<div>Here's some more literature: <a href="https://blog.cloudflare.com/rpki-and-the-rtr-protocol/" title="https://blog.cloudflare.com/rpki-and-the-rtr-protocol/">https://blog.cloudflare.com/rpki-and-the-rtr-protocol/</a></div><br><div>Eric</div><div class="gmail_quote_attribution">On Aug 20 2020, at 10:00 am, Dovid Bender <dovid@telecurve.com> wrote:</div><blockquote><div><div>Fabien,</div><div><br></div><div>Thanks. So to sum it up there is nothing stopping a bad actor from impersonating me as if I am BGP'ing with them. It's to stop any other AS other then mine from advertising my IP space. Is that correct? How is verification done? They connect to the RIR and verify that there is  a cert signed by the RIR for my range?</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div class="gmail_attr"><div>On Thu, Aug 20, 2020 at 9:51 AM Fabien VINCENT (NaNOG) via NANOG <<a href="mailto:nanog@nanog.org" title="mailto:nanog@nanog.org">nanog@nanog.org</a>> wrote:</div></div><blockquote><div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif">Hi,</font></font></div><br><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif">In fact, RPKI does nothing about AS Path checks if it's your question. RPKI is based on ROA where signatures are published to guarantee you're the owner of a specific prefix with optionnal different maxLength from your ASN. </font></font></div><br><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif">So if the question is about if RPKI is sufficient to secure the whole BGP path, well, it's not. RPKI guarantee / permit only to verify the ressource announcements (IPvX block) is really owned by your ASN. But even if it's not sufficient, we need to deploy it to start securing resources', not the whole path.</font></font></div><br><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif">Don't know if it replies to your question, but you can read also the pretty good documentation on RPKI here : </font></font><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif"><a href="https://rpki.readthedocs.io/en/latest/rpki/introduction.html" title="https://rpki.readthedocs.io/en/latest/rpki/introduction.html">https://rpki.readthedocs.io/en/latest/rpki/introduction.html</a></font></font><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif"> or the corresponding RFC ;)  </font></font></div><br><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif">Le 20-08-2020 15:20, Dovid Bender a écrit :</font></font></div><br><blockquote><div><div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif">Hi,</font></font></div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif"> </font></font></div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif">I am sorry for the n00b question. Can someone help point me in the right direction to understand how RPKI works? I understand that from my side that I create a key, submit the public portion to ARIN and then send a signed request to ARIN asking them to publish it. How do ISP's that receive my advertisement (either directly from me, meaning my upstreams or my upstreams upstream) verify against the cert that the advertisement is coming from me? If say we have</font></font></div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif">Medium ISP (AS1000) -> Large ISP (AS200)</font></font></div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif">in the above case AS200 know it's peering with AS1000 so it will take all advertisements. What's stopping AS1000 from adding a router to their network to impersonate me,  make it look like I am peering with them and then they re-advertise the path to Large ISP?</font></font></div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif"> </font></font></div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif">Again sorry for the n00b question, I am trying to make sense of how it works.</font></font></div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif"> </font></font></div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif">TIA.</font></font></div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif"> </font></font></div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif">Dovid</font></font></div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif"> </font></font></div></div></div></blockquote><div><div><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif">--</font></font></div><code><pre style="background-color:rgba(0,0,0,0.05);padding:0.2em 1em"><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif"><font style="font-family:monospace"><strong>Fabien VINCENT</strong></font></font></font></pre></code><code><pre style="background-color:rgba(0,0,0,0.05);padding:0.2em 1em"><font style="font-size:10pt"><font style="font-family:Verdana, Geneva, sans-serif"><font style="font-family:monospace"><em>@beufanet</em></font></font></font></pre></code></div></div></blockquote></div></blockquote>