2023: Создание стандарта
4 апреля 2023 года Форум по стандартизации в Нидерландах сообщил о внедрении нового механизма интернет-маршрутизации, который практически невозможно взломать. Речь идёт о технологии RPKI, или Resource Public Key Infrastructure (сертификация ресурсов).
Сообщается, что RPKI защищает от ошибочного перенаправления интернет-трафика — злонамеренно или нет — посредством криптографической проверки маршрутов. Стандарт использует цифровые сертификаты для защиты протокола динамической маршрутизации (BGP), который предназначен для обмена информацией о достижимости подсетей между автономными системами. Протокол BGP, наряду с DNS, является одним из главных механизмов, обеспечивающих функционирование интернета.
Стандарт RPKI гарантирует, что трафик проходит через легитимного сетевого оператора, контролирующего IP-адреса на пути назначения. Сертификаты RPKI хранятся централизованно и общедоступны, что позволяет сетевым провайдерам из любой точки мира проверять маршруты интернет-трафика. В сетевых инфраструктурах, которые реализуют RPKI, интернет-трафик гарантированно направляется только по авторизованным путям, что устраняет риски атак «человек посередине» или других вмешательств, связанных с утечками и перехватом данных.
Без RPKI интернет-маршрутизация зависит от доверия сетевых операторов, рекламирующих IP-префиксы, которыми они управляют. Однако при такой модели существуют риски: если оператор ложно объявляет, что он обрабатывает определённый набор IP-адресов, он будет получать трафик, который в противном случае пошёл бы по другому пути. Помимо негативного влияния на производительность (например, задержки при обработке запросов и сбои), подход на основе доверия открывает возможность для перехвата данных, что, в частности, позволяет фальсифицировать IP-адреса для рассылки спама.[1]
Примечания
