<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/xhtml; charset=utf-8">
</head>
<body>
<div><div class="plaintext"><p dir="auto">Hola Fernando,</p>
<p dir="auto">El riesgo que mencionas es real. Nunca ha ocurrido, pero no quiere decir que nunca vaya a ocurrir.</p>
<p dir="auto">Algo similar pasa con la firma de la raíz del DNS, incluso diría que en ese caso el riesgo es mayor. También es un problema que afecta a todo proveedor de Cloud, como se ve en los recientes choques entre Apple y el FBI.</p>
<p dir="auto">Han habido dos lineas de trabajo en este tema, que quizás tu mismo nos puedes ayudar a profundizar :-)</p>
<p dir="auto">1- dotar al sistema de RPKI de mecanismos que hagan que no alcance con bloquear en un TA. Como sería esto, no tengo idea, pero es algo que al menos en reuniones informales se ha hablado.</p>
<p dir="auto">2- dotar al sistema de RPKI de una propiedad que se conoce como la de ser “tamper evident”, es decir, que si el sistema es alterado por mecanismos fuera de los carriles normales, cualquier observador externo sepa que justamente, el sistema fue alterado</p>
<p dir="auto">Este ultimo punto para mi es particularmente interesante, ya que creo que tiene aplicabilidad mas allá de RPKI.</p>
<p dir="auto">Hay un paper de Sharon Goldberg en el que ella discute algunas de estas amenazas y hace algunas propuestas que van de la mano de (2).</p>
<p dir="auto"><a href="http://www.cs.bu.edu/~goldbe/papers/hotRPKI.pdf">http://www.cs.bu.edu/~goldbe/papers/hotRPKI.pdf</a></p>
<p dir="auto">(Este paper ganó en 2014 el ANRP, Applied Networking Research Prize, que organiza el IETF)</p>
<p dir="auto">S2</p>
<p dir="auto">/Carlos</p>
<p dir="auto">On 28 Jan 2020, at 13:18, Fernando Frediani wrote:</p>
</div>
<blockquote class="embedded">
  
    <p>Pensé antes de escribir este mensaje porque es un tema delicado,
      pero creo que esta lista es uno de los lugares más apropiados para
      esta discusión y me gustaría conocer la opinión de los colegas al
      respecto.<br>
      <br>
      Hasta entonces, para bloquear una organización que es un sistema
      autónomo en Internet, había medidas con baja efectividad que los
      tribunales de los países podían usar. Con el advenimiento de RPKI
      esto puede cambiar un poco.<br>
      <br>
      Debido al hecho de que todos los RIR pueden firmar 0/0 e ::/0<code></code><code></code>,
      es decir, cualquier rango de IP incluso si no está registrado en
      su whois, ¿cuál es la posibilidad en su opinión de que las
      Autoridades Judiciales de los países donde se encuentran los 5 RIR
      puedan ¿emitir órdenes para que el RIR se vea obligado a emitir un
      ROA con AS0 para bloquear una empresa en Internet por alguna
      razón?<br>
      <br>
      Sé que es muy excepcional, pero cuando se trata de la judicatura,
      podemos esperar todo.<br>
      <br>
      Sin embargo, creo que si consideramos solo los 5 RIR, esta
      posibilidad se reduce al Poder Judicial de 5 países: Estados
      Unidos, Uruguay, Países Bajos, Mauricius y Australia.<br>
      <br>
      Sin embargo, queda una pregunta si en el caso de los NIR, que
      tienen delegación de los RIRs, ya que es lo caso aquí en América
      Latina, estos NIR también están autorizados por defecto para
      emitir ROA para cualquier dirección o solo para direcciones
      delegadas, es decir, para cada asignación/registro realizado ¿el
      RIR debe hacer una delegación específica al NIR?<br>
      Pregunto esto porque en la región de Asia hay un mayor número de
      NIR y si afectaría este tema de alguna manera.<br>
      <br>
      Saludos<br>
      Fernando Frediani<br>
    </p></blockquote>
<div class="plaintext"><blockquote>
</blockquote><blockquote><p dir="auto">_______________________________________________<br>
LACNOG mailing list<br>
LACNOG@lacnic.net<br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a></p>
</blockquote></div>
</div>
</body>
</html>