Première rédaction de cet article le 2 mars 2009
On le sait bien, le système de routage de l'Internet est très peu fiable, comme l'a montré par exemple le détournement du trafic de YouTube par Pakistan Telecom. Pourquoi ne pas sécuriser les annonces BGP par des signatures cryptographiques, comme on authentifie le DNS avec DNSSEC ? Il y a plusieurs raisons à cela, mais l'une est souvent oubliée : il n'y a pas de moyen facile de « prouver » qu'on est bien le titulaire d'une ressource Internet, par exemple une adresse IP.
Avant donc de vouloir transformer BGP en protocole utilisant la cryptographie, il faut donc d'abord distribuer aux titulaires de ressources numériques (adresses IP, numéros de systèmes autonomes, etc). Fin 2008, l'APNIC a été le premier RIR à avancer dans cette direction, en annonçant un logiciel de gestion de PKI de ressources, rpki-engine, et en prévoyant de commencer la distribution de certificats. Les extensions à X.509 pour ces ressources sont normalisées dans le RFC 3779.
Notons tout de suite que le déploiement ne survient pas maintenant par hasard : les adresses IPv4 s'épuisent et tout le monde s'attend à un développement du marché de ces adresses. Une pré-condition d'un tel marchéb étant l'équivalent des titres de propriété du monde physique, on voit que BGP ne sera pas le seul client de ces nouveaux certificats...
Un résumé du projet figure dans l'article Detecting Internet routing "lies". Un article très détaillé est Resource Certificates.
En février 2012, une nouvelle étape a été franchie, dans la voie de l'utilisation de ces certificats, avec la sortie des RFC spécifiant leur utilisation pour sécuriser le routage.
Version PDF de cette page (mais vous pouvez aussi imprimer depuis votre navigateur, il y a une feuille de style prévue pour cela)
Source XML de cette page (cette page est distribuée sous les termes de la licence GFDL)