RPKI (Resource Public Key Infrastructure) es un marco de seguridad criptográfico que utiliza certificados digitales para verificar la propiedad de los recursos de enrutamiento de Internet, específicamente los números de sistema autónomo (ASN) y los prefijos de direcciones IP. Su propósito principal es permitir a los propietarios legítimos de estos recursos firmar criptográficamente declaraciones que autorizan a un ASN específico a anunciar un prefijo IP particular. Estas declaraciones, conocidas como Route Origin Authorizations (ROAs), son publicadas en un repositorio distribuido y accesibles globalmente. RPKI se basa en una jerarquía de autoridades de certificación que refleja la jerarquía de asignación de recursos de Internet, desde IANA hasta los Registros Regionales de Internet (RIRs) y, finalmente, a los proveedores de servicios de Internet (ISPs) y otras organizaciones.
En el mundo real, RPKI es implementado por los principales Registros Regionales de Internet (como ARIN, RIPE NCC, APNIC, LACNIC, AFRINIC), que operan los puntos de anclaje de confianza (Trust Anchors) y emiten certificados a sus miembros. Los ISPs y operadores de redes utilizan herramientas como 'rpki-client' o 'routinator' para validar las ROAs y generar una tabla de prefijos autorizados. Esta tabla es luego utilizada por los routers que ejecutan BGP (Border Gateway Protocol) para filtrar anuncios de ruta. Por ejemplo, un router Cisco o Juniper puede configurarse para realizar una validación de origen BGP, descartando rutas que no tienen una ROA válida o que son anunciadas por un ASN no autorizado para ese prefijo. Cloudflare, Google y otros grandes proveedores de contenido y tránsito han implementado RPKI para proteger sus propias rutas y las de sus clientes.
Para un arquitecto de sistemas, RPKI es crucial para la resiliencia y seguridad de la infraestructura de red. La implementación de RPKI reduce significativamente el riesgo de secuestros de rutas BGP (BGP hijacks), que pueden llevar a interrupciones del servicio, ataques de denegación de servicio (DDoS) o redirección de tráfico para espionaje. Al adoptar RPKI, un arquitecto mejora la postura de seguridad de su organización y contribuye a la estabilidad global de Internet. Los trade-offs incluyen la complejidad operativa inicial de generar y mantener ROAs, así como la necesidad de asegurar que los routers de borde soporten la validación RPKI. La decisión de implementar RPKI implica una evaluación de riesgos y beneficios, donde la mitigación de un riesgo de alto impacto como el secuestro de rutas generalmente supera la inversión en configuración y mantenimiento. Además, la adopción de RPKI por parte de la propia organización incentiva a otros a hacer lo mismo, creando un efecto de red positivo para la seguridad global de Internet.