Hur data på internet ska skickas avgörs med hjälp av så kallad routing. RPKI är en säkerhetsteknik som minskar risken för att routingdirektiv av illvilja eller misstag leder till att trafiken går fel.
Internet består av tusentals olika nätverk som kopplas ihop och utbyter trafik med varandra – det är ett nätverk av nätverk. Informationen skickas mellan nätverken i många små datapaket. Datapaketen dirigeras med hjälp av så kallad routing. Routingen mellan stora internetoperatörer styrs med hjälp av att routingdirektiv skickas mellan operatörerna.
Dessa direktiv kan ibland vara felaktiga (av misstag eller av illvilja). Det kan leda till att trafiken inte kommer fram till rätt nät.
Vad är BGP?
För att datapaketen ska hitta rätt finns det styrinformation i system på Internet. Ett protokoll som heter BGP skickar ut information om hur routingen ska se ut. Det fungerar ungefär som ett system för att annonsera vägar: En router kan berätta för andra routrar vilka IP-adresser som finns på näten bakom routern.
Men BGP saknar en inbyggd säkerhetskontroll, vilket gör att ett nätverk kan annonsera IP-adresser som det egentligen inte ska annonsera. Det kan leda till att trafik styrs om och tar fel väg. Det kallas route hijacking eller BGP-kapning. Även om det ofta sker av misstag finns risken att tekniken missbrukas av illvilja.
Konsekvenserna av en BGP-kapning kan vara att användare inte kan nå en tjänst, eller att prestandan försämras eftersom trafiken tar omvägar. I värsta fall kan trafiken också hamna hos fel aktör, vilket ökar risken för avlyssning eller manipulation.
RPKI är ett digitalt intyg för rätt väg
RPKI är ett system som gör det möjligt att kryptografiskt verifiera att en nätverksoperatör har rätt att annonsera ut en viss IP-adress. Kort sagt hjälper RPKI till att besvara frågan ”Har det här nätverket verkligen rätt att säga att de ansvarar för den här adressen?”.
Det görs genom att man skapar digitala intyg som kallas ROA. Ett ROA-intyg beskriver vilka nätverk som har rätt att annonsera ett visst IP-prefix.
När en organisation som äger IP-adresser aktiverar RPKI publicerar den ROA-information via sin RIR. Det är en organisation som ansvarar för tilldelning och förvaltning av IP-adresser, till exempel RIPE NCC för Europa och norra Asien.
Nätverk som tar emot BGP-annonseringar kan sedan kontrollera dessa mot RPKI-data och avgöra om de är giltiga (valid) eller inte (invalid), eller om information saknas (Not found). Om en annonsering är "invalid" kan nätverket välja att blockera den. På så sätt minskar risken att en felaktig rutt får genomslag på internet.
RPKI gör internet säkrare
RPKI gör internet mer robust och tryggt genom att minska risken för felstyrd trafik. Det är särskilt viktigt för aktörer som driver kritiska tjänster, men nyttan sprider sig till alla användare när fler operatörer inför tekniken. RPKI är ett stort steg mot ett säkrare internet.
Förkortningar
Här listar vi några av förkortningarna i texten och vad de betyder. Du kan läsa mer om respektive begrepp på Wikipedia.
RPKI – Resource Public Key Infrastructure
BGP – Border Gateway Protocol
ROA – Route Origin Authorization
RIR – Regional Internet Registry