Driehonderd van de zevenduizend providers die onder RIPE NCC vallen, maken gebruik van de Resource Public Key Infrastructure (RPKI). Dat zegt product manager Alex Band van deze internetorganisatie. RPKI maakt het mogelijk om te kiezen tussen conflicterende ip-routes op basis van echtheidscertificaten (secure routing).
'Via RPKI-certificaten kunnen providers controleren of een andere provider echte de legitieme eigenaar is van een bepaald adresblok', vertelt Alex Band. Hij is productmanager bij RIPE NCC. Dat is de vereniging die de ip-adressen verdeelt onder de zevenduizend providers in Europa, Rusland, Midden-Oosten en delen van Centraal Azië. Iedere internet service provider in die regio, of deze zich in Wladiwostok, Lissabon, Dubai of Amsterdam bevindt, neemt voor nieuwe blokken met ip-adressen contact op met deze organisatie aan de Singel in Amsterdam.
Internetorganisatie RIPE is in januari 2011 begonnen met het uitreiken van RPKI-certificaten aan de netwerken van internet service providers. De organisatie hoopt providers ervan te kunnen overtuigen internetverkeer alleen door te sturen aan gecertificeerde netwerken.
Dat wordt steeds belangrijker, aldus Band. 'Vanaf de jaren tachtig weet de internetgemeenschap al dat routingprotocol BGP eigenlijk beveiligd moet worden. Sinds de millenniumwisseling wordt erover gediscussieerd, maar het is een moeilijke discussie omdat providers hun autonomie niet willen verliezen. Het internet is oneindig veel groter en complexer geworden, en daarmee de belangen. Het wordt steeds belangrijker dat we een solide infrastructuur hebben, zodat het internet altijd blijft draaien.'
Internet moet solide zijn
Daar komt bij, dat nu de IPv4-adressen aan het opraken zijn, de kans toeneemt dat providers claimen ip-adressen te bezitten die nooit aan hen zijn uitgedeeld, aldus Band. Daarnaast is het een kwestie van tijd voordat internetcriminelen het routingsysteem van het internet gaan misbruiken, zo vertelde onderzoeker Benno Overeinder van NLnet Labs eerder aan Computable.
Ja, routing met RPKI is nodig.
Nee, ik wil absoluut niet dat Amerikaanse bedrijven de certificaten beheren, want ik wil niet nog een keer meemaken dat websites die onder het Europese gezag vallen, door de Amerikaanse douane onderuit gehaald worden. Dit is geen theorie, dit hebben ze meermalen gedaan.
Dus: nee, nee, nee geen RPKI, maak RPKI-EUR die door Europa beheerd wordt.
Marcus. Ten eerste is RPKI een globale, open IETF standaard. Ten tweede worden de certificaten voor Europa, het Midden Oosten en Centraal Azië uitgegeven door de RIPE NCC, een Nederlandse organisatie. Als laatste is het niet mogelijk voor overheden om via het intrekken van certificaten een netwerk uit de lucht te halen: het biedt netwerkbeheerders de mogelijkheid beslissingen te nemen op basis van de aanwezigheid van een certificaat. De definitieve beslissing en eindverantwoordelijkheid ligt altijd bij de netwerkbeheerder, de Regional Internet Registry biedt slechts de infrastructuur.