Các câu hỏi đáp về RPKI | Trung Tâm Internet Việt Nam (VNNIC)
BỘ THÔNG TIN VÀ TRUYỀN THÔNG
TRUNG TÂM INTERNET VIỆT NAM - VNNIC

Các câu hỏi đáp về RPKI

1. Tài nguyên là gì?
Tài nguyên là một nhóm các địa chỉ Internet (IP) hoặc Số hiệu mạng (ASN) xác định duy nhất một máy tính hoặc mạng trên Internet. Các bộ định tuyến sử dụng những tham số này để định tuyến chuyển lưu lượng Internet đến các thiết bị trên Internet.
2. Chứng chỉ tài nguyên là gì?
Chứng chỉ tài nguyên là một tệp điện tử đóng vai trò là bằng chứng cho thấy tài nguyên đã được chuyển giao cho một cá nhân hoặc tổ chức. Các chứng chỉ này liệt kê một tập hợp các tài nguyên số Internet (địa chỉ IPv4, địa chỉ IPv6 và ASN) được liên kết với một thực thể có quyền sử dụng hợp pháp tài nguyên. Chứng chỉ tài nguyên cung cấp phương tiện xác nhận liên quan đến phân bổ tài nguyên bằng các thuật toán mã hóa đã được tiêu chuẩn hóa. Các chứng chỉ tài nguyên không chứa thông tin nhận dạng về chủ sở hữu tài nguyên mà việc xác thực quyền sở hữu hợp pháp tài nguyên được thực  hiện thông qua việc chủ thể nắm giữ tài nguyên chứng minh tính hợp pháp quyền sử dụng của mình bằng cách sử dụng khóa riêng của họ để ký thông tin xác thực lên một Bản ghi xác thực khởi tạo tuyến (ROA). Các bên liên kết sau đó có thể xác thực các đối tượng đã ký này bằng khóa công khai tương ứng.
3. Cơ sở hạ tầng khóa công khai (PKI) là gì?
PKI là một cơ sở hạ tầng đã được tiêu chuẩn hóa để tạo, quản lý, phân phối, sử dụng, lưu trữ và thu hồi chứng chỉ số.
4. Cơ sở hạ tầng khóa công khai tài nguyên (RPKI) là gì?
RPKI là một dịch vụ cho phép người dùng xác nhận quyền sử dụng không gian địa chỉ IPv4 và IPv6 của mình, qua đó giúp xác thực thông tin định tuyến Internet. Sử dụng các chứng chỉ mã hóa có thể kiểm chứng được, RPKI cho phép các chủ sở hữu địa chỉ IP tạo ra các bản ghi xác thực thông tin định tuyến (ROA) tuyên bố công khai xác định các số hiệu mạng ASN được ủy quyền để quảng bá thông tin định tuyến cho các tiền tố địa chỉ IP. Các bản ghi ROA này cho phép các nhà khai thác mạng đưa ra quyết định định tuyến chính xác và an toàn.
5. ROA là gì?
Route Origination Authorization – ROA(bản ghi xác thực khởi tạo tuyến) là một đối tượng được ký số xác thực chi tiết quyền được quảng bá thông tin định tuyến của một số hiệu mạng (AS) đối với một nhóm vùng địa chỉ IP nhất định.
6. RPKI giúp tăng cường tính an toàn, bảo mật thông tin định tuyến như thế nào?
RPKI là một hệ thống hạ tầng khóa công khai cung cấp những công cụ mở rộng để xác thực quyền được sử dụng các vùng địa chỉ Internet. Ví dụ khi khách hàng của ISP yêu cầu quảng bá định tuyến một vùng địa chỉ nào đó, nhà cung cấp (ISP) có thể yêu cầu tổ chức khởi tạo các bản ghi có xác thực theo cấu trúc RPKI, qua đó xác thực được quyền sở hữu vùng địa chỉ. Bên cạnh đó, khi cấu hình chính sách định tuyến, các nhà mạng có thể chấp nhận dữ liệu quảng bá định tuyến có ký xác thực (thông qua ROA) thay vì chấp nhận thông tin thông thường.
7. Mô hình lọc định tuyến hiện tại đang được áp dụng như thế nào?
Hiện nay mỗi nhà cung cấp có cách thức riêng để xây dựng chính sách lọc định tuyến của mình. Một số tổ chức sử dụng thông tin khai báo thông thường trong cơ sở dữ liệu quản lý thông tin định tuyến (ví dụ RADB hoặc cơ sở dữ liệu của các tổ chức cấp vùng RIR). Một số khác cung cấp giao diện cho khách hàng để khách hàng tạo thông tin quảng bá. Với yêu cầu kết nối hiện nay thì xây dựng chính sách lọc định tuyến nhanh và hiệu quả là công cụ tối cần thiết để đảm bảo hoạt động chính xác của Internet, giúp giảm nguy cơ tấn công định tuyến mà vẫn đáp ứng được tính linh hoạt cần thiết khi có các thay đổi trong mô hình kết nối mạng. Công cụ hỗ trợ tạo bộ lọc định tuyến trên thông tin RPKI sẽ giúp các tổ chức vận hành mạng lưới đạt được yêu cầu nêu trên. 
8. Liệu RPKI có thể thay thế được các cơ sở dữ liệu định tuyến (Internet Routing Registry – IRR)?
RPKI là hệ thống hạ tầng khóa công khai tài nguyên, được sử dụng để hỗ trợ tạo chính sách lọc định tuyến. RPKI hiện không thay thế IRR, do hệ thống RPKI không thực thi một số chức năng gần đây được phát triển trong IRR, ví dụ như chính sách định tuyến của ASN. Nhóm SIDR của IETF hiện đang phát triển tiêu chuẩn kỹ thuật để có thể ký số trong Routing Policy Specification Language (RPSL), ngôn ngữ của đối tượng trong cơ sở dữ liệu định tuyến IRR, sử dụng các chứng chỉ tài nguyên của hệ thống RPKI. 
9. Tấn công chiếm dụng tài nguyên (resource hijacking) là gì?
Các cuộc tấn công chiếm đoạt tài nguyên là việc quảng bá trái phép các vùng địa chỉ hoặc số hiệu mạng (AS) trên bảng định tuyến toàn cầu, từ các tổ chức không có quyền sở hữu tài nguyên. Hiện nay, các cuộc tấn công có hại nhất là đối với các vùng địa chỉ đang được sử dụng tích cực, đặc biệt là khi thực hiện bằng cách quảng bá định tuyến các vùng địa chỉ cấp dưới (more specific routing). Một trong những vụ việc nổi tiếng là vụ việc chiếm dụng Nguyên nhân của các vụ việc chiếm đoạt tài nguyên không phải luôn luôn xuất phát từ mục tiêu tấn công. Đôi khi các lỗi vận hành và bảo trì mạng lưới đã dẫn đến các nhầm lẫn trong quảng bá thông tin định tuyến. Một trong những ví dụ của hình thức này là việc quảng bá định tuyến các vùng địa chỉ chưa được phân bổ bởi RIR, vốn xảy ra rất thường xuyên. Tùy thuộc chính sách lọc định tuyến của các nhà cung cấp dịch vụ, phạm vi quảng bá định tuyến không hợp lệ có thể diễn ra trong một phạm vi giới hạn nhất định. Tuy nhiên trong nhiều trường hợp, tác động của vụ việc đã ở mức toàn cầu. Nói chung khi gặp phải tình huống quảng bá chiếm dụng tài nguyên, điều duy nhất mà nhà cung cấp dịch vụ Internet (ISP) có thể làm là liên hệ với kẻ xâm nhập và yêu cầu họ chấm dứt quảng bá trái phép.
10. Tổ chức tôi có thể truy cập hệ thống RPKI như thế nào để tạo bản ghi ROA và đăng ký chứng chỉ số?
Trung tâm Internet Việt Nam (VNNIC) sẽ giúp các thành viên địa chỉ khai báo các bản ghi xác thực khởi tạo tuyến. Do vậy thành viên địa chỉ khi có nhu cầu khai báo các bản ghi ROA sẽ gửi yêu cầu tới VNNIC kèm các thông tin cần thiết. Thông tin hướng dẫn cách thức gửi yêu cầu tới VNNIC tham khảo tại Website www.diachiip.vn .
11. Thiết bị định tuyến của tôi có phải hỗ trợ RPKI hay không?
Để tạo các chứng chỉ và bản ghi ROA, tổ chức không nhất thiết cần các thiết bị định tuyến có hỗ trợ RPKI. Tuy nhiên, trong trường hợp tổ chức vận hành mạng lưới muốn sử dụng các thông tin RPKI để xây dựng chính sách lọc định tuyến cho mạng lưới của mình thì bắt buộc phải có các bộ định tuyến hỗ trợ RPKI và có phần mềm hỗ trợ việc chiết xuất thông tin xác thực RPKI (thiết bị RPKI validator).
12. Khi sử dụng RPKI liệu có phải mỗi tổ chức đều phải duy trì một trung tâm chứng thực (Certificate Authority - CA)?
Các tổ chức cấp vùng (RIR) duy trì hai chế độ "delegated- chuyển giao" và "lưu trữ - hosted". Theo đó các thành viên địa chỉ có thể lựa chọn để hoặc sử dụng các công cụ giao diện Web của RIR để được cấp chứng chỉ, tạo bản ghi xác thực định tuyến (ROA) mà không cần tự mình duy trì một Certificate Authority (CA) (chế độ hosted), hoặc đăng ký chuyển giao để duy trì hệ thống xác thực, tạo bản ghi ROA riêng của mình và tích hợp dữ liệu vào hệ thống cấp trên của RIR.
13.  Tôi có thể tìm các phần mềm hỗ trợ chiết xuất thông tin xác thực RPKI ở đâu?
Tổ chức có thể sử dụng một số phần mềm được cung cấp miễn phí hiện nay như:
- Phần mềm RPKI Validator của RIPE NCC: cung cấp tại  www.ripe.net
- Phần mềm rcynic tại: rpki.net
- Phần mềm RPSTIR tại: http://sourceforge.net
14. Những thiết bị định tuyến nào hỗ trợ RPKI?
Phần lớn nhà cung cấp thiết bị định tuyến hiện nay đã hỗ trợ RPKI trên các sản phẩm của mình, gồm Cisco System, Juniper Network, Quagga, Mikrotik, Huawei.
15. Các tiêu chuẩn của cần tuân theo để xây dựng hệ thống RPKI chuyển giao?
Gồm các tiêu chuẩn đã phát triển bởi Internet Task Task Force (IETF), cụ thể:
- RFC 3986: Uniform Resource Identifier (URI): Cú pháp thông dụng.
- RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.
- RFC 6481: A Profile for Resource Certificate Repository Structure.
- RFC 6486: Manifests for the Resource Public Key Infrastructure (RPKI).
- RFC 6492: A Protocol for Provisioning Resource Certificates.