الإصلاح، فيجب أن يحدث التصعيد قبل انتهاء الصلاحية. هذا مشابه لإدارة الاحتياطي: الخدمة لم تفشل دلاليًا بعد، لكن قدرتها على امتصاص التأخير تتناقص.

توقيت الكائنات ليس المخاطرة بأكملها. الحامل الذي ينتظر تصريحًا جديدًا قد يكون لديه هامش عملي صفر لأن ترحيل الشبكة قيد التقدم. يجب أن يسمح سجل الحادث للحاملين المتأثرين بوضع علامة على تغيير متوقع عاجل، مع أدلة ومراجعة، دون الكشف علنًا عن خطط تجارية سرية.

التقرير السياسي الذي ينشر الهامش يشرح لماذا لم يكن لانقطاع عشر ساعات أي تغيير في التحقق بينما كان لانقطاع نشر آخر دام عدة أيام تأثير. يعطي مجالس الإدارة والمشغلين لغة مشتركة للاستعجال لا يمكن لوقت التشغيل الإجمالي تقديمها.

يتطلب الإسناد سلسلة مشتركة من الإجراء المصرح به إلى تأثير المسار

عندما يصبح حادث RPKI محل نزاع، يرى كل كيان جزءًا فقط من التسلسل. يعرف الحامل ما طلبه. تعرف خدمة التصديق ما قبلته ووقعته. يعرف المستودع ما خدمه. يعرف الطرف المستخدم ما استرجعه ورفضه. يعرف جهاز التوجيه ما هي مجموعة الحمولة والسياسة التي استخدمها. يعرف العميل أن الخدمة أصبحت غير قابلة للوصول. بدون أوقات مترابطة، تصبح المسؤولية ادعاء.

يجب أن يسند سجل الحادث المشترك مرجعًا ثابتًا لكل إجراء مادي ويسجل ستة معالم: الإجراء المصرح به المقبول، والكائن المنتج، والكائن المنشور خارجيًا، والكائن المسترجع والمتحقق منه، والحمولة المسلمة إلى جهاز التوجيه، وقرار التوجيه ذو الصلة المرصود. يجب أن يحدد كل معلم المؤسسة المسؤولة ومصدر الساعة. يمكن للتقارير العامة تجزئة أو تجميع المراجع الحساسة مع الحفاظ على التسلسل للمراجعة المستقلة.

هذه الطريقة تميز بين الكائن الخاطئ والكائن غير المتاح. إذا طلب الحامل طولًا أقصى خاطئًا ونشرته الخدمة بأمانة، فإن المسؤولية تختلف عن عيب في الكود أنتج شهادة غير متسقة مع حالة السجل. إذا نشر المستودع كائنًا صحيحًا لكن مدققًا قديمًا رفض فرعًا أوسع، فلا يزال لدى المزود واجبات التوافق والتواصل، لكن السبب التقني المباشر مختلف.

الإسناد يحتاج أيضًا إلى اختبارات مضادة. يمكن للمحققين إعادة تشغيل مجموعة الكائنات المرصودة عبر مدققين محددين ومقارنة الحمولات الناتجة، ثم تطبيق سياسة التوجيه المعلنة للمشغل على إعلانات BGP الملتقطة. هذا لا يعيد بناء كل حزمة أو معاملة مفقودة. إنه يختبر ما إذا كانت السلسلة المزعومة ممكنة تقنيًا وأين تباعدت الحالة أولاً.

لا ينبغي لأي مؤسسة أن تتحكم في النسخة الوحيدة من هذه الأدلة. يمكن للمزودين توقيع سجلات المعالم؛ يمكن للمراقبين المحايدين توقيع الملاحظات الخارجية؛ يمكن للمشغلين الاحتفاظ بسجل RTR وسياسة التوجيه. الأدلة المشتركة تجعل المساءلة الضيقة ممكنة، وهي أكثر عدلاً من اللوم الواسع والحصانة العامة.

يجب قياس تأثير التوجيه، وليس افتراضه من عدد الكائنات

قد يغير حادث المستودع أمان التوجيه دون تغيير الوصول. عندما يختفي ROA صالح من العرض القابل للاستخدام، قد يصبح الإعلان NotFound ويظل مقبولاً. قد تضعف الحماية ضد أصل غير مصرح به، لكن المسار الشرعي قد لا يزال يعمل. عندما يتسبب شهادة غير متسقة في اختفاء تصريح صالح بينما يظل ROA آخر يغطيه، قد لا تتغير حالة المسار على الإطلاق. عندما يجعل ROA خاطئ إعلانًا شرعيًا Invalid، فإن المشغلين الذين يرفضون مسارات Invalid قد يسحبون الوصول بينما يستمر آخرون في قبوله.

لذلك تبدأ دراسة التأثير باختلافات الحمولة الصالحة. ما هي مجموعات البادئة والطول الأقصى والأصل التي تمت إضافتها أو إزالتها تحت كل مدقق؟ الخطوة التالية تربط هذه الاختلافات بإعلانات BGP المرصودة عند المجمعات المسماة أو تدفقات المشغلين. الخطوة التقنية النهائية تطبق افتراضات السياسة المعلنة أو، عندما تكون متاحة، السياسة الفعلية للمشغل.

تأثير العميل يتطلب أدلة منفصلة: إنذارات، فقدان حركة المرور، جلسات فاشلة، تقارير دعم، أو انتهاكات مستوى الخدمة. جامعو المسارات لا يرون كل مسار تبادل خاص، وتغيير حالة التحقق لا يكشف عن مقدار حركة المرور التي تستخدمه. يجب أن تتجنب التقارير ترجمة البادئات إلى مستخدمين أو إيرادات بدون بيانات مقدمة من الشبكات المتأثرة.

نفس الانضباط يحمي المزودين من الادعاءات المضخمة. لا ينبغي وصف الحادث الذي جعل فرعًا مؤقتًا NotFound كدليل على أن الإنترنت الإقليمي غير متصل. كما يحمي المشغلين من التقليل. إذا سجلت عدة شبكات مستقلة رفض مسار Invalid وانخفضت حركة المرور في نفس الوقت، فإن البيان بأن مضيف المستودع ظل قابلاً للوصول هو خارج الموضوع.

المنتج المناسب هو جدول تأثير متعدد الطبقات: كائنات النشر المتأثرة، الحمولات الصالحة المتأثرة، الإعلانات المرصودة المتأثرة، الشبكات ذات استجابة السياسة الموثقة، والعملاء أو الخدمات ذات العواقب الموثقة. الخلايا غير المعروفة تظل غير معروفة.

يجب أن تكون المقامات محلية ومعلنة ومقاومة لإعادة الاستخدام الترويجي

قياس RPKI يجذب أرقامًا مثيرة للإعجاب لأن النظام عالمي النطاق. لكن لا يوجد مراقب عام لديه إحصاء كامل لمثيلات الطرف المستخدم أو إصدارات البرامج أو سجلات التخزين المؤقت أو سياسات التوجيه أو مسارات BGP الخاصة أو التأثيرات على المستخدمين النهائيين. التزام الخدمة الموثوق به لا يختلق هذا المقام.

يجب أن يحمل كل معدل مجموعته المرصودة. توفر المجس هو عدد الفحوصات الناجحة مقسومًا على الفحوصات المجدولة لمجموعة المجسات المسماة. توافق المدقق هو عدد المخرجات الناجحة مقسومًا على إصدارات وحالات اختبار اللوحة. توقيت النشر هو عدد الإجراءات المرصودة في الوقت المحدد مقسومًا على الإجراءات المقبولة المؤهلة في فترة التقرير. تأثير المسار هو عدد الإعلانات المتغيرة مقسومًا على الإعلانات المرئية عند المجمعات المسماة. لا شيء هو "النسبة المئوية للإنترنت المتأثر."

دراسة الطرف المستخدم لعام 2020 من IMC قيمة بدقة عندما تكون محدودة. لاحظت عملاء يصلون إلى ثلاث سلطات تصديق واستخدمت ظروفًا محكومة لكشف استرجاعات غير متسقة. النسب المبلغ عنها تصف تلك التجربة، وليس كل مشغل حالي أو كل إصدار مستقبلي. يجب أن تحافظ تقارير السياسة على هذه الحدود عند الاستشهاد بالأبحاث.

تتطلب الإحصائيات الخاصة بحادث معين تحفظًا مماثلاً. تقدير RIPE NCC لـ 327 مثيلاً للطرف المستخدم متأثرة في يناير 2021 جاء من سجلات الوصول وسلوك برنامج محدد. قد تشارك المثيلات شبكة، أو تخدم عدة شبكات، أو تكون أنظمة اختبار. الرقم هو دليل على التعرض التشغيلي، وليس إحصاءً للمنظمات المنقطعة.

يمكن أن يكون القياس الجيد مؤثرًا مع ذلك. يمكن أن يقول أن كل مسبق في خمس شبكات مستقلة رفض نفس الفرع، أو أن المدققين الحاليين الثلاثة المختبرين فقدوا نفس الحمولات، أو أن مسارًا مسمى اختفى عند مجمعين. الدقة تعزز المساءلة لأنه يمكن إعادة إنتاج الادعاء وتحديه.

يجب أن تفصل تقارير الحوادث بين السبب والحالة والعاقبة والثقة

السبب هو الفشل الأولي: قرص ممتلئ، نشر بترتيب خاطئ، شهادات متضاربة، فقدان التيار الكهربائي، أو عيب برمجي. الحالة هي ما واجهه المستخدمون الخارجيون: فشل استرجاع، بيان قديم، شجرة rsync غير كاملة، مسار شهادة غير متسق، أو تغيير مؤخر. العاقبة هي المخرجات المرصودة: إزالة حمولة، تغيير حالة، مسار مرفوض، أو انقطاع عميل. الثقة تشير إلى مدى قوة الأدلة التي تربطهم.

العديد من الإشعارات تدمج هذه الطبقات في جملة واحدة. هذا يخلق ارتباكًا عندما تتغير الأدلة لاحقًا. قد يعرف المزود الحالة قبل معرفة السبب. قد يثبت المشغل عاقبة على مسار قبل أن يعيد المزود إنتاج المسار الخارجي. الإبلاغ عن الطبقات بشكل منفصل يسمح للسرد العام بالتحسن دون مسح الملاحظة الأصلية.

يجب أن يتضمن الإشعار تعريفات دقيقة للبداية والنهاية. البداية قد تكون أول فشل في التحقق الدلالي الخارجي، وليس اللحظة التي فتح فيها مهندس حادثًا. النهاية قد تتطلب تحققًا ناجحًا بواسطة مجموعة من المجسات ونشر التغييرات المتأخرة، وليس مجرد إعادة تشغيل عملية. يجب أن تكون أوقات الكشف والإقرار والتخفيف والتقارب الكامل مرئية جميعها.

يمكن تصنيف الثقة حسب الأدلة: مؤكد بإعادة تشغيل كائن موقع، ملاحظ بواسطة عدة مدققين مستقلين، مبلغ عنه من قبل مشغل متأثر، أو مستنتج من التوقيت. هذا ليس بديلاً عن الحقائق. إنه يشير للقراء إلى أين هناك حاجة لمزيد من التحقيق.

يجب على المزود أيضًا نشر ما لم يتم قياسه. إذا لم يتم جمع أي بيانات عن فقدان العميل، اذكر ذلك. إذا تم اختبار rsync لكن سجلات RRDP كانت غير متاحة، أشر إلى الفجوة. إذا لم ير مجمع BGP المسار المتأثر، لا تعامل الغياب كدليل على عدم وجود تأثير.

التقرير الصادق يمكن أن يكون موجزًا ويحتوي على هذه الحقول. الهدف ليس الطول البيروقراطي. إنه منع ادعاء ضيق بوقت التشغيل من إزاحة الأدلة التي يحتاجها المشغلون.

أرصدة الخدمة وحدها علاج سيء لانقطاع أمن التوجيه

غالبًا ما يتم تضمين نشر RPKI في العضوية أو خدمة التسجيل بدلاً من بيعه كخدمة عامة بسعر منفصل. قد يكون الرصيد التقليدي على الرسوم تافهًا، أو صعب الحساب، أو غير متاح للأطراف المستخدمة والعملاء النهائيين. العلاجات الأكثر قيمة هي تشغيلية.

أولاً يأتي التصحيح السريع. يحتاج المزودون إلى قناة مجهزة باستمرار للإبلاغ عن كائن خاطئ أو مفقود أو قديم، بمصادقة لا تعتمد كليًا على البوابة التي قد تكون متأثرة. يجب أن يختلف هدف الاستجابة حسب هامش النضارة وخطر التوجيه المثبت.

ثانيًا يأتي الحفاظ على الأدلة. يجب الاحتفاظ بإصدارات الكائنات وأوقات النشر وحالة طرق الوصول ونتائج التحقق وتصاريح التغيير لفترة كافية للتحقيق والمطالبات المشروعة. الإصلاح الذي يمسح الأدلة يترك المؤسسات تتجادل من الذاكرة.

ثالثًا يأتي الاتصال القابل للنقل. يجب أن يحدد إشعار الحادث الموقع فروع الشهادات المتأثرة وتجزئات الكائنات حتى يتمكن المدققون والمشغلون من تحديد التعرض دون الثقة بلقطات الشاشة أو الشائعات. يجب أن تشير التحديثات إلى ما إذا كانت ذاكرات التخزين المؤقت الموجودة لا تزال قابلة للاستخدام وما إذا كان التغيير المطلوب متأخرًا.

رابعًا يأتي المراجعة المستقلة للأحداث الخطيرة أو المتكررة. يجب على المراجع اختبار الأهداف الخارجية، وفحص ضوابط المزود، ونشر النتائج ضمن حدود الأمان. السرد الذي يكتبه المزود ضروري لكن لا يمكن أن يكون الضمان الوحيد عندما تفوت مراقبة المزود الخاصة الفشل.

يمكن أن تظل العلاجات المالية مهمة عندما يتم إثبات خسارة حقيقية ومسؤولية قانونية. تصميمها يقع في نطاق المسؤولية والسببية والقانون المطبق. لا ينبغي أن يعد التزام الخدمة بتعويض مستحيل، ولكن لا ينبغي أيضًا استخدام الرسوم المنخفضة أو المنعدمة لإنكار واجب النشر بدقة والإصلاح بسرعة.

للمشغلين أيضًا واجبات استمرارية قابلة للقياس

المسؤولية الخارجية ليست أداة لنقل جميع مخاطر RPKI إلى المستودع. يختار مشغلو الشبكات المدققين وفترات التحديث والتكرار والمراقبة وسياسة التوجيه. يختار حاملو الموارد محتوى وتوقيت ROA. هذه القرارات تؤثر ماديًا على العواقب.

يجب على المشغل تشغيل برنامج طرف مستخدم مدعوم، ومراقبة مزامنة المستودع الناجحة، والاحتفاظ على الأقل بسلوك التخزين المؤقت الموصى به من قبل المعايير المطبقة، واختبار تكرار RTR. يجب أن يعرف كيف تتصرف أجهزة التوجيه الخاصة به عندما تختفي الحمولات أو يصبح المدققون غير متاحين. المدقق الثاني الذي يشارك نفس المحلل ونفس مصدر الطاقة ونفس عيب البرنامج ليس تكرارًا قويًا.

يجب على حاملي الموارد مقارنة ROA مع الإعلانات المخطط لها قبل تغييرات الشبكة، وتجنب الأطوال القصوى المسموحة بشكل غير ضروري، والتحقق من النشر الخارجي بعد الإنشاء أو النقل. يجب عليهم الحفاظ على جهات اتصال الطوارئ وفهم أي طرف يتحكم في المفاتيح في الترتيبات المستضافة والمفوضة.

يجب أن تظهر هذه الواجبات في تحليل الحادث دون أن تصبح عذرًا عامًا لفشل المستودع. إذا قام مشغل بتشغيل برنامج قديم رفض أكثر مما تتطلبه المعايير، فهذا ذو صلة. إذا نشر مستودع حالة غير متسقة، فهذا ذو صلة أيضًا. قد تساهم أسباب متعددة في خسارة واحدة.

يمكن للتمارين المشتركة تحسين كلا الجانبين. يمكن للمزود الإعلان عن نافذة اختبار يتم فيها سحب طريقة وصول بينما يتحقق المشغلون من التبديل. يمكن لفروع شهادات اصطناعية اختبار إنذارات انتهاء الصلاحية والتحديثات الذرية دون تعريض مسارات الإنتاج للخطر. يمكن للمشغلين الإبلاغ عن نتائج التقارب مجهولة المصدر.

الهدف هو دليل متبادل. يثبت المزودون جودة النشر الخارجي؛ يثبت المشغلون الاعتماد الحذر. عندما يتم قياس كليهما، يصبح عدم اليقين المتبقي مرئيًا بدلاً من إسناده بالعقد أو الخطاب فقط.

يمكن لـ NRS جعل الضمان الخارجي خدمة شرعية

تدعم NRS أن سجلات الأرقام يجب أن تحتفظ بسجلات دقيقة، وتحترم الدور التشغيلي للشبكات، وتبقى محدودة بوظيفة مسك الدفاتر. يعقد RPKI هذه الفلسفة لأن إجراءات الشهادة والمستودع يمكن أن تؤثر على إعلانات التوجيه التي يقبلها المشغلون. الرد المناسب ليس رفض RPKI. إنه جعل القوة المضافة قابلة للملاحظة والمساءلة.

يمكن لـ NRS جمع الحاملين والمشغلين ومهندسي السجل ومطوري الطرف المستخدم والباحثين حول ملف ضمان مشترك للمستودع. سيحدد الملف أهداف الخدمة الأربعة، والحد الأدنى لحقول الحادث، والاختبارات الخاصة بالبروتوكول، وتقارير النضارة، ومعالم الإسناد الموصوفة هنا. يمكن أن تبدأ المشاركة طواعية، مع نشر النتائج حسب الخدمة والمنطقة.

يمكنها أيضًا تشغيل أو تكليف مجسات محايدة. ستتطلب الاستقلالية تمويلًا معلنًا، ورمز قياس مفتوح، وقواعد تضارب، وشبكات استضافة متعددة. لا ينبغي لـ NRS أن تصدق على مناصرتها الخاصة بالادعاء. يجب أن تنشر أدلة يمكن لأي مشغل أو سجل أو باحث إعادة إنتاجها.

المراجعة السنوية المفيدة ستقارن كل مستودع كيان بأهدافه المنشورة، دون ترتيب المناطق بنتيجة عالمية خشنة. يمكن أن تحدد حالات فشل جزئي متكررة، أو تحويلات غير مختبرة، أو اكتشاف خارجي بطيء، أو أدلة استرداد ضعيفة. سيكون للمزودين الحق في تصحيح الأخطاء الواقعية وإرفاق التفسيرات، بينما تظل الملاحظات الأساسية متاحة.

هذا دور مؤسسي إيجابي لأنه يكافئ الأداء الجيد. حدث JPNIC لعام 2020، على سبيل المثال، يمكن أن يحصل على رصيد لاستمرارية التحقق المخزنة مؤقتًا مع تسجيل عدم توفر الإدارة والاسترجاع. حدث APNIC لعام 2019 يمكن أن يظهر مرونة RRDP وفشل rsync بشكل منفصل. الفروق الدقيقة ستحل محل كل من الذعر والرضا عن النفس.

بهذه الطريقة، تترجم NRS مطلبًا عامًا لمساءلة السجلات إلى منفعة عامة عملية: أدلة قابلة للمقارنة حول ما إذا كانت تأكيدات أمن التوجيه الحرجة قابلة للاستخدام خارجيًا.

يجب أن تطلب المشتريات والسياسات العامة أدلة تصمد أمام الخلاف

تعتمد الحكومات ومشغلو البنية التحتية الحرجة والشبكات الكبيرة بشكل متزايد على RPKI دون تشغيل طبقات التصديق والنشر التي يثقون بها بالضرورة. يجب أن تتجاوز أسئلة الشراء الخاصة بهم مجرد ادعاء المزود بتوفر عالٍ.

يجب أن يسألوا عن مكان استضافة RRDP و rsync، وما إذا كانت مجالات فشلهما مختلفة، وكم مرة يتم تنفيذ التحقق الخارجي الكامل، وما هامش النضارة الذي يؤدي إلى التصعيد، وكيف يتم مطابقة التغييرات المقبولة مع النشر، وما إصدارات المدقق التي تم اختبارها، وكيف يتم الإعلان عن الحوادث، وكيف يتم الحفاظ على الأدلة. يجب أن يطلبوا نتائج حديثة من التمارين وأمثلة على تقارب الاسترداد.

يجب أن تقاوم السياسات العامة فرض استجابة توجيه عالمية لحدث مستودع. للمشغلين مواقف مخاطرة مختلفة، وسلوك الفتح له مزايا استمرارية بالإضافة إلى تكاليف أمنية. الشرط الأكثر بناءً هو الشفافية: الكشف عن عرض التحقق، والسياسة المحلية، وخطة التبديل للأنظمة التي قد يؤثر انقطاعها على الخدمات العامة.

يجب أن تميز المراقبة أيضًا بين المستودع والسجل الإقليمي ونقاط النشر المفوضة أسفله. قد تكون مرساة الثقة قابلة للوصول بينما تفشل سلطة مفوضة. السياسة التي تنسب كل فشل مفوض إلى الأصل ستعيق التفويض دون تحسين القياس. مسار الشهادة يحدد مكان حدوث الفشل؛ يجب أن تتبع الحوكمة هذا الدليل.

يمكن لفرق التأمين ومراجعة المخاطر في مجالس الإدارة استخدام نفس النموذج. يمكنهم فحص ما إذا كانت المؤسسة تعرف هامش التخزين المؤقت لديها، ولديها مدققون مستقلون، وتحتفظ بسجل سياسة التوجيه، ويمكنها الاتصال بجهة اتصال المستودع المناسبة. هذا يحول RPKI من تحكم تجريدي في الأمن السيبراني إلى اعتماد استمرارية قابل للتدقيق.

لا يجب أن يضمن المعيار توجيهًا دون انقطاع. يجب أن يضمن استجابة منضبطة لسؤال أضيق: ما الذي كان متاحًا خارجيًا، ومتى توقف عن أن يكون قابلاً للاستخدام، ومن كان يتحكم في الخطوة الفاشلة، وما هي عاقبة التوجيه التي لوحظت بالفعل؟

انقطاع المستودع الذي تغفله تقارير السياسة هو المخفي بين النشر والاعتماد

لقد أثبتت مستودعات RPKI بالفعل أن حالات الفشل لا تتناسب مع عداد وقت تشغيل واحد. يمكن للأجهزة إيقاف الوصول دون استنفاد الصلاحية المخزنة مؤقتًا. يمكن للبيان القديم أن يعطل rsync بينما يظل RRDP متسقًا. يمكن للقرص أن يمنع التغييرات بصمت حتى تنتهي صلاحية CRL. يمكن أن تكون شهادات الأصل والفرع أصلية بشكل فردي ولكن غير متسقة مؤقتًا. يمكن لعقدة توزيع أن تخدم معرفات نقل متضاربة بينما تظل طريقة بديلة متاحة.

هذه ليست حججًا ضد التحقق من أصل المسار. إنها أدلة على أن أمن التوجيه قد نضج إلى بنية تحتية تستحق ضمان خدمة ناضج. التشفير يجعل التلاعب قابلاً للاكتشاف؛ لا يجعل النشر معصومًا عن الخطأ. التخزين المؤقت يوفر الاستمرارية؛ لا يثبت وصول الحالة الجديدة. سياسة التوجيه المحلية تحافظ على استقلالية المشغل؛ لا تلغي مسؤولية المستودع.

وبالتالي فإن أفضل ادعاء للتوفر متواضع ودقيق. يمكن للمزود أن يقول إن مجسات مستقلة مسماة استرجعت المواد الكاملة الحالية بالطرق المحددة، وأن جميع فروع الشهادات المختبرة تم التحقق منها، وأن الإجراءات المقبولة أصبحت مرئية في الوقت المحدد، وأن المدققين المدعومين تقاربوا بعد الإصلاح، وأن تأثيرات التوجيه المرصودة تم العثور عليها أو لم يتم العثور عليها في مجموعة محددة. يمكن لطرف آخر تكرار الاختبارات.

أي ادعاء أوسع يحتاج إلى مزيد من الأدلة. لوحة القيادة الداخلية لا يمكنها إثبات قابلية الاسترجاع الخارجي. ROA مفقود لا يمكنه إثبات فقدان العميل. مجمع BGP مستقر لا يمكنه إثبات عدم تأثر أي شبكة خاصة. لا يمكن بناء نسبة مئوية إجمالية من عينة غير معلنة.

تزداد شرعية السجل عندما لا تطلب المؤسسة من الجمهور قبول وقت تشغيلها بالإيمان. يمكن لـ NRS ومجتمع المشغلين الأوسع المساعدة في وضع هذا المعيار. يجب الحكم على المستودع عند النقطة التي تصبح فيها تأكيداته قابلة للاستخدام، قبل أن تنتهي ساعاتها، وبعد أن تصبح عواقبها مرئية.

هذا هو الانقطاع الذي تغفله تقارير السياسة عادةً: ليس اللحظة التي توقفت فيها الآلة، ولكن الفترة الزمنية التي لم يعد بإمكان الأطراف المستخدمة للإنترنت خلالها الحصول على نفس البيان الموثوق في الوقت المناسب والمتسق والمسؤول لسلطة التوجيه.

المصادر