RPKI (Resource Public Key Infrastructure)
RPKI is een cryptografische beveiliging voor het internet-routeringssysteem BGP. Daarmee wordt het voor kwaadwillenden veel moeilijker om valse route-informatie in het systeem in te brengen, om op die manier IP-adressen te kapen of internetverkeer om te leiden. En minstens net zo belangrijk: RPKI voorkomt dat vergissingen van netwerkbeheerders verder propageren en belangrijke onderdelen en diensten afkoppelen.
Met RPKI kan de rechtmatige houder van een blok IP-adressen een autoritatieve, digitaal getekende verklaring publiceren met betrekking tot de intenties van de routering vanaf haar netwerk. Deze verklaringen, genaamd Route Origin Authorisations (ROA’s), kunnen andere netwerkbeheerders cryptografisch valideren en vervolgens gebruiken om filters in te stellen. Hiermee filteren routers routes uit die in strijd zijn met de voor de betreffende IP-adressen gepubliceerde ROA’s. RPKI vraagt dus om actie vanuit 2 partijen. Ten eerste moet de houder van de IP-adressen ROA’s publiceren. Ten tweede moet de partij die via Border Gateway Protocol (BGP) routes ontvangt van andere netwerken, filteren op basis van alle wereldwijd gepubliceerde ROA’s, waarbij invalide routes nooit geaccepteerd of geadverteerd mogen worden. BGP Routering valt terug op bestaande (onbeveiligde) routering als RPKI wegvalt. Er is geen onderbreking van de routering wanneer RPKI-data niet beschikbaar zijn.
Hoe voldoe ik hieraan?
Iedere rijkswebsite is bereikbaar via IP-adressen. Het is verplicht om autoritatieve, digitaal getekende verklaringen (Route Origin Authorizations ofwel ROA's) te publiceren voor de IP-adresblokken die gebruikt worden door webservers, mailservers en autoritatieve nameservers.
Wanneer het beheer van webservers, mailservers en autoritatieve nameservers is uitbesteed, dient van de dienstverlener te worden geëist dat Route Origin Authorizations (ROA's) worden gepubliceerd voor de relevante IP-adresblokken.
Correcte implementatie van RPKI voor websites en e-mail is te controleren met de tests op internet.nl.
Is het verplicht?
Ja, dit is verplicht. RPKI staat op de lijst verplichte standaarden (de ‘Pas toe of leg uit’-lijst) van het Forum Standaardisatie.
Meer informatie
Meer informatie over RPKI vind je bij Forum Standaardisatie.
De maandelijkse testresultaten van Internet.nl (inclusief RPKI) voor alle websites van de Rijksoverheid vind je in het Websiteregister Rijksoverheid.
Forum Standaardisatie voert ieder halfjaar een meting uit op de implementatie van deze informatieveiligheid-standaard bij overheidsorganisaties.