摘要

  • RPKI 通过让资源持有者对授权路由源做出密码学声明来提升路由信心,但其价值既取决于工程也取决于治理。
  • 托管 RPKI、证书吊销、ROA 更正、账户权限、转移时机和申诉路径,如果注册管理机构的裁量权不透明且不受限制,都可能成为控制点。
  • 风险不在于 LACNIC 应该避免 RPKI;风险在于安全层可能被视为中立的机器,却悄悄地决定在争议、错误、公司变更或政策行动中谁可以保持路由有效。
  • 拉丁美洲和加勒比地区需要 RPKI 作为有弹性的公共基础设施,将连续性、通知、审查以及例行维护与特殊干预的分离融入证书颁发机构的行使方式中。

路由信任有治理层

RPKI 通常用密码学和路由卫生的语言来描述。这可以理解。该技术允许 IP 地址资源的持有者发布路由源授权(ROA),声明哪个自治系统(AS)被授权发起一个前缀。执行路由源验证的网络然后可以将路由视为有效、无效或未找到。实际目的是让意外的路由泄漏和恶意的劫持更容易被检测和过滤。

这种技术描述是准确的,但不完整。RPKI 也是一种治理安排。它将路由信心与号码资源的行政认可联系起来。它依赖于证书颁发机构、存储库、吊销、账户控制、政策、客户支持和运营连续性。在托管模式中,许多资源持有者使用它,因为它比运行委托基础设施更简单,注册管理机构不仅仅是公共数据的来源。它是持有者路由断言保持有效机制的管理者。

对于 LACNIC 来说,这很重要,因为该地区有真实的路由安全需求和不均衡的行政能力。一些运营商有成熟的安全团队。其他的是小型接入提供商、公共机构、企业、大学或资源有限的地方网络。托管 RPKI 可以使采用更容易,这是公共利益。但同样的便利也创造了依赖性。如果注册管理机构账户被锁定,如果更正被延迟,如果在转移争议后 ROA 被移除,如果证书被吊销,或者如果申诉路径缓慢,持有者的路由态势可能在商业或法律争议解决之前就发生改变。

问题不在于 RPKI 是好是坏。在减少某些路由风险的具体意义上,它是好的。问题在于围绕它的控制点是否受到足够的限制。随着更多网络依赖它,安全机制变得更强大。当路由源验证罕见时,一个错误或有争议的 ROA 决定影响有限。当验证普遍时,同样的决定可能影响可达性、采购信心、客户连续性和稀缺 IPv4 资源的价值。

这就是为什么 RPKI 必须被理解为关键市场基础设施。它是路由安全的一部分,也是地址经济的一部分。一个路由被可靠验证的地址块更容易运营、更容易出售、更容易融资、更容易保护。一个其证书状态可能因行政不确定性而中断的地址块流动性较差。让市场更安全的信任层也可能成为一个杠杆点。

承诺与交换条件

RPKI 提供了一个有用的交换条件。作为额外行政工作的交换,资源持有者可以发布机器可读的证据,证明某个源 ASN 被授权用于一个前缀。其他网络可以使用这些证据过滤明显的错误和攻击。互联网并不会因此变得完全安全,因为 BGP 还有许多其他风险,但一类重要的源问题变得更容易管理。

当声明准确、及时且在资源持有者的实际控制下时,这种交换条件最为有力。更改传输安排的提供商可以在路由更改之前更新 ROA。获取地址空间的网络可以在认可变更时创建新的授权。发现错误的持有者可以快速修复。小型 ISP 可以使用托管门户而不必运营自己的证书颁发机构。验证器可以消耗存储库并做出一致决定。每一步都减少不确定性。

但这种交换条件包含一个隐藏的治理前提:持有者创建和维护 ROA 的能力取决于机构访问。在委托 RPKI 中,持有者为其自己的证书颁发机构和存储库承担更多责任。在托管 RPKI 中,注册管理机构处理大部分复杂性。托管服务之所以吸引人,正是因为它减少了技术负担。这也意味着账户权限、注册管理机构认可和支持决策更靠近路由保持有效的路径。

这种依赖性本身并非不当。银行托管证券。域名注册商管理名称记录。云提供商为选择托管服务的客户持有密钥。常见的问题不在于托管是否存在,而在于它如何受到限制。谁可以行动?哪些事件证明暂停或吊销是合理的?给出了什么通知?争议期间会发生什么?错误可以多快被纠正?需要什么证据?当决定威胁到连续性时,有什么审查可用?

RPKI 应当受到这些问题的审视,因为路由是无情的。在转移文件中,延迟的文件审查可能令人烦恼。延迟的 ROA 更正可能会造成无效路由、可达性丧失、客户投诉或以不太安全的方式进行路由的压力。后果可能并非源于恶意。它可能来自普通的行政延迟、账户混乱或过于宽泛的谨慎。治理风险通常始于常规操作。

因此,市场交换条件有两面。网络应采用 RPKI,因为路由系统从更准确的源信息中受益。注册管理机构应以透明度、可预测性和倾向于连续性的方式行使由此产生的控制,除非有明确证据需要干预。没有第二面,采用可能会创造一个新的依赖源,而较小的网络难以轻松管理。

托管保管是便利与控制面

托管 RPKI 降低了进入门槛。持有者登录、创建 ROA,并依赖注册管理机构的基础设施发布证书材料。对于许多网络来说,这是采用的唯一现实途径。运行委托 RPKI 需要技术能力、存储库可用性、密钥管理、监控和纪律。中小型运营商可能有理由更喜欢来自注册管理机构的托管服务。

治理风险在于托管保管将普通的账户控制转变为路由控制。如果账户被入侵,攻击者可能能够创建有害的 ROA。如果账户被冻结,持有者可能无法纠正路由更改。如果注册权限在合并后有争议,实际运营网络的一方可能依赖他人来维持证明。如果转移悬而未决,卖方和买方可能都需要在认可转移时保持连续性。如果支持人员移除、更正或拒绝 ROA,该决定可能影响门户之外的可达性。

这些风险可以被管理,但前提是承认它们。托管 RPKI 系统不应被视为一个简单的设置页面。它是一种对稀缺资源的委托控制机制。强大的账户安全、角色分离、变更历史、对敏感变更的多重授权、紧急恢复和谨慎的支持处理并非奢侈。它们是连续性承诺的一部分。

控制面还包括沉默。如果持有者无法判断 ROA 变更是否已传播,存储库问题是暂时性的,验证失败是由自身错误还是由托管发布引起的,可能难以做出响应。公共状态信息、明确的升级支持和可靠的发布很重要,因为世界各地的验证器做出自动化决定。即使行政对话是区域性的,RPKI 的效果也是全球性的。

小型运营商面临一个特别的困境。他们可能最需要托管服务,但如果发生保管问题,他们的议价能力最弱。大型运营商可以通过个人关系、公共压力或冗余工程来升级问题。小型 ISP 可能只有一个工单和一次中断。治理设计应保护较弱的用户,因为区域注册管理机构的合法性在用户无法自我保险时受到最严峻的考验。

答案不是迫使所有人使用委托 RPKI。那将减少采用并给未准备好的网络增加负担。答案是将托管保管视为互联网协调中的受托责任。注册管理机构在法律意义上可能不是财务受托人,但它持有一个运营控制点,其误用或处理不当可能伤害持有者。这要求克制、记录和审查。

ROA 是小对象,影响却很大

ROA 看起来很简单:前缀、最大长度、源 ASN、签名。但商业后果可能很大。错误的最大长度可能使合法的更具体路由无效。旧的源 ASN 可能在网络迁移后继续存在。缺失的授权可能使路由没有保护。未经授权的 ROA 可能验证不应信任的源。这些是技术细节,但它们直接转化为服务连续性和交易对手信心。

在过渡期间,这个问题变得更加尖锐。在收购中,买方可能更改源 ASN,或者在客户迁移期间运营并行网络。在地址空间出售中,卖方可能需要维护旧的 ROA,直到买方能够创建新的。在客户重新分配中,下游网络可能需要一个子集的授权。在争议中,一方可能声称运营需要,而另一方声称持有认可。RPKI 可以使这些过渡更安全,或者将它们变成悬崖边缘。

像任何 RIR 一样,LACNIC 的角色不是裁决隐藏在路由更改背后的每项商业分歧。但 RPKI 服务的设计可以减少伤害。ROA 的例行创建和更正应快速、可审计,并明确与持有者权限挂钩。特殊干预应范围狭窄。当存在行政争议时,默认应避免不必要的可达性中断,除非有明确的安全或政策理由采取行动。当必须采取行动时,受影响的各方应知道发生了什么以及什么证据可以逆转它。

市场参与者还应避免将 ROA 视为永久的产权信号。RPKI 显示的是路由源的授权,而不是完整的所有权、财务负担或商业权利。看到有效 ROA 的买方仍然需要转移证据、公司授权、干净的历史和合同权利。看到良好 RPKI 卫生的贷方仍然需要尽职调查。看到验证路由的采购团队仍然需要供应商问责。RPKI 强大是因为它很好地回答了一个路由问题。当人们要求它回答一切时,它就变得危险。

因此,治理挑战是双重的。注册管理机构的裁量权必须受到约束,以免 ROA 控制被滥用。市场解读也必须受到纪律约束,以免将验证状态误认为是完整的法律结论。最健康的市场将 RPKI 视为更广泛证据集内的高质量路由信号。

吊销、暂停与连续性问题

吊销是必要的。当资源不再被持有时、密钥被泄露时、行政认可变更时或政策要求移除时,证书可能需要被吊销。没有吊销的系统将是不安全的。但吊销也是 RPKI 环境中最严厉的控制,因为它可以使依赖的证明无效并改变验证器处理路由的方式。

治理问题不在于吊销是否应该存在。而在于当吊销影响实时路由时,适用什么限制。如果资源持有者在完成转移后丧失认可,吊销可能是适当的。如果持有者处于账单争议、公司争议、行政更正或申诉中,立即吊销可能不相称,除非有明确的安全理由。如果问题是账户泄露担忧,可能采取临时保护措施是合理的,但应与快速恢复相结合。

连续性很重要,因为路由决定是自动化和分布式的。注册管理机构层的吊销决定可以被远离该地区的验证器消耗。受影响的网络可能通过客户、监控警报或传输提供商过滤器发现问题。即使错误后来被纠正,声誉和商业损害可能已经发生。在稀缺的 IPv4 市场中,一个与证书不稳定相关的地址块可能被视为风险更高。

正确的标准不是瘫痪。注册管理机构必须保护系统的完整性。它不能允许过时或欺诈性的证明无限期存在。但它应区分明显的权限丧失与有争议或可纠正的缺陷。它还应保存证据。谁请求了吊销?哪些资源集受到影响?给出了什么通知?存在什么申诉或更正路径?考虑了哪些临时连续性措施?这些问题在事后很重要,而知道它们会被追问会改善事前行为。

暂停会产生类似的问题。账户暂停可能在行政上比针对性行动更容易,但它可能阻碍合法的 ROA 维护。如果暂停与路由风险无关,其对证书的影响应受到谨慎限制。原则是相称性:所使用的控制应与所处理的风险相匹配。账单问题、不完整的联系信息更新和疑似劫持不是同一事件。

这种相称性对于较小的网络尤其重要。他们可能缺乏冗余的地址持有、多个上游或法律人员。一个大型运营商能够承受的证书中断对一个本地提供商来说可能是生存攸关的。区域治理不应让运营依赖性成为行政杠杆。

转移、遗留资源和时机风险

IPv4 转移市场与 RPKI 治理以令人不安的方式相遇。转移改变了认可的控制。RPKI 根据认可的资源表达路由授权。商业协议、注册管理机构认可、路由迁移和客户过渡之间的间隔可能产生时机风险。如果 ROA 被过早移除,路由可能变得无效。如果旧 ROA 保留时间过长,卖方或先前的运营商可能保留表观路由权限。如果买卖双方在过渡期间都需要授权,系统必须支持受控重叠。

干净的情况很容易。买卖双方达成一致,注册管理机构认可转移,ROA 按顺序更新,路由更改随之进行。困难的情况是部分转移、合并、重组、困境出售、争议权限、遗留资源确认和客户子分配。在稀缺市场中,这些并非罕见的边缘情况。它们是 IPv4 普通商业生活的一部分。

遗留资源需要特别关注。历史分配可能无法整齐地融入现代服务关系。LACNIC 已鼓励遗留持有者规范化或确认他们的记录。从数据质量的角度看,这是合理的。但当遗留状态与证书互动时,风险增加。一个已经路由一个地址块数十年的持有者可能会将证书问题视为对连续性的威胁。注册管理机构可能将同一问题视为必要的卫生。两种关切都可能合法。良好的治理提供了一条使记录规范化的路径,而不利用路由不稳定作为不必要的压力。

因此,转移状态应足够可见,以便运营规划。各方需要知道旧 ROA 应何时保留,新 ROA 何时可以创建,以及谁对客户连续性负责。转移文件不应与路由现实隔离开来。路由便利也不应凌驾于转移政策之上。两者必须协调,因为市场将它们视为一个序列。

还存在价格效应。买方会对其证书过渡看似有风险的地址块打折。具有纪律性 RPKI 维护、清晰账户权限和准备好的过渡计划的卖方可以赢得更多信心。经纪人和顾问已经开始询问干净的历史、路由源和可转移性。随着验证变得更普遍,RPKI 过渡卫生将成为 IPv4 尽职调查的正常部分。

这就是注册管理机构对 ROA 的裁量权不能随意为之的原因之一。它不仅影响数据包传递,还影响市场价值。在转移期间中断证书的决定可能改变议价能力。缺乏透明时机规则的系统可能即使员工善意行事也会引发怀疑。

申诉必须快于伤害

每个控制系统都会犯错误。制度问题是错误能否在造成不成比例的伤害之前得到纠正。在 RPKI 中,这个问题很紧迫,因为路由后果可能是立即的。一个需要数周才能完成的申诉路径对于今天路由无效的网络来说可能太慢了。仅确认收据的支持响应在客户离线或传输提供商正在过滤时可能不够。

在此背景下,申诉不必类似于法庭。它们需要明确、快速、有文件记录,并足够独立,以使受影响的持有者相信做出有争议决定的同一个人或单位不是唯一的审查者。对于常规 ROA 错误,技术支持可能足够。对于吊销、账户锁定、持有者权限争议或与转移相关的证书变更,需要更正式的路径。

通知同样重要。持有者不应首先从客户那里得知相关变更。在可能提前通知的情况下,应给出通知。在需要紧急行动时,通知应迅速跟进,并以允许回应的水平解释原因。注册管理机构必须在适当时保护敏感的安全细节,但保密不应成为一种习惯。控制越强大,解释应越强有力。

证据标准也应是可预测的。如果持有者必须证明账户权限、公司变更、转移完成或运营紧急情况,它应知道哪些文件或证明相关。不明确的证据标准将申诉变成谈判。明确的标准将它们变成解决。这对于无法依赖私人途径或法律复杂性的小型运营商尤其有价值。

检验是实际的:合法的持有者能否足够快速地恢复正确的证书以避免持久损害?如果答案是否定的,系统可能在形式上安全但在运营中脆弱。无法纠正自身错误的安全系统失去合法性。然后运营商绕开它、延迟采用,或将验证状态视为可选。那将削弱 RPKI 旨在提供的公共物品。

申诉并非执法的障碍。它们是可信执法的条件。一个能够解释和审查其最重要证书行动的注册管理机构将比要求社区仅依赖制度善意的机构赢得更多信任。

运营故障也是治理风险

并非每个 RPKI 治理风险都来自有争议的决定。一些来自普通运营故障:存储库中断、发布延迟、清单过期、不一致的 RRDP 和 rsync 数据、支持延迟、账户恢复失败或监控差距。这些事件可能看起来是技术性的,但它们成为治理问题,因为注册管理机构已邀请持有者和验证者依赖其基础设施。

在委托模型中,持有者承担更多这种负担。在托管模型中,注册管理机构承担更多。这种分配应反映在服务纪律中。发布基础设施必须被监控。事件必须被通报。恢复预期必须现实。持有者需要知道问题是他们自己的、注册管理机构的、验证器的还是更广泛的互联网问题。验证器需要稳定的存储库。公众需要足够的透明度来维持信任,而不至于将每个事件变成恐慌。

RPKI 有一个特有的故障模式:沉默可能被误认为是安全。如果存储库陈旧或发布点不可达,路由可能持续一段时间,这取决于验证器行为和缓存数据。运营商可能不会立即发现问题。当他们发现时,诊断可能是模糊的。这使得沟通至关重要。及时发布事件信息的注册管理机构有助于社区理性回应。将运营问题视为私人支持事务的注册管理机构迫使每个网络猜测。

运营风险也影响采用动机。如果一家小型提供商听说 RPKI 可以提高安全性,但担心托管中断可能使其路由无效,它可能会犹豫。如果注册管理机构能展示可靠性、状态可见性和快速修复,采用就会变得更容易。技术布道不如运营证据有说服力。

也存在市场维度。买家和贷方可能开始询问持有者的路由安全态势是否具有弹性。这不仅包括 ROA 是否存在,还包括账户访问、紧急恢复和过渡计划是否到位。一个具有出色 RPKI 卫生和可靠保管的地址块比一个其路由证明依赖于一个被遗忘账户的地址块更有吸引力。

因此,运营故障不是次要问题。它是治理变得真实的方式之一。机构不仅根据政策声明被评判,而且根据它们在平凡系统崩溃时的行为方式被评判。

市场信号与证书风险的价格

随着 RPKI 采用的深入,证书质量将成为稀缺 IPv4 资源定价方式的一部分。买家已经询问地址块是否具有干净的路由历史、响应迅速的联系人和转移资格。从那里再进一步就是询问 ROA 是否最新、账户权限是否清晰、托管保管是否有弹性,以及地址块能否在没有验证悬崖的情况下转移。市场不会等待正式的学说。它将把运营不确定性转化为价格。

这种价格可以以多种形式出现。如果卖方无法证明谁控制 RPKI 访问,买方可能会给地址块打折。如果一家网络的路由证明依赖于一名前雇员的账户,贷方可能会降低对该网络的信心。采购团队可能会询问为什么提供商的经验证路由状态在行政争议期间发生了变化。承运商可能需要在接受新转移前缀的客户路由之前要求额外的保证。这些反应都没有戏剧性。它们共同使证书治理成为市场事实。

同样的逻辑在相反方向也起作用。具有纪律性 RPKI 管理的持有者可以表明成熟度。它可以显示在网络变更前审查 ROA,维护账户角色,记录紧急访问,并且转移计划包括证书。这并不能证明持有者财务强大或法律无瑕疵。它确实表明持有者理解围绕稀缺资源的控制系统。在一个许多风险不可见的市场中,可见的纪律很重要。

证书风险也影响租赁和客户分配。授权下游源的提供商必须知道这些授权何时开始和结束。如果承租方、客户或被收购企业在商业关系变更后继续受益于旧授权,持有者可能面临声誉或路由风险。如果合法的下游通告过早失去授权,客户可能会受苦。ROA 实践越窄越准确,市场对这些过渡的担忧就越少。

保险和信贷市场最终可能会提出类似的问题。即使保险商不直接承保 RPKI,它也可能将路由安全控制视为网络或运营风险的一部分。信贷分析师可能不理解每个 RFC,但可以理解一个其路由可能因账户混乱而变得无效的网络带有连续性风险。RPKI 越成为正常基础设施,其治理失败就越会以普通的商业语言被解读。

这就是官方安慰不足够的原因之一。注册管理机构可以准确描述其 RPKI 服务,但仍然让市场参与者想知道特殊情况如何处理。市场信心来自观察到的行为、公布的期望和可信的纠正。如果持有者相信证书控制是纪律严明的,他们会采用并依赖它。如果他们认为它不确定,他们将对冲、打折或延迟。

运营商对信任层应有的期望

运营商应期望 RPKI 信任层是可用的、有弹性的和受限的。可用意味着普通的 ROA 创建和更正对于实际运行网络的人而言是直接的。一个只有专家才能管理的系统要么被忽视,要么被错误配置。有弹性意味着账户丢失、存储库问题和支持延迟不会立即成为路由危机。受限意味着注册管理机构的控制与特定的证书目的挂钩,不允许扩展到广泛的商业杠杆。

第一个期望是权限清晰。持有者应知道哪些人可以创建、修改或删除 ROA,哪些角色需要更强的批准,以及权限如何在员工流动中保持存续。许多路由故障始于人事问题。知道账户的工程师离开了。公司合并了。服务提供商变更了。创始人去世了。小型运营商出售给更大的集团。RPKI 治理必须足够强大以经受普通的公司生活。

第二个期望是安全变更。网络运营商在时间压力下更改上游、添加源、拆分前缀、迁移客户并修复错误。托管系统应支持这些变更而不鼓励鲁莽的点击。这意味着可读的状态、有用的警告、历史记录以及预览后果的能力。目标不是保护人们免于每个错误。而是使重要错误更难发生,并使恢复路径更清晰。

第三个期望是认可变更期间的连续性。当转移、合并和遗留确认影响验证时,不应被视作纯粹的事务事件。卖方、买方和注册管理机构可能各自有合法关切。然而,路由系统需要一个受控的序列。旧授权不应在合法权限之外存续,但新权限不应在商业和运营现实已经改变后被困在文书工作之后。治理良好的系统会缩小差距。

第四个期望是快速修复。互联网没有耐心。因错误、账户问题或错误的行政行动而变得无效的路由可能立即产生压力。修复渠道应根据路由损害来衡量,而不是根据普通办公室的便利。这对位于首都中心或大型运营商集团之外的网络尤其重要,在那里个人升级可能不可用。

第五个期望是相称的干预。如果注册管理机构必须采取行动,行动应范围狭窄。移除错误的 ROA,而不是每个授权。限制受侵入的账户,而不是不相关的资源集。要求缺失的证据,但避免在风险不值得时破坏可达性。狭窄行动的习惯是将信任层与控制杠杆区分开来的东西。

这些期望对 LACNIC 并非敌意。它们是 RPKI 作为区域基础设施能够成功的条件。一个易于采用但难以挑战的信任层最终会产生不安。一个技术强大且制度谦逊的信任层将成为该地区竞争优势的一部分。

克制作为设计原则

RPKI 治理的核心原则应是克制。注册管理机构应有足够的权限来保护证书的准确性和完整性。它不应拥有不受制约的实际权力来改变路由信心,如果更狭窄的行动就足够的话。克制并不意味着软弱。它意味着使干预与证据和伤害相匹配。

在常规案例中,克制意味着让获认可的持有者快速安全地管理其 ROA。它意味着使账户恢复稳健而不使未经授权的变更容易。它意味着保留变更历史并将其提供给持有者。它意味着确保支持人员能够区分简单的配置错误和有争议的控制问题。

在转移案例中,克制意味着将证书变更与认可的转移状态和运营连续性相协调。系统不应让买方无法路由,也不应在认可已转移后给予卖方无限的表观权限。在政策和安全允许的情况下,应支持过渡安排,因为真实的网络并不总是在一个行政日期上变更。

在执法案例中,克制意味着相称。如果资源显然已不再被持有,证书应反映这一点。如果安全泄露可信,保护性行动可能是紧急的。但如果问题是可纠正的、有争议的或与路由源风险无关,回应应避免不必要的无效化。注册管理机构不应将证书控制变成通用的杠杆。

在争议案例中,克制意味着审查。受影响的方应有被听取的路径,审查者应能够纠正错误而不引起制度尴尬。良好的系统使纠正成为常态。脆弱的系统将纠正视为失败。RPKI 会产生错误,因为人类、公司和网络是混乱的。问题是该机构能否在不损害信任的情况下吸收这些错误。

最后的元素是公众信心。社区不需要看到每份机密文件,但确实需要相信后果重大的行动受标准而非个人或压力支配。公布的原则、事件透明度、证据标准和审查路径都减少了对盲目信任的需求。在路由安全中,如同在金融中,盲目信任是脆弱的。结构化信任是持久的。

LACNIC 的区域利害关系

拉丁美洲和加勒比地区应当希望 RPKI 被广泛采用。当路由劫持更难实施、错误更容易检测,并且网络能够向全球对手展示更强的运营卫生时,该地区受益。内容平台、运营商、金融机构、公共网络、大学、ISP 和云提供商都从更清洁的源验证环境中获益。路由安全方面的公共利益是真实的。

该地区还应希望采用不会使较小的网络依赖于不透明的控制。如果 RPKI 成为一个只有大型运营商才能安全管理的工具,安全收益将是不均衡的。如果托管服务便利但治理不善,小型运营商可能在未理解他们所接受的依赖性的情况下就采用了。如果争议或更正可以在没有快速审查的情况下中断验证,最脆弱的网络将承担最大的风险。

因此,LACNIC 的制度位置是微妙的。它必须鼓励安全,同时保持信心,即证书权限的行使是狭窄的。它必须支持托管便利,同时避免家长作风。它必须纠正错误,而不产生记录或 ROA 可能不可预测地变更的恐惧。它必须处理转移和遗留问题,而不将路由连续性用作隐藏的压力。它必须向政府、运营商和市场表明,区域互联网社区能够负责任地管理一个强大的信任层。

没有必要夸大这一点。最大的风险不是一次引人注目的滥用。而是一种逐渐的看法,即 RPKI 控制在行政上是不确定的。一旦这种看法形成,持有者将把它计入交易价格、延迟采用或坚持私下保证。安全机制仍将存在,但它将无法赢得充分信心。

相反,强有力的治理可以使 LACNIC 的 RPKI 环境成为一项市场资产。一个证书可靠、申诉及时、过渡有序、托管保管纪律严明的地区,对投资者、客户和网络看起来更安全。来自该地区的地址块将携带更少的运营疑虑。较小的提供商将能够采用,而不必担心便利使它们变得脆弱。

狭窄的信任模型更强大

最强的 RPKI 治理模型是狭窄的。它说明系统能做好什么,并拒绝假装它能做一切。它可以显示一个获认可的资源持有者已授权一个路由源。它可以帮助网络拒绝与那份声明相矛盾的路由。它可以使源错误更可见。它不能证明受益所有权、解决每项商业争议、决定收购是否公平,或证明客户关系是合法的。

那种狭窄性并非弱点。它是可信度的来源。干净地回答一个重要问题的系统比模糊其目的的系统更容易信任。如果 RPKI 被视为路由安全机制,治理可以专注于持有者权限、证书完整性、发布可靠性、纠正和审查。如果它被视为广泛的控制工具,围绕稀缺前缀的每项商业冲突都可能试图将证书拉入争议。

LACNIC 可以通过使证书行动与路由和资源认可事实挂钩来保护狭窄模型。除非对资源的认可权限确实已发生改变,否则 ROA 不应成为商业争论中的奖品。吊销不应被用作普通争议解决的替代品。托管保管不应将账户管理转变为无声的商业权力。该机构应能够有效地表明:这个信任层之所以强大,正因为它是受限的。

运营商在维护同样的纪律中扮演角色。他们不应将验证状态解读为对网络的完整品格证明。他们不应假设有效的路由源证明干净的所有权、干净的滥用历史或干净的转移证据。他们应在 RPKI 最强大的地方使用它,然后使用注册管理机构数据、合同、路由历史、滥用记录和公司证据来回答其他问题。理解其信任工具边界的市场将更自信地使用它们。

路由信任需要制度谦逊

RPKI 是互联网路由安全中最重要的实际改进之一。它不应因夸大的恐惧或视每项注册管理机构行动为可疑而被削弱。但它也不应因为它是技术性的就被屏蔽在制度分析之外。RPKI 越成功,其治理就越重要。

问题的核心是谦逊。运营证书基础设施的注册管理机构应承认其行政决定可能影响实时路由、商业价值、客户关系和区域合法性。这种承认应产生克制、透明度和快速纠正。它还应产生持者日常控制与特殊干预之间的明确分离。

对 LACNIC 来说,机会在于使 RPKI 不仅成为一项安全服务,而且成为一项信任服务。这意味着建立信心,确信托管保管不会变成不受约束的控制、吊销将是相称的、ROA 更正将是快速的、转移状态将以连续性方式处理、申诉将快于伤害。路由信任并非仅由密码学所创建。它是在密码学嵌入知道自身权力并限制它的机构中时所创建的。

来源与扩展阅读