<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Tue, Sep 18, 2018 at 12:04 PM Owen DeLong <<a href="mailto:owen@delong.com">owen@delong.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><br><div><br><blockquote type="cite"><div>On Sep 18, 2018, at 11:06 AM, Christopher Morrow <<a href="mailto:morrowc.lists@gmail.com" target="_blank">morrowc.lists@gmail.com</a>> wrote:</div><br class="m_6896921763209986157Apple-interchange-newline"><div><div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Tue, Sep 18, 2018 at 10:36 AM Job Snijders <<a href="mailto:job@ntt.net" target="_blank">job@ntt.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Owen,<br>
<br>
On Tue, Sep 18, 2018 at 10:23:42AM -0700, Owen DeLong wrote:<br>
> Personally, since all RPKI accomplishes is providing a<br>
> cryptographically signed notation of origin ASNs that hijackers should<br>
> prepend to their announcements in order to create an aura of<br>
> credibility, I think we should stop throwing resources down this<br>
> rathole.<br>I think you underestimate how valuable RPKI based Origin Validation<br>
(even just by itself) is in today's Internet landscape.<br>
<br>
If you are aware of other efforts or more fruitful approaches please let<br>
us know.<br>
<br></blockquote><div><br></div><div>Perhaps said another way: </div><div><br></div><div>"How would you figure out what prefixes your bgp peer(s) should be sending you?"<br>   (in an automatable, and verifiable manner)</div><div><br></div><div>-chris<br></div></div></div>
</div></blockquote></div><br><div>In theory, that’s what IRRs are for.</div><div><br></div></div></blockquote><div><br></div><div>it's not worked out so far.</div><div>there's no real authorization/authentication of note on the data set via the irr.</div><div>you have no real way of knowing that 'as12 should be announcing <a href="http://157.130.0.0/16">157.130.0.0/16</a>' ... except by chasing the arin/ripe/etc records today, something that those orgs stamp and which machines could validate without people using eyeballs would sure be nice... Oh, that's what RPKI is supposed to provide.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div></div><div>In practice, while they offer better theoretical capabilities if stronger authentication were added, the current implementation and acceptance leaves much to be desired.</div><div></div></div></blockquote><div><br></div><div>and has for approximately 30 yrs... I don't imagine magically it's going to get better in the next 30 either.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div> <br></div></div></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div></div><div>However, even in theory, RPKI offers nothing of particular benefit even in its best case of widespread implementation.</div><div><br></div></div></blockquote><div><br></div><div>"rir says owen can originate route FOO"</div><div>"ROA for <a href="http://157.130.1.0/24">157.130.1.0/24</a> says OWEN can originate"</div><div><br></div><div>those seem like valuable pieces of information. Especially since I can know this through some machine parseable fashion.</div><div> </div><div>-chris</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div></div><div>Owen</div><div><br></div></div></blockquote></div></div>