On 02/04/2012 06:38 PM, Stephane Bortzmeyer wrote:
Primo, je ne crois pas que le RIPE-NCC soit sous l'autorité du
FBI. C'est plutôt la Koninklijke Marechaussee qu'il faut craindre :-)
Bien oui justement, je ne pense pas que le RIPE-NCC, ni aucun autre RIR
en fassent
plus qu'un registrar quand l'Inspecteur Harry débarquera dans ses locaux
avec son 357.
C'est déjà le cas dans la réalité d'aujourd'hui, mais aujourd'hui
l'inspecteur Harry est
encore contraint de faire le tour de tous les opérateurs un à un sous sa
juridiction,
(ou son influence) pour obtenir la même chose.
RPKI simplifiera le travail en factorisant les sites à visiter vers 1
seul ou quelques un.
L'équipe du FBI pourra être plus petite :)
Ensuite, que pensez-vous des approches citées dans mon article pour
diminuer le risque ? Si elles ne sont pas suffisantes, ou bien ont des
failles, il est temps de prévenir le RIPE-NCC avant que le déploiement
ne soit fini et figé.
Actuellement, l'Internet est un peu à l'image d'une carte politique du
Monde, une juxtaposition de politiques privées appliqués aux réseaux.
BGP-RPKI est un outil qui facilitera l'uniformité de ce patchwork de
politiques
vers une seule.
Maintenant, les contraintes cryptographiques imposent, ou orientent vers 1
seul point d'autorité. Ce point là sera forcement sous 1 seule autorité
politique
ou quelques une et elle(s) s'imposera/ont aux autres pouvoir politique.
Je trouve qu'on a déjà un soucis politique avec la structure en arbre du
DNS,
pas besoin d'en ajouter un second avec BGP.
S'il existe une solution de crypto sans cette structure en arbre, elle
serait mieux.
Quant à prévenir le RIPE-NCC que les arbres ont une faiblesse à la
racine, je pense
qu'ils le savent déjà et que c'est clairement assumé. Le corolaire de
prendre du
grade dans n'importe quelle activité c'est d'avoir des comptes à rendre
sur son
activité. Le RIPE-NCC et les autres RIR sont volontaires pour ce job, je
me vois mal
gâcher leurs ambitions.
Personnellement (mais je ne suis pas opérateur réseaux), la plus
raisonnable me semble être de ne jamais rejeter une annonce (même s'il
y a un ROA et qu'il est invalide) pour laquelle il n'existe pas de
route alternative. Cette solution empêche les attaques type Pakistan
Telecom (puisque le routeur verra l'annonce légitime de YouTube) mais
ne permet pas de se servir de la RPKI pour couper MegaUpload
(puisqu'il n'existe alors pas de route alternative)
Vous pourriez le faire si vous n'avez pas un Hortefeux ou un Guéant qui
vous
empêcheront de le faire. En Chine, ils ont les deux au carré. Il ne
faut pas oublier
que les opérateurs ont des contraintes de licences à respecter. C'est un
efficace
moyen de pression, RIM et son Blackberry peut en parler dans le cas de
l'Inde et
d'autres pays.
Et ce n'est pas dit qu'une annonce invalide parvienne à tout le monde.
Je suppose même qu'elle ne passera pas par défaut le premier opérateur qui
utilisera RPKI. Et transposé en DNSSEC, converser un record invalide,
cela
a-t-il un sens ? Pas convaincu que ce soit une bonne idée.
Si j'ai bien compris, ces RFC apportent sécurité et substitue
décentralisation
par centralisation. Quitte à être sûr de causer à la bonne personne,
j'aurais préféré
passer à l'acte, vérifier que c'est bien vrai sur la base d'une crypto
avec une
autorité _choisie_ dans une multitude d'autorités et pas une _imposé_ à
la destination
finale, et récolter au passage quelques informations de performance, des
fois que
ces informations de performance puissent intervenir dans le choix
d'accepter ou
de rejeter une route.
Je regrette ce choix de centralisation face à la performance. Mais cela
correspond
certainement à une demande qui est devenue pressante surtout depuis le
détournement de trafic par Pékin. Le routage est devenu stratégique et la
centralisation est un bon moyen d'en tenir la bride et d'intervenir
rapidement
dans tout l'Internet.
Mon avis politique, parce que RPKI est une question politique, c'est de
ne pas
remettre cet part de souveraineté à un autre pays. Et là, chaque AS dans le
monde cèdera une part à une entité qui pour l'immense majorité sera à
l’extérieur de son pays.
La crypto, c'est bien mais c'est une arme, et il faut éviter de se tirer
une balle
dans le pied avec.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
