<br>
Many apologies...I'm no Stan Barber, but still doing my best to keep up<br>
with the note-taking.  ^_^;;<br>
<br>
Matt<br>
<br>
<br>
<br>
Slides are on Randy's site at <br>
<a href="http://rip.psg.com/~randy/060214.nanog-pki.pdf">http://rip.psg.com/~randy/060214.nanog-pki.pdf</a><br>
 <br>
What I want for Eid ul-Fitr<br>
Randy Bush<br>
randy at <a href="http://psg.com">psg.com</a><br>
<br>
Definition of Eid ul-Fitr; end of Ramadan; breaking<br>
of the fasting period, and of all evil habits.<br>
Roughly October 24th this year.<br>
<br>
10 years ago Randy plead for people to use IRR;<br>
he gives, it didn't work, it has bad data, it<br>
doesn't work.  Let's get rid of it.<br>
<br>
Routing security is what we need.<br>
<br>
Routing security gap<br>
assume router has been captured.<br>
routing security (not router) is a major problem.<br>
<br>
<a href="http://rip.psg.com/~randy/060119.janog-routesec.pdf">http://rip.psg.com/~randy/060119.janog-routesec.pdf</a><br>
<br>
need PKI, storing and passing and signing certificates.<br>
<br>
Public Key Infrastructure<br>
PKI Database<br>
RIR Certs<br>
ISP Certs<br>
End Site Certs<br>
IP Addresss Attestations<br>
ASN Attestations<br>
<br>
IP and AS Attestations<br>
specifies identity == pyblic ckey of recipient<br>
signed by allocator's private key<br>
Follows allocation hierarchy<br>
 IANA (or whomever) to RIR<br>
 RIR to ISP<br>
 ISP to downstream ISP or end user enterprise<br>
<br>
IP allocation example<br>
 IANA to RIR<br>
 S.iana (192/8, rir)<br>
 RIR allocatees to ISP<br>
 S.rir(192.168/16)<br>
and so on down the chain.<br>
Each chain uses the private key to sign the certs<br>
to hand down the chain.<br>
<br>
ISP/End-site-certs<br>
May be acquired anywhere.  Don't have to be chained to<br>
a single master organization, and can use the same one<br>
for multiple RIRs, orgs, etc.<br>
RIRs can issue as a service for members who don't get<br>
them anywhere.<br>
They need no attestation because they are only used<br>
 in business transactions where they are exchanged and<br>
 managed by contract, or<br>
 Bound to IP or ASN attestations by the RIRs or upstream<br>
  ISPs.<br>
Big ISPs may use an ARIN identity for an APNIC allocation<br>
 or business transaction.<br>
<br>
Since the keys are acquired separately, doesn't matter<br>
where the certs come from, or where used.<br>
<br>
RIR Identity similar.<br>
it's their public key<br>
can get it from 'above', RIR< NRO, IANA, or they can<br>
even self cert.<br>
<br>
No provision for revocation, however.<br>
<br>
PKI Interfaces/Users<br>
Nice slide showing the interrrelationships; go see<br>
the slides for it, I won't try to render it in ASCII<br>
in realtime.<br>
<br>
The certificates are directly exchanged as part of<br>
the business transaction when goods (IPs, ASNs, etc)<br>
are exchanged.<br>
<br>
Goal is to have formally verifiable route <br>
attestations, so want replicas of data near routers<br>
to be used to determine validity of route origination<br>
and propagation.<br>
<br>
Transacting with PKI<br>
RFC2585 descripts FTP and HTTP transport for PKI<br>
no need for transport security!<br>
<br>
Tools for RIRs<br>
Generate and receive ISP certs<br>
Receive ASN and IP space attestations from upstairs<br>
<br>
Tools for ISPs<br>
generate/get certs<br>
register role certs<br>
generate certs for downstreams<br>
sign allocations to downstreams<br>
<br>
Open Issues<br>
Coordination of updates<br>
one central repository not feasible<br>
LDAPv3 RFC3377 and RFC2829 for authentication<br>
Cert/key rollover and revocatoin not covered<br>
May require a separate and secured communication<br>
 channel<br>
<br>
NSF via awared ANI-0221435<br>
Steve Bellovin & JI<br>
<br>
>From microphone, are there TTLs on certs?  Yes, which is<br>
why ISP certs are separated out.  Addresses from ARIN are<br>
only "yours" as long as you keep paying ARIN.<br>
Tie certs to contract terms.  But the ISP identity cert<br>
is yours, nobody else should have control over rollover<br>
and expiration.<br>
<br>
APNIC is working to have web pges<br>
<br>
Andrew Dole, Boeing; how to get funded--Randy will take<br>
cash donations.  Andrew thinks it'll take 10 million to<br>
get the ball rolling.<br>
Randy doesn't think that's the problem.  The operator<br>
community would prefer to see a rigorously correct and<br>
verifiable solution with reasonable security infrastructure<br>
rather than one more hack on the IRR.<br>
Second question.  What is forum to discuss and nail down<br>
the details?  He'll be at APNIC in 2 weeks; for this region<br>
the ARIN meeting in Montreal, and this meeting is good<br>
too.<br>
Nobody seems to be sure where the right place to do this<br>
is.  But Randy thinks the important part is to SEND the<br>
message, that there is a valid path.<br>
<br>
Vince Fuller.  Soliciting input from this group is a<br>
good thing, but be more targetted.  Figure out why the<br>
previous efforts failed, and target them.<br>
Chris Morrow, Ted Seely...Randy targets some specific<br>
people in the audience.<br>
<br>
Chris Morrow notes that one challenge he faces is<br>
being able to verify if filters are correct.  <br>
Randy notes the ROUTER will verify the validity itself.<br>
Chris feels doing it in OSS system is safer.<br>
<br>
RS--how do you deal with crufty stuff?  RIRs and<br>
community will have to deal with that, he's just<br>
talking about giving tools to make it possible.<br>
<br>
Sandy Murphy, Sparta--Randy, you've said there's no <br>
prefix lists needed for this; but this could be used <br>
for building filter lists, or checking updates, or for<br>
tracking customers who call in with issues, etc.<br>
this is a first step for a whole BUNCH of things.<br>
So no matter what else we want to build on top of<br>
it, this really is the first level of the foundation<br>
that needs to be built.<br>
<br>
Beer and Gear at 5:30 directly beneath us today.<br>
<br>
Surveys will be online this afternoon--fill it out<br>
today or tomorrow!!<br>
Especially give feedback on M-W vs Sun-Tue format;<br>
next one will be M-W, then S-Tu for ARIN, after<br>
that there will be flexibility.<br>
<br>
Head for lunch, back by 2.<br>
<br>
<br>
<br>
<br>