Zusammenfassung
- RPKI verbessert das Routing-Vertrauen, indem es Ressourceninhabern ermöglicht, kryptografische Aussagen über autorisierte Routenursprünge zu veröffentlichen, doch sein Wert hängt ebenso sehr von der Governance ab wie von der Technik.
- Gehostetes RPKI, Zertifikatswiderruf, ROA-Korrektur, Kontovollmacht, Zeitpunkt von Übertragungen und Beschwerdewege können zu Kontrollpunkten werden, wenn die Entscheidungsfreiheit der Registrierung nicht transparent und begrenzt ist.
- Das Risiko besteht nicht darin, dass LACNIC RPKI vermeiden sollte; das Risiko besteht darin, dass eine Sicherheitsschicht als neutrale Maschinerie behandelt wird, während sie im Stillen darüber entscheidet, wer bei Streitigkeiten, Fehlern, Unternehmensänderungen oder Richtlinienmaßnahmen die Gültigkeit von Routen aufrechterhalten kann.
- Lateinamerika und die Karibik benötigen RPKI als widerstandsfähige öffentliche Infrastruktur, bei der Kontinuität, Benachrichtigung, Überprüfung und die Trennung von routinemäßiger Wartung und außergewöhnlichem Eingreifen in die Art und Weise, wie die Zertifizierungsautorität ausgeübt wird, integriert sind.
Routing-Vertrauen hat eine Governance-Ebene
RPKI wird oft in der Sprache der Kryptografie und Routing-Hygiene beschrieben. Das ist verständlich. Die Technologie ermöglicht es einem Inhaber von IP-Adressressourcen, Route Origin Authorizations (ROAs) zu veröffentlichen, die angeben, welches autonome System berechtigt ist, ein Präfix zu originieren. Netzwerke, die eine Routenursprungsvalidierung durchführen, können Routen dann als gültig, ungültig oder nicht gefunden behandeln. Das praktische Ziel besteht darin, versehentliche Routenlecks und böswillige Hijackings leichter zu erkennen und zu filtern.
Diese technische Beschreibung ist zutreffend, aber unvollständig. RPKI ist auch eine Governance-Vereinbarung. Es verknüpft das Routing-Vertrauen mit der administrativen Anerkennung von Nummernressourcen. Es hängt von Zertifizierungsstellen, Repositories, Widerrufung, Kontokontrolle, Richtlinien, Kundenbetreuung und Betriebskontinuität ab. Im gehosteten Modell, das viele Ressourceninhaber nutzen, weil es einfacher ist als der Betrieb einer delegierten Infrastruktur, ist die Registrierung nicht nur eine Quelle öffentlicher Daten. Sie ist ein Verwahrer des Mechanismus, durch den die Routing-Behauptungen des Inhabers gültig bleiben.
Für LACNIC ist dies von Bedeutung, da die Region echte Anforderungen an die Routing-Sicherheit und eine ungleiche administrative Kapazität aufweist. Einige Betreiber verfügen über ausgereifte Sicherheitsteams. Andere sind kleine Zugangsanbieter, öffentliche Einrichtungen, Unternehmen, Universitäten oder lokale Netzwerke mit begrenzten Ressourcen. Gehostetes RPKI kann die Einführung erleichtern, was ein öffentliches Gut ist. Dieselbe Bequemlichkeit schafft jedoch auch Abhängigkeit.
Wenn das Registrierungskonto gesperrt ist, eine Korrektur verzögert wird, eine ROA nach einem Übertragungsstreit entfernt wird, ein Zertifikat widerrufen wird oder ein Beschwerdeweg langsam ist, kann sich die Routing-Position des Inhabers ändern, bevor der kommerzielle oder rechtliche Streit beigelegt ist.
Die Frage ist nicht, ob RPKI gut oder schlecht ist. Es ist in dem spezifischen Sinne gut, dass es bestimmte Routing-Risiken reduziert. Die Frage ist, ob die Kontrollpunkte rund um RPKI mit ausreichender Zurückhaltung gesteuert werden. Ein Sicherheitsmechanismus wird umso mächtiger, je mehr Netzwerke sich auf ihn verlassen. Wenn die Routenursprungsvalidierung selten ist, hat eine fehlerhafte oder umstrittene ROA-Entscheidung begrenzte Auswirkungen. Wenn die Validierung weit verbreitet ist, kann dieselbe Entscheidung die Erreichbarkeit, das Vertrauen in die Beschaffung, die Kundenkontinuität und den Wert knapper IPv4-Ressourcen beeinträchtigen.
Deshalb muss RPKI als kritische Marktinfrastruktur verstanden werden. Es ist Teil der Routing-Sicherheit, aber auch Teil der Adressökonomie. Ein Block, dessen Routen zuverlässig validiert werden, ist einfacher zu betreiben, zu verkaufen, zu finanzieren und zu verteidigen. Ein Block, dessen Zertifizierungsstatus durch administrative Unsicherheit unterbrochen werden kann, ist weniger liquide. Die Vertrauensschicht, die den Markt sicherer macht, kann auch zu einem Hebelpunkt werden.
Das Versprechen und der Deal
RPKI bietet einen nützlichen Deal. Im Austausch für etwas zusätzlichen administrativen Aufwand kann ein Ressourceninhaber maschinenlesbare Beweise dafür veröffentlichen, dass eine bestimmte Ursprungs-ASN für ein Präfix autorisiert ist. Andere Netzwerke können diese Beweise nutzen, um offensichtliche Fehler und Angriffe herauszufiltern. Das Internet wird nicht vollkommen sicher, da BGP viele andere Risiken birgt, aber eine wichtige Klasse von Ursprungsproblemen wird leichter zu handhaben.
Der Deal ist am stärksten, wenn die Aussagen genau, zeitnah und unter der praktischen Kontrolle des Ressourceninhabers stehen. Ein Anbieter, der Transitvereinbarungen ändert, kann ROAs vor einer Routing-Änderung aktualisieren. Ein Netzwerk, das Adressraum erwirbt, kann neue Autorisierungen erstellen, sobald sich die Anerkennung ändert. Ein Inhaber, der einen Fehler entdeckt, kann ihn schnell beheben. Ein kleiner ISP kann ein gehostetes Portal nutzen, anstatt eine eigene Zertifizierungsstelle zu betreiben. Validatoren können Repositories konsumieren und konsistente Entscheidungen treffen. Jeder Schritt reduziert die Unsicherheit.
Aber der Deal enthält eine versteckte Governance-Prämisse: Die Fähigkeit des Inhabers, ROAs zu erstellen und zu pflegen, hängt vom institutionellen Zugang ab. Bei delegiertem RPKI übernimmt der Inhaber mehr Verantwortung für seine eigene Zertifizierungsstelle und sein Repository. Bei gehostetem RPKI übernimmt die Registrierung einen Großteil dieser Komplexität. Der gehostete Dienst ist gerade deshalb attraktiv, weil er die technische Last reduziert. Es bedeutet auch, dass Kontovollmacht, Registrierungsanerkennung und Support-Entscheidungen näher an dem Pfad liegen, über den Routen gültig bleiben.
Diese Abhängigkeit ist nicht grundsätzlich unangemessen. Banken verwahren Wertpapiere. Domain-Registrare verwalten Namenseinträge. Cloud-Anbieter speichern Schlüssel für Kunden, die sich für verwaltete Dienste entscheiden. Die gemeinsame Frage ist nicht, ob Verwahrung existiert, sondern wie sie begrenzt ist. Wer kann handeln? Welche Ereignisse rechtfertigen eine Aussetzung oder einen Widerruf? Welche Benachrichtigung wird gegeben? Was passiert während eines Streits? Wie schnell können Fehler korrigiert werden? Welche Beweise sind erforderlich? Welche Überprüfung steht zur Verfügung, wenn die Entscheidung die Kontinuität bedroht?
RPKI verdient diese Fragen, weil Routing unerbittlich ist. Eine verzögerte Dokumentenprüfung mag bei einer Übertragungsdatei ärgerlich sein. Eine verzögerte ROA-Korrektur kann zu ungültigen Routen, Erreichbarkeitsverlust, Kundenbeschwerden oder dem Druck führen, auf weniger sichere Weise zu routen. Die Konsequenz muss nicht aus böser Absicht resultieren. Sie kann aus gewöhnlicher administrativer Verzögerung, Kontoverwirrung oder übermäßiger Vorsicht entstehen. Governance-Risiken beginnen oft im Routinebetrieb.
Der Marktdeal hat daher zwei Seiten. Netzwerke sollten RPKI einführen, weil das Routing-System von genaueren Ursprungsinformationen profitiert. Registrierungen sollten die daraus resultierende Kontrolle mit Transparenz, Vorhersehbarkeit und einer Tendenz zur Kontinuität ausüben, es sei denn, klare Beweise erfordern ein Eingreifen. Ohne diese zweite Seite könnte die Einführung eine neue Abhängigkeitsquelle schaffen, die kleinere Netzwerke nur schwer bewältigen können.
Gehostete Verwahrung ist Bequemlichkeit mit einer Kontrollfläche
Gehostetes RPKI senkt die Eintrittsbarriere. Ein Inhaber meldet sich an, erstellt ROAs und verlässt sich auf die Infrastruktur der Registrierung, um Zertifizierungsmaterial zu veröffentlichen. Für viele Netzwerke ist dies der einzig realistische Weg zur Einführung. Der Betrieb von delegiertem RPKI erfordert technische Kompetenz, Repository-Verfügbarkeit, Schlüsselverwaltung, Überwachung und Disziplin. Ein kleiner oder mittlerer Betreiber kann vernünftigerweise einen gehosteten Dienst der Registrierung bevorzugen.
Das Governance-Risiko besteht darin, dass gehostete Verwahrung die gewöhnliche Kontokontrolle in Routing-Kontrolle verwandelt. Wenn das Konto kompromittiert wird, kann der Angreifer möglicherweise schädliche ROAs erstellen. Wenn das Konto gesperrt wird, kann der Inhaber möglicherweise eine Routenänderung nicht korrigieren. Wenn die registrierte Autorität nach einer Fusion umstritten ist, kann die Partei, die tatsächlich das Netzwerk betreibt, von jemand anderem abhängig sein, um die Beglaubigungen aufrechtzuerhalten.
Wenn eine Übertragung anhängig ist, benötigen sowohl Verkäufer als auch Käufer möglicherweise Kontinuität, während die Anerkennung wechselt. Wenn Support-Mitarbeiter eine ROA entfernen, korrigieren oder ablehnen, kann die Entscheidung die Erreichbarkeit über das Portal hinaus beeinflussen.
Diese Risiken können gemanagt werden, aber nur, wenn sie anerkannt werden. Ein gehostetes RPKI-System sollte nicht als bloße Einstellungsseite behandelt werden. Es handelt sich um einen delegierten Kontrollmechanismus für eine knappe Ressource. Starke Kontosicherheit, Rollentrennung, Änderungshistorie, Mehrpersonen-Autorisierung für sensible Änderungen, Notfallwiederherstellung und sorgfältige Support-Abwicklung sind keine Luxusgüter. Sie sind Teil des Kontinuitätsversprechens.
Die Kontrollfläche umfasst auch Stillschweigen. Wenn ein Inhaber nicht feststellen kann, ob eine ROA-Änderung propagiert wurde, ob ein Repository-Problem vorübergehend ist, ob Validierungsfehler durch eigene Fehler oder durch die gehostete Veröffentlichung verursacht werden, kann er nur schwer reagieren. Öffentliche Statusinformationen, klare Support-Eskalation und zuverlässige Veröffentlichung sind wichtig, weil Validatoren weltweit automatisierte Entscheidungen treffen. RPKI hat globale Auswirkungen, selbst wenn die administrative Kommunikation regional ist.
Kleine Betreiber stehen vor einem besonderen Dilemma. Sie benötigen möglicherweise am dringendsten den gehosteten Dienst, haben aber die geringste Verhandlungsmacht, wenn ein Verwahrungsproblem auftritt. Ein großer Carrier kann über persönliche Beziehungen, öffentlichen Druck oder redundante Technik eskalieren. Ein kleiner ISP hat möglicherweise nur ein Ticket und einen Ausfall. Das Governance-Design sollte den schwächeren Nutzer schützen, denn die Legitimität einer regionalen Registrierung wird am schärfsten dort getestet, wo der Nutzer sich nicht selbst versichern kann.
Die Antwort besteht nicht darin, jeden zu delegiertem RPKI zu drängen. Das würde die Einführung verringern und Netzwerke belasten, die nicht bereit sind. Die Antwort besteht darin, gehostete Verwahrung als eine treuhänderähnliche Verantwortung innerhalb der Internet-Koordination zu behandeln. Die Registrierung mag rechtlich gesehen kein finanzieller Treuhänder sein, aber sie hält einen operativen Kontrollpunkt, dessen Missbrauch oder Fehlbehandlung dem Inhaber schaden kann. Das erfordert Zurückhaltung, Aufzeichnungen und Überprüfung.
ROAs sind kleine Objekte mit großen Konsequenzen
Eine ROA sieht einfach aus: Präfix, maximale Länge, Ursprungs-ASN, Signatur. Die kommerziellen Konsequenzen können groß sein. Eine falsche maximale Länge kann eine legitime spezifischere Route ungültig machen. Eine alte Ursprungs-ASN kann nach einer Netzwerkmigration bestehen bleiben. Eine fehlende Autorisierung kann eine Route ohne Schutz lassen. Eine nicht autorisierte ROA kann einen Ursprung validieren, dem nicht vertraut werden sollte. Dies sind technische Details, aber sie übersetzen sich direkt in Servicekontinuität und Vertrauen der Gegenpartei.
Das Problem wird bei Übergängen schärfer. Bei einer Akquisition kann der Käufer die Ursprungs-ASNs ändern oder parallele Netzwerke betreiben, während Kunden migrieren. Bei einem Verkauf von Adressraum muss der Verkäufer möglicherweise alte ROAs beibehalten, bis der Käufer neue erstellen kann. Bei einer Kundenneuzuweisung benötigt ein nachgelagertes Netzwerk möglicherweise eine Autorisierung für eine Teilmenge. Bei einem Streit kann eine Partei den operativen Bedarf geltend machen, während eine andere die anerkannte Inhaberschaft beansprucht. RPKI kann diese Übergänge entweder sicherer machen oder sie in Klippen verwandeln.
Die Rolle von LACNIC besteht, wie die jeder RIR, nicht darin, jeden kommerziellen Streit zu entscheiden, der sich hinter einer Routing-Änderung verbirgt. Aber das Design des RPKI-Dienstes kann Schäden reduzieren. Die routinemäßige Erstellung und Korrektur von ROAs sollte schnell, überprüfbar und klar an die Autorität des Inhabers gebunden sein. Außergewöhnliche Eingriffe sollten eng begrenzt sein. Solange ein administrativer Streit besteht, sollte die Standardeinstellung unnötige Erreichbarkeitsstörungen vermeiden, es sei denn, es gibt einen klaren sicherheits- oder richtlinienbasierten Grund zum Handeln.
Wenn Handeln notwendig ist, sollten betroffene Parteien wissen, was passiert ist und welche Beweise es rückgängig machen können.
Marktteilnehmer sollten auch vermeiden, ROAs als dauerhafte Eigentumssignale zu behandeln. RPKI zeigt eine Autorisierung für den Routenursprung, kein vollständiges Eigentum, keine finanzielle Belastung und keinen kommerziellen Anspruch. Ein Käufer, der eine gültige ROA sieht, benötigt dennoch Übertragungsnachweise, Unternehmensautorität, eine saubere Historie und vertragliche Rechte. Ein Kreditgeber, der eine gute RPKI-Hygiene sieht, benötigt dennoch Sorgfalt. Ein Beschaffungsteam, das validierte Routen sieht, benötigt dennoch die Verantwortlichkeit des Anbieters. RPKI ist mächtig, weil es eine Routing-Frage gut beantwortet.
Es wird gefährlich, wenn man von ihm verlangt, alles zu beantworten.
Die Governance-Herausforderung ist daher zweiseitig. Die Entscheidungsfreiheit der Registrierung muss eingeschränkt werden, damit die ROA-Kontrolle nicht missbraucht wird. Die Marktinterpretation muss ebenfalls diszipliniert sein, damit der Validierungsstatus nicht mit einer vollständigen rechtlichen Schlussfolgerung verwechselt wird. Der gesündeste Markt behandelt RPKI als ein hochwertiges Routing-Signal innerhalb eines breiteren Beweissatzes.
Widerruf, Aussetzung und das Kontinuitätsproblem
Widerruf ist notwendig. Zertifikate müssen möglicherweise widerrufen werden, wenn Ressourcen nicht mehr gehalten werden, wenn Schlüssel kompromittiert sind, wenn sich die administrative Anerkennung ändert oder wenn die Richtlinie eine Entfernung erfordert. Ein System ohne Widerruf wäre unsicher. Aber der Widerruf ist auch die schärfste Kontrolle in der RPKI-Umgebung, da er abhängige Beglaubigungen ungültig machen und die Behandlung von Routen durch Validatoren verändern kann.
Die Governance-Frage ist nicht, ob es einen Widerruf geben sollte. Sondern welche Grenzen gelten, wenn der Widerruf das Live-Routing betrifft. Wenn ein Ressourceninhaber nach einer abgeschlossenen Übertragung die Anerkennung verliert, kann ein Widerruf angemessen sein. Befindet sich der Inhaber in einem Abrechnungsstreit, einem Unternehmensstreit, einer administrativen Korrektur oder einer Berufung, kann ein sofortiger Widerruf unverhältnismäßig sein, es sei denn, es liegt ein klarer Sicherheitsgrund vor.
Handelt es sich um ein Problem der Kontokompromittierung, kann eine vorübergehende Schutzmaßnahme gerechtfertigt sein, sollte jedoch mit einer schnellen Wiederherstellung einhergehen.
Kontinuität ist wichtig, weil Routing-Entscheidungen automatisiert und verteilt sind. Eine Widerrufsentscheidung auf der Registrierungsebene kann von Validatoren fernab der Region konsumiert werden. Das betroffene Netzwerk kann das Problem durch Kunden, Überwachungswarnungen oder Transit-Provider-Filter entdecken. Selbst wenn der Fehler später korrigiert wird, kann der Reputations- und kommerzielle Schaden bereits eingetreten sein. Auf einem knappen IPv4-Markt kann ein Block, der mit Zertifizierungsinstabilität verbunden ist, als riskanter eingestuft werden.
Der richtige Standard ist nicht Lähmung. Eine Registrierung muss die Integrität des Systems schützen. Sie kann nicht zulassen, dass veraltete oder betrügerische Beglaubigungen auf unbestimmte Zeit fortbestehen. Sie sollte jedoch zwischen einem eindeutigen Autoritätsverlust und bestrittenen oder heilbaren Mängeln unterscheiden. Sie sollte auch Beweise aufbewahren. Wer hat den Widerruf beantragt? Welcher Ressourcensatz war betroffen? Welche Benachrichtigung wurde gegeben? Welcher Berufungs- oder Korrekturweg bestand? Welche vorübergehenden Kontinuitätsmaßnahmen wurden in Betracht gezogen?
Diese Fragen sind im Nachhinein wichtig, und das Wissen, dass sie gestellt werden, verbessert das Verhalten im Voraus.
Die Aussetzung schafft ähnliche Probleme. Eine Kontosperrung mag administrativ einfacher sein als eine gezielte Maßnahme, kann jedoch die legitime ROA-Wartung blockieren. Wenn die Aussetzung nichts mit dem Routing-Risiko zu tun hat, sollte ihre Auswirkung auf die Zertifizierung sorgfältig begrenzt werden. Das Prinzip ist Verhältnismäßigkeit: Die verwendete Kontrolle sollte dem zu adressierenden Risiko entsprechen. Ein Abrechnungsproblem, eine unvollständige Kontaktaktualisierung und ein vermutetes Hijacking sind nicht dasselbe Ereignis.
Diese Verhältnismäßigkeit ist besonders wichtig für kleinere Netzwerke. Ihnen fehlen möglicherweise redundante Adressbestände, mehrere Uplinks oder juristisches Personal. Eine Zertifizierungsunterbrechung, die ein großer Carrier verkraften kann, kann für einen lokalen Anbieter existenzbedrohend sein. Regionale Governance sollte nicht zulassen, dass operative Abhängigkeit zu administrativer Hebelwirkung wird.
Übertragungen, Legacy-Ressourcen und Zeitrisiko
IPv4-Übertragungsmärkte und RPKI-Governance überschneiden sich auf unbequeme Weise. Eine Übertragung ändert die anerkannte Kontrolle. RPKI drückt die Routing-Autorisierung basierend auf anerkannten Ressourcen aus. Das Intervall zwischen kommerzieller Vereinbarung, Registrierungsanerkennung, Routing-Migration und Kundenübergang kann ein Zeitrisiko schaffen. Wenn ROAs zu früh entfernt werden, können Routen ungültig werden. Wenn alte ROAs zu lange bestehen bleiben, kann ein Verkäufer oder früherer Betreiber eine scheinbare Routing-Autorität behalten.
Wenn sowohl Käufer als auch Verkäufer während des Übergangs eine Autorisierung benötigen, muss das System eine kontrollierte Überlappung unterstützen.
Der saubere Fall ist einfach. Verkäufer und Käufer einigen sich, die Registrierung erkennt die Übertragung an, ROAs werden nacheinander aktualisiert, und Routing-Änderungen folgen. Die schwierigen Fälle sind Teilübertragungen, Fusionen, Umstrukturierungen, Notverkäufe, umstrittene Autorität, Legacy-Ressourcen-Bestätigungen und Kundensuballokationen. Dies sind keine seltenen Randfälle in einem knappen Markt. Sie sind Teil des gewöhnlichen kommerziellen Lebens von IPv4.
Legacy-Ressourcen verdienen besondere Sorgfalt. Historische Zuweisungen passen möglicherweise nicht nahtlos in moderne Servicebeziehungen. LACNIC hat Legacy-Inhaber ermutigt, ihre Aufzeichnungen zu regularisieren oder zu bestätigen. Das ist aus Sicht der Datenqualität sinnvoll. Wenn jedoch der Legacy-Status mit der Zertifizierung interagiert, steigen die Einsätze. Ein Inhaber, der einen Block jahrzehntelang geroutet hat, kann eine Zertifizierungsfrage als Bedrohung der Kontinuität empfinden. Eine Registrierung kann dieselbe Frage als notwendige Hygiene betrachten. Beide Bedenken können legitim sein.
Gute Governance bietet einen Pfad, der Aufzeichnungen regularisiert, ohne Routing-Instabilität als unnötigen Druck zu nutzen.
Der Übertragungsstatus sollte daher für die operative Planung ausreichend sichtbar sein. Die Parteien müssen wissen, wann alte ROAs beibehalten werden sollten, wann neue ROAs erstellt werden können und wer für die Kundenkontinuität verantwortlich ist. Eine Übertragungsdatei sollte nicht von der Routing-Realität abgeschottet sein. Ebenso sollte Routing-Bequemlichkeit nicht die Übertragungsrichtlinie außer Kraft setzen. Beides muss koordiniert werden, denn der Markt erlebt sie als eine Sequenz.
Es gibt auch einen Preiseffekt. Käufer werden Blöcke abschlagen, deren Zertifizierungsübergang riskant erscheint. Verkäufer mit disziplinierter RPKI-Wartung, klarer Kontovollmacht und vorbereiteten Übergangsplänen können mehr Vertrauen erzielen. Broker und Berater fragen bereits nach einer sauberen Historie, dem Routenursprung und der Übertragbarkeit. Mit zunehmender Validierung wird die RPKI-Übergangshygiene zu einem normalen Bestandteil der IPv4-Sorgfaltspflicht.
Dies ist ein Grund, warum die Entscheidungsfreiheit der Registrierung über ROAs nicht beiläufig sein darf. Sie beeinflusst nicht nur die Paketzustellung, sondern auch den Marktwert. Eine Entscheidung, die die Zertifizierung während einer Übertragung unterbricht, kann die Verhandlungsmacht verändern. Ein System ohne transparente Zeitregeln kann Misstrauen einladen, selbst wenn die Mitarbeiter in gutem Glauben handeln.
Berufungen müssen schneller sein als der Schaden
Jedes Kontrollsystem macht Fehler. Die institutionelle Frage ist, ob Fehler korrigiert werden können, bevor sie unverhältnismäßigen Schaden anrichten. Bei RPKI ist diese Frage dringend, weil Routing-Konsequenzen unmittelbar sein können. Ein Berufungsweg, der Wochen dauert, kann für ein Netzwerk, dessen Routen heute ungültig sind, zu langsam sein. Eine Support-Antwort, die lediglich den Eingang bestätigt, reicht möglicherweise nicht aus, wenn Kunden offline sind oder Transit-Provider filtern.
Berufungen müssen in diesem Zusammenhang keinem Gericht gleichen. Sie müssen klar, schnell, dokumentiert und unabhängig genug sein, um betroffenen Inhabern das Vertrauen zu geben, dass nicht dieselbe Person oder Einheit, die die umstrittene Entscheidung getroffen hat, der einzige Prüfer ist. Für routinemäßige ROA-Fehler kann der technische Support ausreichen. Für Widerruf, Kontosperrung, umstrittene Inhaber-Autorität oder übertragungsbedingte Zertifizierungsänderungen ist ein formellerer Weg erforderlich.
Benachrichtigung ist ebenso wichtig. Ein Inhaber sollte nicht zuerst von einem Kunden von einer folgenschweren Änderung erfahren. Wenn eine Vorabbenachrichtigung möglich ist, sollte sie gegeben werden. Wenn eine Notfallmaßnahme erforderlich ist, sollte die Benachrichtigung schnell folgen und den Grund auf eine Weise erklären, die eine Reaktion ermöglicht. Die Registrierung muss sensible Sicherheitsdetails schützen, wo dies angemessen ist, aber Geheimhaltung sollte nicht zur Gewohnheit werden. Je mächtiger die Kontrolle, desto stärker sollte die Erklärung sein.
Beweisstandards sollten ebenfalls vorhersehbar sein. Wenn ein Inhaber die Kontovollmacht, eine Unternehmensänderung, den Abschluss einer Übertragung oder einen operativen Notfall nachweisen muss, sollte er wissen, welche Dokumente oder Beglaubigungen relevant sind. Unklare Beweisstandards machen Berufungen zu Verhandlungen. Klare Standards machen sie zu Lösungen. Dies ist besonders wertvoll für kleinere Betreiber, die sich nicht auf privaten Zugang oder juristische Raffinesse verlassen können.
Der Test ist praktisch: Kann ein legitimer Inhaber die korrekte Zertifizierung schnell genug wiederherstellen, um dauerhaften Schaden zu vermeiden? Wenn die Antwort nein lautet, mag das System formal sicher sein, aber im Betrieb fragil. Sicherheitssysteme, die ihre eigenen Fehler nicht korrigieren können, verlieren an Legitimität. Betreiber umgehen sie dann, verzögern die Einführung oder behandeln den Validierungsstatus als optional. Das würde das öffentliche Gut schwächen, das RPKI bereitstellen soll.
Berufungen sind kein Hindernis für die Durchsetzung. Sie sind eine Bedingung für glaubwürdige Durchsetzung. Eine Registrierung, die ihre folgenreichsten Zertifizierungsmaßnahmen erklären und überprüfen kann, wird mehr Vertrauen gewinnen als eine, die die Gemeinschaft bittet, sich allein auf institutionellen guten Willen zu verlassen.
Betriebsversagen ist ebenfalls ein Governance-Risiko
Nicht jedes RPKI-Governance-Risiko ergibt sich aus einer umstrittenen Entscheidung. Einige resultieren aus gewöhnlichem Betriebsversagen: Repository-Ausfälle, Veröffentlichungsverzögerungen, abgelaufene Manifeste, inkonsistente RRDP- und Rsync-Daten, Support-Verzögerungen, Fehler bei der Kontowiederherstellung oder Überwachungslücken. Diese Vorfälle mögen technisch erscheinen, werden aber zu Governance-Problemen, weil die Registrierung Inhaber und Validatoren eingeladen hat, sich auf ihre Infrastruktur zu verlassen.
Im delegierten Modell trägt der Inhaber mehr von dieser Last. Im gehosteten Modell trägt die Registrierung mehr. Diese Aufteilung sollte sich in der Service-Disziplin widerspiegeln. Die Veröffentlichungsinfrastruktur muss überwacht werden. Vorfälle müssen kommuniziert werden. Wiederherstellungserwartungen müssen realistisch sein. Inhaber müssen wissen, ob das Problem bei ihnen, bei der Registrierung, bei einem Validator oder bei einem breiteren Internet-Problem liegt. Validatoren benötigen stabile Repositories. Die Öffentlichkeit benötigt genügend Transparenz, um Vertrauen zu bewahren, ohne jeden Vorfall in Panik zu verwandeln.
RPKI hat einen eigentümlichen Fehlermodus: Stille kann mit Sicherheit verwechselt werden. Wenn ein Repository veraltet ist oder ein Veröffentlichungspunkt nicht erreichbar ist, können Routen je nach Validator-Verhalten und zwischengespeicherten Daten eine Weile fortbestehen. Betreiber erkennen das Problem möglicherweise nicht sofort. Wenn sie es tun, kann die Diagnose diffus sein. Dies macht Kommunikation entscheidend. Eine Registrierung, die zeitnahe Vorfallinformationen veröffentlicht, hilft der Gemeinschaft, rational zu reagieren.
Eine Registrierung, die betriebliche Probleme als private Support-Angelegenheiten behandelt, zwingt jedes Netzwerk zum Raten.
Betriebsrisiken beeinflussen auch die Anreize zur Einführung. Wenn ein kleiner Anbieter hört, dass RPKI die Sicherheit verbessern kann, aber befürchtet, dass ein gehosteter Ausfall seine Routen ungültig machen könnte, zögert er möglicherweise. Wenn die Registrierung Zuverlässigkeit, Status-Sichtbarkeit und schnelle Reparatur nachweisen kann, wird die Einführung einfacher. Technische Evangelisation ist weniger überzeugend als operative Evidenz.
Es gibt auch eine Marktdimension. Käufer und Kreditgeber könnten beginnen zu fragen, ob die Routing-Sicherheitslage eines Inhabers widerstandsfähig ist. Dazu gehört nicht nur, ob ROAs existieren, sondern auch, ob Kontozugang, Notfallwiederherstellung und Übergangspläne vorhanden sind. Ein Block mit ausgezeichneter RPKI-Hygiene und zuverlässiger Verwahrung ist attraktiver als ein Block, dessen Routing-Beglaubigungen von einem vergessenen Konto abhängen.
Betriebsversagen ist daher kein Nebenaspekt. Es ist eine der Arten, wie Governance real wird. Institutionen werden nicht nur nach Grundsatzerklärungen beurteilt, sondern danach, wie sie sich verhalten, wenn alltägliche Systeme ausfallen.
Marktsignale und der Preis des Zertifizierungsrisikos
Mit zunehmender RPKI-Adoption wird die Zertifizierungsqualität Teil der Preisgestaltung knapper IPv4-Ressourcen werden. Käufer fragen bereits, ob ein Adressblock eine saubere Routing-Historie, reaktionsfähige Kontakte und Übertragungsberechtigung aufweist. Es ist nur ein kleiner Schritt von dort zur Frage, ob ROAs aktuell sind, ob die Kontovollmacht klar ist, ob die gehostete Verwahrung widerstandsfähig ist und ob der Block ohne eine Validierungsklippe bewegt werden kann. Der Markt wird nicht auf eine formelle Doktrin warten. Er wird operative Unsicherheit in Preis umwandeln.
Dieser Preis kann in mehreren Formen auftreten. Ein Käufer kann einen Block abschlagen, wenn der Verkäufer nicht zeigen kann, wer die RPKI-Zugänge kontrolliert. Ein Kreditgeber kann das Vertrauen in ein Netzwerk mindern, dessen Routing-Beglaubigungen vom Konto eines ehemaligen Mitarbeiters abhängen. Ein Beschaffungsteam kann fragen, warum sich der validierte Routenstatus eines Anbieters während eines administrativen Streits geändert hat. Ein Carrier kann zusätzliche Sicherheiten verlangen, bevor er Kundenrouten für ein neu übertragenes Präfix akzeptiert. Keine dieser Reaktionen ist dramatisch.
Zusammen machen sie die Zertifizierungs-Governance zu einer Markttatsache.
Die gleiche Logik funktioniert in die andere Richtung. Ein Inhaber mit diszipliniertem RPKI-Management kann Reife signalisieren. Er kann zeigen, dass ROAs vor Netzwerkänderungen überprüft werden, dass Kontorollen gepflegt werden, dass der Notfallzugang dokumentiert ist und dass die Übertragungsplanung die Zertifizierung einschließt. Das beweist nicht, dass der Inhaber finanziell stark oder rechtlich einwandfrei ist. Es zeigt jedoch, dass der Inhaber die Kontrollsysteme rund um eine knappe Ressource versteht. In einem Markt, in dem viele Risiken unsichtbar sind, ist sichtbare Disziplin wichtig.
Das Zertifizierungsrisiko betrifft auch Leasing- und Kundenzuweisungen. Ein Anbieter, der nachgelagerte Ursprünge autorisiert, muss wissen, wann diese Autorisierungen beginnen und enden. Wenn ein Leasingnehmer, Kunde oder übernommenes Unternehmen weiterhin von einer alten Autorisierung profitiert, nachdem sich die kommerzielle Beziehung geändert hat, kann der Inhaber Reputations- oder Routing-Risiken ausgesetzt sein. Wenn eine legitime nachgelagerte Ankündigung zu früh die Autorisierung verliert, können Kunden leiden. Je enger und genauer die ROA-Praxis, desto weniger muss der Markt diese Übergänge fürchten.
Versicherungs- und Kreditmärkte könnten schließlich ähnliche Fragen stellen. Selbst wo ein Versicherer RPKI nicht direkt zeichnet, kann er die Routing-Sicherheitskontrollen als Teil des Cyber- oder Betriebsrisikos betrachten. Ein Kreditanalyst mag nicht jeden RFC verstehen, kann aber verstehen, dass ein Netzwerk, dessen Routen durch Kontoverwirrung ungültig werden können, ein Kontinuitätsrisiko birgt. Je mehr RPKI zur normalen Infrastruktur wird, desto mehr werden seine Governance-Fehler in gewöhnlicher Geschäftssprache interpretiert werden.
Dies ist ein Grund, warum offizielle Beruhigung nicht ausreicht. Eine Registrierung kann ihren RPKI-Dienst genau beschreiben und dennoch Marktteilnehmer im Ungewissen lassen, wie Ausnahmefälle behandelt werden. Marktvertrauen entsteht aus beobachtetem Verhalten, veröffentlichten Erwartungen und glaubwürdiger Korrektur. Wenn Inhaber glauben, dass die Zertifizierungskontrolle diszipliniert ist, werden sie sie annehmen und sich darauf verlassen. Wenn sie glauben, dass sie ungewiss ist, werden sie absichern, abschlagen oder verzögern.
Was Betreiber von einer Vertrauensschicht erwarten sollten
Betreiber sollten erwarten, dass eine RPKI-Vertrauensschicht nutzbar, widerstandsfähig und begrenzt ist. Nutzbar bedeutet, dass die gewöhnliche Erstellung und Korrektur von ROAs für die Personen, die tatsächlich Netzwerke betreiben, unkompliziert ist. Ein System, das nur Experten verwalten können, wird entweder ignoriert oder falsch konfiguriert. Widerstandsfähig bedeutet, dass Kontoverlust, Repository-Probleme und Support-Verzögerungen nicht sofort zu Routing-Krisen werden.
Begrenzt bedeutet, dass die Kontrolle der Registrierung an spezifische Zertifizierungszwecke gebunden ist und sich nicht zu breiter kommerzieller Hebelwirkung ausweiten darf.
Die erste Erwartung ist Klarheit der Autorität. Ein Inhaber sollte wissen, welche Personen ROAs erstellen, ändern oder löschen können, welche Rollen eine stärkere Genehmigung erfordern und wie die Autorität Personalwechsel überlebt. Viele Routing-Fehler beginnen als Personalprobleme. Der Ingenieur, der das Konto kannte, verlässt das Unternehmen. Das Unternehmen fusioniert. Ein Dienstleister wechselt. Ein Gründer stirbt. Ein kleiner Betreiber verkauft an eine größere Gruppe. Die RPKI-Governance muss stark genug sein, um das normale Unternehmensleben zu überstehen.
Die zweite Erwartung ist sicherer Wandel. Netzwerkbetreiber ändern Uplinks, fügen Ursprünge hinzu, teilen Präfixe, migrieren Kunden und beheben Fehler unter Zeitdruck. Ein gehostetes System sollte diese Änderungen unterstützen, ohne zu leichtsinnigen Klicks zu ermutigen. Das bedeutet lesbaren Zustand, nützliche Warnungen, Historie und die Möglichkeit, Konsequenzen vorab zu sehen. Das Ziel ist nicht, Menschen vor jedem Fehler zu schützen. Es geht darum, die wichtigen Fehler schwieriger und den Wiederherstellungspfad klarer zu machen.
Die dritte Erwartung ist Kontinuität bei Anerkennungsänderungen. Übertragungen, Fusionen und Legacy-Bestätigungen sollten nicht als rein bürokratische Ereignisse behandelt werden, wenn sie die Validierung beeinflussen. Verkäufer, Käufer und Registrierung können jeweils legitime Bedenken haben. Das Routing-System benötigt jedoch eine kontrollierte Abfolge. Alte Autorisierungen sollten nicht über die legitime Autorität hinaus fortbestehen, aber die neue Autorität sollte nicht hinter Papierkram gefangen sein, nachdem die kommerzielle und operative Realität bereits weitergezogen ist. Ein gut gesteuertes System reduziert die Lücke.
Die vierte Erwartung ist schnelle Reparatur. Das Internet ist nicht geduldig. Eine Route, die aufgrund eines Fehlers, eines Kontoproblems oder einer fehlerhaften administrativen Maßnahme ungültig wird, kann sofortigen Druck erzeugen. Reparaturkanäle sollten am Routing-Schaden gemessen werden, nicht an gewöhnlicher Bürobequemlichkeit. Dies ist besonders wichtig für Netzwerke außerhalb von Hauptstadtzentren oder großen Carrier-Gruppen, wo persönliche Eskalation möglicherweise nicht verfügbar ist.
Die fünfte Erwartung ist verhältnismäßiges Eingreifen. Wenn die Registrierung handeln muss, sollte die Aktion eng begrenzt sein. Entfernen Sie die falsche ROA, nicht jede Autorisierung. Beschränken Sie ein kompromittiertes Konto, nicht einen nicht damit zusammenhängenden Ressourcensatz. Fordern Sie fehlende Beweise an, aber vermeiden Sie es, die Erreichbarkeit zu unterbrechen, wenn das Risiko dies nicht rechtfertigt. Die Gewohnheit engen Handelns unterscheidet eine Vertrauensschicht von einem Kontrollhebel.
Diese Erwartungen sind nicht feindlich gegenüber LACNIC. Sie sind die Bedingungen, unter denen RPKI als regionale Infrastruktur erfolgreich sein kann. Eine Vertrauensschicht, die leicht einzuführen, aber schwer anzufechten ist, wird letztendlich Unbehagen erzeugen. Eine Vertrauensschicht, die technisch stark und institutionell bescheiden ist, wird Teil der Wettbewerbsstärke der Region werden.
Zurückhaltung als Gestaltungsprinzip
Das zentrale Prinzip für die RPKI-Governance sollte Zurückhaltung sein. Die Registrierung sollte genügend Autorität haben, um die Genauigkeit und Integrität der Zertifizierung zu schützen. Sie sollte keine unkontrollierte praktische Macht haben, das Routing-Vertrauen zu verändern, wenn eine engere Maßnahme ausreichen würde. Zurückhaltung bedeutet nicht Schwäche. Es bedeutet, das Eingreifen an Beweisen und Schaden auszurichten.
In routinemäßigen Fällen bedeutet Zurückhaltung, anerkannten Inhabern zu ermöglichen, ihre ROAs schnell und sicher zu verwalten. Es bedeutet, die Kontowiederherstellung robust zu machen, ohne unbefugte Änderungen zu erleichtern. Es bedeutet, die Änderungshistorie zu bewahren und dem Inhaber zugänglich zu machen. Es bedeutet, sicherzustellen, dass Support-Mitarbeiter zwischen einem einfachen Konfigurationsfehler und einem umstrittenen Kontrollproblem unterscheiden können.
In Übertragungsfällen bedeutet Zurückhaltung, Zertifizierungsänderungen mit dem anerkannten Übertragungsstatus und der operativen Kontinuität zu koordinieren. Das System sollte Käufer nicht daran hindern, zu routen, noch sollte es Verkäufern eine unbegrenzte scheinbare Autorität geben, nachdem die Anerkennung gewechselt hat. Übergangsregelungen sollten unterstützt werden, soweit Richtlinie und Sicherheit es erlauben, denn reale Netzwerke ändern sich nicht immer an einem einzigen administrativen Datum.
In Durchsetzungsfällen bedeutet Zurückhaltung Verhältnismäßigkeit. Wenn eine Ressource eindeutig nicht mehr gehalten wird, sollte die Zertifizierung dies widerspiegeln. Wenn eine Sicherheitskompromittierung glaubwürdig ist, kann eine Schutzmaßnahme dringend sein. Aber wenn das Problem heilbar, umstritten oder nicht mit dem Routenursprungsrisiko verbunden ist, sollte die Reaktion unnötige Ungültigmachung vermeiden. Eine Registrierung sollte die Zertifizierungskontrolle nicht in eine Allzweck-Hebelwirkung verwandeln.
In Streitfällen bedeutet Zurückhaltung Überprüfung. Die betroffene Partei sollte einen Weg haben, gehört zu werden, und der Prüfer sollte in der Lage sein, Fehler zu korrigieren, ohne dass dies eine institutionelle Blamage darstellt. Gute Systeme machen Korrektur zur Normalität. Schwache Systeme behandeln Korrektur als Niederlage. RPKI wird Fehler produzieren, weil Menschen, Unternehmen und Netzwerke chaotisch sind. Die Frage ist, ob die Institution diese Fehler absorbieren kann, ohne das Vertrauen zu beschädigen.
Das letzte Element ist öffentliches Vertrauen. Die Gemeinschaft muss nicht jedes vertrauliche Dokument sehen, aber sie muss glauben, dass folgenschwere Handlungen durch Standards und nicht durch Persönlichkeit oder Druck bestimmt werden. Veröffentlichte Prinzipien, Vorfalltransparenz, Beweisstandards und Überprüfungswege reduzieren die Notwendigkeit blinden Vertrauens. In der Routing-Sicherheit ist blindes Vertrauen, wie im Finanzwesen, fragil. Strukturiertes Vertrauen ist dauerhaft.
Der regionale Einsatz für LACNIC
Lateinamerika und die Karibik sollten eine breite RPKI-Einführung wünschen. Die Region profitiert, wenn Routen-Hijacks schwieriger werden, Fehler leichter zu erkennen sind und Netzwerke eine stärkere operative Hygiene gegenüber globalen Gegenparteien präsentieren können. Content-Plattformen, Carrier, Finanzinstitute, öffentliche Netzwerke, Universitäten, ISPs und Cloud-Anbieter profitieren alle von einer saubereren Umgebung für die Ursprungsvalidierung. Das öffentliche Interesse an der Routing-Sicherheit ist real.
Die Region sollte auch eine Einführung wünschen, die kleinere Netzwerke nicht von undurchsichtiger Kontrolle abhängig macht. Wenn RPKI zu einem Werkzeug wird, das nur große Betreiber sicher verwalten können, wird der Sicherheitsnutzen ungleich sein. Wenn der gehostete Dienst bequem, aber schlecht gesteuert ist, könnten kleine Betreiber ihn einführen, ohne die Abhängigkeit zu verstehen, die sie akzeptiert haben. Wenn Streitigkeiten oder Korrekturen die Validierung ohne schnelle Überprüfung unterbrechen können, werden die schwächsten Netzwerke das größte Risiko tragen.
Die institutionelle Position von LACNIC ist daher heikel. Sie muss Sicherheit fördern und gleichzeitig das Vertrauen bewahren, dass die Zertifizierungsautorität eng ausgeübt wird. Sie muss die Bequemlichkeit des Hostings unterstützen, ohne paternalistisch zu sein. Sie muss Fehler korrigieren, ohne die Angst zu erzeugen, dass sich Aufzeichnungen oder ROAs unvorhersehbar ändern können. Sie muss Übertragungen und Legacy-Fragen behandeln, ohne die Routing-Kontinuität als versteckten Druck zu nutzen.
Sie muss Regierungen, Betreibern und Märkten zeigen, dass die regionale Internet-Gemeinschaft eine mächtige Vertrauensschicht verantwortungsvoll verwalten kann.
Es besteht keine Notwendigkeit, den Punkt zu dramatisieren. Das größte Risiko ist nicht ein einzelner spektakulärer Missbrauch. Es ist die allmähliche Wahrnehmung, dass die RPKI-Kontrolle administrativ ungewiss ist. Sobald sich diese Wahrnehmung festsetzt, werden Inhaber sie in Transaktionen einpreisen, die Einführung verzögern oder auf privaten Zusicherungen bestehen. Der Sicherheitsmechanismus wird weiterhin existieren, aber er wird nicht volles Vertrauen genießen.
Umgekehrt kann starke Governance die RPKI-Umgebung von LACNIC zu einem Marktvorteil machen. Eine Region, in der die Zertifizierung zuverlässig ist, Berufungen zeitnah sind, Übergänge geordnet sind und die gehostete Verwahrung diszipliniert ist, wird für Investoren, Kunden und Netzwerke sicherer aussehen. Adressblöcke aus dieser Region werden weniger operative Zweifel aufweisen. Kleinere Anbieter werden in der Lage sein, RPKI zu übernehmen, ohne befürchten zu müssen, dass die Bequemlichkeit sie verwundbar gemacht hat.
Ein enges Vertrauensmodell ist stärker
Das stärkste RPKI-Governance-Modell ist eng. Es sagt, was das System gut kann, und weigert sich, so zu tun, als könne es alles. Es kann zeigen, dass ein anerkannter Ressourceninhaber einen Routenursprung autorisiert hat. Es kann Netzwerken helfen, Routen abzulehnen, die dieser Aussage widersprechen. Es kann Ursprungsfehler sichtbarer machen. Es kann kein wirtschaftliches Eigentum nachweisen, jeden kommerziellen Streit lösen, entscheiden, ob eine Akquisition fair war, oder bescheinigen, dass eine Kundenbeziehung legitim ist.
Diese Enge ist keine Schwäche. Sie ist die Quelle der Glaubwürdigkeit. Systeme, die eine wichtige Frage sauber beantworten, sind leichter zu vertrauen als Systeme, die ihren Zweck verwischen. Wenn RPKI als Routing-Sicherheitsmechanismus behandelt wird, kann sich die Governance auf Inhaber-Autorität, Zertifikatintegrität, Veröffentlichungszuverlässigkeit, Korrektur und Überprüfung konzentrieren. Wenn es als breites Kontrollinstrument behandelt wird, könnte jeder kommerzielle Konflikt um ein knappes Präfix versuchen, die Zertifizierung in den Streit hineinzuziehen.
LACNIC kann das enge Modell schützen, indem es Zertifizierungsmaßnahmen an Routing- und Ressourcenanerkennungsfakten bindet. Eine ROA sollte nicht zu einem Preis in einem Geschäftsstreit werden, es sei denn, die anerkannte Autorität über die Ressource hat sich tatsächlich geändert. Der Widerruf sollte nicht als Ersatz für die gewöhnliche Streitbeilegung verwendet werden. Die gehostete Verwahrung sollte die Kontoverwaltung nicht in stille kommerzielle Macht verwandeln. Die Institution sollte in der Lage sein, im Effekt zu sagen: Diese Vertrauensschicht ist mächtig, weil sie begrenzt ist.
Betreiber haben eine Rolle bei der Bewahrung derselben Disziplin. Sie sollten den Validierungsstatus nicht als vollständiges Charakterzeugnis für ein Netzwerk lesen. Sie sollten nicht annehmen, dass ein gültiger Routenursprung sauberes Eigentum, eine saubere Missbrauchshistorie oder saubere Übertragungsbeweise beweist. Sie sollten RPKI genau dort einsetzen, wo es am stärksten ist, und dann Registrierungsdaten, Verträge, Routing-Historie, Missbrauchsaufzeichnungen und Unternehmensbeweise für die anderen Fragen nutzen. Ein Markt, der die Grenzen seiner Vertrauenswerkzeuge versteht, wird sie selbstbewusster einsetzen.
Routing-Vertrauen braucht institutionelle Bescheidenheit
RPKI ist eine der wichtigsten praktischen Verbesserungen in der Internet-Routing-Sicherheit. Es sollte nicht durch übertriebene Ängste oder die Behandlung jeder Registrierungsmaßnahme als verdächtig geschwächt werden. Aber es sollte auch nicht vor institutioneller Analyse geschützt werden, weil es technisch ist. Je erfolgreicher RPKI wird, desto wichtiger wird seine Governance.
Der Kern der Sache ist Bescheidenheit. Eine Registrierung, die Zertifizierungsinfrastruktur betreibt, sollte anerkennen, dass ihre administrativen Entscheidungen das Live-Routing, den kommerziellen Wert, die Kundenbeziehungen und die regionale Legitimität beeinflussen können. Diese Anerkennung sollte Zurückhaltung, Transparenz und schnelle Korrektur hervorbringen. Sie sollte auch eine klare Trennung zwischen routinemäßiger Inhaberkontrolle und außergewöhnlichem Eingriff hervorbringen.
Für LACNIC besteht die Gelegenheit darin, RPKI nicht nur zu einem Sicherheitsdienst, sondern zu einem Vertrauensdienst zu machen. Das bedeutet, Vertrauen darauf aufzubauen, dass die gehostete Verwahrung nicht zu einer unbegrenzten Kontrolle wird, dass der Widerruf verhältnismäßig ist, dass ROA-Korrekturen schnell erfolgen, dass der Übertragungsstatus mit Kontinuität behandelt wird und dass Berufungen schneller sein werden als der Schaden. Routing-Vertrauen entsteht nicht allein durch Kryptografie. Es entsteht, wenn Kryptografie in Institutionen eingebettet ist, die ihre eigene Macht kennen und sie begrenzen.
Quellen und weiterführende Literatur
- LACNIC, "Resource Certification (RPKI)":https://www.lacnic.net/1037/2/lacnic/resource-certification-rpki
- LACNIC, "RPKI in Hosted Mode":https://www.lacnic.net/706/2/lacnic/rpki-in-hosted-mode
- LACNIC, "RPKI in Delegated Mode":https://www.lacnic.net/707/2/lacnic/rpki-in-delegated-mode
- LACNIC, "RPKI Trust Anchor":https://www.lacnic.net/690/2/lacnic/rpki-trust-anchor
- LACNIC, "Route Origin Authorizations":https://www.lacnic.net/709/2/lacnic/route-origin-authorizations
- LACNIC, "LACNIC Policy Manual v2.20":https://www.lacnic.net/680/2/lacnic/lacnic-policy-manual-v220---07_08_2024
- LACNIC, "Transferring IP Addresses":https://www.lacnic.net/1019/2/lacnic/transferring-ip-addresses
- LACNIC, "Legacy Resources":https://www.lacnic.net/1022/2/lacnic/legacy-resources
- LACNIC, "IP and ASN Recovery":https://www.lacnic.net/1020/2/lacnic/ip-y-asn-recovery
- IETF RFC 6480, "An Infrastructure to Support Secure Internet Routing":https://datatracker.ietf.org/doc/html/rfc6480
- IETF RFC 6482, "A Profile for Route Origin Authorizations":https://datatracker.ietf.org/doc/html/rfc6482
- IETF RFC 6484, "Certificate Policy for the Resource Public Key Infrastructure":https://datatracker.ietf.org/doc/html/rfc6484
- IETF RFC 6811, "BGP Prefix Origin Validation":https://datatracker.ietf.org/doc/html/rfc6811
- IETF RFC 8182, "The RPKI Repository Delta Protocol":https://datatracker.ietf.org/doc/html/rfc8182
- IETF RFC 9286, "Manifests for the Resource Public Key Infrastructure":https://datatracker.ietf.org/doc/html/rfc9286
- IETF RFC 9255, "The 'I' in RPKI Does Not Stand for Identity":https://datatracker.ietf.org/doc/html/rfc9255
- NRO, "About the RIRs":https://www.nro.net/about/rirs/
- MANRS, "Route Origin Validation":https://www.manrs.org/isps/guide/rov/

