<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <p>Hola Carlos<br>
    </p>
    <div class="moz-cite-prefix">On 28/01/2020 14:01, Carlos M. Martinez
      wrote:<br>
    </div>
    <blockquote type="cite"
      cite="mid:9651B3A3-67AD-4DA3-9466-C30828D71361@gmail.com">
      <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
      <div>
        <div class="plaintext"><br>
          <p dir="auto">1- dotar al sistema de RPKI de mecanismos que
            hagan que no alcance con bloquear en un TA. Como sería esto,
            no tengo idea, pero es algo que al menos en reuniones
            informales se ha hablado.</p>
        </div>
      </div>
    </blockquote>
    Pensando brevemente aquí, quizás una forma sería algún mecanismo que
    los validator puedan validar cuando más de 1 de los otros 4 RIRs
    emita algo contrario al ROA con AS0 para "invalidarlo". Aunque esto
    puede requerir cierta complejidad, puede ser una "válvula de escape"
    para eliminar la efectividad de un orden tan excepcional como esta.<br>
    Otra cuestión que debe abordarse es también cómo manejar esto de
    manera efectiva si hay un aumento significativo en las ocurrencias,
    dada la coordinación necesaria que tendría que ocurrir con los otros
    RIR.<br>
    <blockquote type="cite"
      cite="mid:9651B3A3-67AD-4DA3-9466-C30828D71361@gmail.com">
      <div>
        <div class="plaintext">
          <p dir="auto">2- dotar al sistema de RPKI de una propiedad que
            se conoce como la de ser “tamper evident”, es decir, que si
            el sistema es alterado por mecanismos fuera de los carriles
            normales, cualquier observador externo sepa que justamente,
            el sistema fue alterado</p>
        </div>
      </div>
    </blockquote>
    <p>O algo más simple como eso, donde otro tipo de ROA emitido por
      cualquiera de los otros 4 RIRs puede enseñar a los validator que
      ese ROA con AS0 debe ser ignorado.</p>
    <p>Saludos<br>
      Fernando<br>
    </p>
    <blockquote type="cite"
      cite="mid:9651B3A3-67AD-4DA3-9466-C30828D71361@gmail.com">
      <div>
        <div class="plaintext"><br>
          <p dir="auto">S2</p>
          <p dir="auto">/Carlos</p>
          <p dir="auto">On 28 Jan 2020, at 13:18, Fernando Frediani
            wrote:</p>
        </div>
        <blockquote class="embedded">
          <p>Pensé antes de escribir este mensaje porque es un tema
            delicado, pero creo que esta lista es uno de los lugares más
            apropiados para esta discusión y me gustaría conocer la
            opinión de los colegas al respecto.<br>
            <br>
            Hasta entonces, para bloquear una organización que es un
            sistema autónomo en Internet, había medidas con baja
            efectividad que los tribunales de los países podían usar.
            Con el advenimiento de RPKI esto puede cambiar un poco.<br>
            <br>
            Debido al hecho de que todos los RIR pueden firmar 0/0 e
            ::/0<code></code><code></code>, es decir, cualquier rango de
            IP incluso si no está registrado en su whois, ¿cuál es la
            posibilidad en su opinión de que las Autoridades Judiciales
            de los países donde se encuentran los 5 RIR puedan ¿emitir
            órdenes para que el RIR se vea obligado a emitir un ROA con
            AS0 para bloquear una empresa en Internet por alguna razón?<br>
            <br>
            Sé que es muy excepcional, pero cuando se trata de la
            judicatura, podemos esperar todo.<br>
            <br>
            Sin embargo, creo que si consideramos solo los 5 RIR, esta
            posibilidad se reduce al Poder Judicial de 5 países: Estados
            Unidos, Uruguay, Países Bajos, Mauricius y Australia.<br>
            <br>
            Sin embargo, queda una pregunta si en el caso de los NIR,
            que tienen delegación de los RIRs, ya que es lo caso aquí en
            América Latina, estos NIR también están autorizados por
            defecto para emitir ROA para cualquier dirección o solo para
            direcciones delegadas, es decir, para cada
            asignación/registro realizado ¿el RIR debe hacer una
            delegación específica al NIR?<br>
            Pregunto esto porque en la región de Asia hay un mayor
            número de NIR y si afectaría este tema de alguna manera.<br>
            <br>
            Saludos<br>
            Fernando Frediani<br>
          </p>
        </blockquote>
        <div class="plaintext">
          <blockquote>
          </blockquote>
          <blockquote>
            <p dir="auto">_______________________________________________<br>
              LACNOG mailing list<br>
              <a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
              <a href="https://mail.lacnic.net/mailman/listinfo/lacnog"
                moz-do-not-send="true">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
              Cancelar suscripcion: <a
                href="https://mail.lacnic.net/mailman/options/lacnog"
                moz-do-not-send="true">https://mail.lacnic.net/mailman/options/lacnog</a></p>
          </blockquote>
        </div>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <pre class="moz-quote-pre" wrap="">_______________________________________________
LACNOG mailing list
<a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
Cancelar suscripcion: <a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a>
</pre>
    </blockquote>
  </body>
</html>