
<div dir="ltr">To John and the others that have responded thanks for all the explanations. It makes things a lot clearer now.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Aug 20, 2020 at 10:15 AM John Kristoff <<a href="mailto:jtk@depaul.edu">jtk@depaul.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, 20 Aug 2020 13:20:53 +0000<br>

Dovid Bender <<a href="mailto:dovid@telecurve.com" target="_blank">dovid@telecurve.com</a>> wrote:<br>

<br>

> How do ISP's that receive my advertisement (either directly from me,<br>

> meaning my upstreams or my upstreams upstream) verify against the<br>

> cert that the advertisement is coming from me?<br>

<br>

Nothing about your BGP announcements needs to change.  Through ARIN you<br>

create one or more route origin authorizations (ROAs) with your public<br>

key.  ARIN can even do all the work of creating the key pair for you if<br>

you like.  You might try creating test ROAs in their operational test<br>

and evaluation environment (OTE) environment to see how this process of<br>

creating a ROA works.<br>

<br>

ISPs obtain these ROAs apart and separately from the BGP  system.  ISPs<br>

that fetch your ROA(s) and other RPKI objects through the RPKI<br>

ecosystem, perform validation, and communicate AS origin and prefix<br>

information contained in these ROAs to BGP routers.  At that point<br>

this information is used to inform the route decision process,<br>

comparing received routes with processed ROAs as part of a route<br>

import policy.<br>

<br>

> If say we have Medium ISP (AS1000) -> Large ISP (AS200) in the above<br>

> case AS200 know it's peering with AS1000 so it will take all<br>

> advertisements. What's stopping AS1000 from adding a router to their<br>

> network to impersonate me,  make it look like I am peering with them<br>

> and then they re-advertise the path to Large ISP?<br>

<br>

In a nutshell, today, ISPs will only be able to validate the prefix and<br>

origin AS you publish in the ROA, this is known as route origin<br>

validation (ROV).  Today someone could advertise your prefix and<br>

post-pend your AS to appear as the origin.<br>

<br>

People are working madly on solutions to protecting other parts of the<br>

BGP route attributes the origin AS, but nothing is currently, widely<br>

deployed to provide that protection with the RPKI today.<br>

<br>

John<br>

</blockquote></div>