key rollover for the rpki
play

Key Rollover for the RPKI Steve Kent (Channeling Geoff - PowerPoint PPT Presentation

Nov 11, 2022 •341 likes •494 views

Key Rollover for the RPKI Steve Kent (Channeling Geoff Huston ) Key Rollover Document New doc: draC-huston-sidr-aao-profile-0-

  1. Key ¡Rollover ¡for ¡the ¡RPKI ¡ Steve ¡Kent ¡ (Channeling ¡Geoff ¡Huston ¡  ) ¡

  2. Key ¡Rollover ¡Document ¡ • New ¡doc: ¡draC-­‑huston-­‑sidr-­‑aao-­‑profile-­‑0-­‑ keyroll-­‑00.txt ¡ • Formerly ¡a ¡(non-­‑normaLve) ¡secLon ¡of ¡the ¡ resource ¡profile, ¡now ¡expanded ¡with ¡more ¡ details ¡ • Target ¡is ¡a ¡standards ¡track ¡RFC ¡from ¡SIDR ¡ • The ¡document ¡describes ¡ – what ¡CAs ¡have ¡to ¡do ¡to ¡effect ¡key ¡rollover ¡ – what ¡RPs ¡can ¡expect ¡during ¡key ¡rollover ¡ 2 ¡

  3. RelaLon ¡to ¡Repository ¡Structure ¡ • Rekey ¡design ¡relies ¡on ¡some ¡convenLons ¡in ¡draC-­‑ieR-­‑sidr-­‑ repos-­‑struct-­‑04.txt ¡ – The ¡file ¡name ¡for ¡a ¡CA ¡cerLficate ¡is ¡derived ¡from ¡the ¡public ¡key ¡ in ¡that ¡cerLficate ¡ ¡ – The ¡file ¡name ¡for ¡a ¡CRL ¡is ¡derived ¡from ¡public ¡key ¡of ¡the ¡CA ¡that ¡ issued ¡the ¡CRL ¡ – The ¡file ¡name ¡for ¡a ¡manifest ¡is ¡derived ¡from ¡the ¡public ¡key ¡of ¡ the ¡CA ¡that ¡issued ¡the ¡manifest ¡ – The ¡file ¡name ¡for ¡an ¡EE ¡cerLficate ¡is ¡derived ¡from ¡the ¡public ¡key ¡ in ¡that ¡cerLficate ¡ – These ¡convenLons ¡are ¡important ¡as ¡they ¡determine ¡which ¡ files ¡are ¡overwriVen ¡and ¡which ¡persist, ¡during ¡rekey ¡ ¡ • RPs ¡also ¡need ¡the ¡CA ¡to ¡use ¡a ¡read ¡lock ¡on ¡a ¡directory ¡ (publicaLon ¡point) ¡while ¡contents ¡are ¡being ¡changed ¡ 3 ¡

  4. RelaLon ¡to ¡Resource ¡CerLficate ¡Profile ¡ • Rekey ¡relies ¡on ¡the ¡AIA ¡extension ¡in ¡a ¡ cerLficate ¡poinLng ¡to ¡the ¡parent ¡cerLficate ¡ and ¡CRL ¡files ¡(vs. ¡to ¡the ¡directory ¡in ¡which ¡ these ¡files ¡are ¡stored) ¡ • Use ¡of ¡the ¡3 ¡character ¡file ¡suffixes ¡(for ¡ cerLficates, ¡CRLs, ¡ROAs, ¡and ¡manifests) ¡ probably ¡makes ¡life ¡easier ¡for ¡RPs ¡in ¡all ¡cases ¡ • Other?? ¡ 4 ¡

  5. Key ¡Rollover ¡Example ¡ CA Z Pub Point CA Y Pub Point CA X Pub Point CA X ¡CRL ¡ CA Y ¡CRL ¡ CA Z ¡CRL ¡ CA X ¡Manifest ¡ CA Y ¡Manifest ¡ CA Z ¡Manifest ¡ CA Y ¡Cert ¡ CA Z ¡Cert ¡ CA x ¡ROA 1 ¡ CA Y ¡ROA 1 ¡ CA Z ¡ROA 1 ¡ CA x ¡ROA 2 ¡ CA Y ¡ROA 2 ¡ CA Z ¡ROA 2 ¡ CA Y is rekeying 5 ¡

  6. CA ¡Key ¡Rollover ¡States ¡ • Current ¡ – ¡the ¡acLve ¡CA ¡used ¡to ¡issue ¡cerLficates ¡ • New ¡ – ¡the ¡CA ¡being ¡created, ¡not ¡yet ¡issuing ¡cerLficates ¡ not ¡yet ¡used ¡for ¡validaLon ¡ • Pending ¡ – ¡CA ¡is ¡reissuing ¡cerLficates ¡from ¡Current ¡CA, ¡ but ¡is ¡not ¡yet ¡accepLng ¡new ¡cerLficate ¡requests ¡(no ¡ revocaLon ¡requests ¡accepted?) ¡ • Old ¡ – ¡CA ¡does ¡not ¡accept ¡cerLficate ¡requests, ¡but ¡does ¡ conLnue ¡to ¡issue ¡CRLs ¡for ¡cerLficates ¡issued ¡under ¡its ¡ key, ¡and ¡generates ¡new ¡manifests ¡(and, ¡hence ¡EE ¡ cerLficates ¡for ¡these ¡manifests), ¡unLl ¡the ¡old ¡CA ¡ cerLficate ¡is ¡revoked ¡(a ¡short ¡interval) ¡ ¡ ¡ ¡(These ¡states ¡are ¡internal ¡to ¡the ¡rekeying ¡CA) ¡ 6 ¡

  7. Key ¡Rollover ¡Steps ¡1-­‑4 ¡ 1. ¡ ¡The ¡CA ¡that ¡is ¡rekeying ¡generates ¡a ¡NEW ¡key ¡pair ¡ 2. ¡ ¡It ¡then ¡generates ¡a ¡cerLficate ¡request ¡with ¡the ¡NEW ¡key ¡ pair ¡and ¡passes ¡the ¡request ¡to ¡the ¡its ¡parent ¡CA ¡ ¡3. ¡The ¡parent ¡CA ¡generates ¡a ¡new ¡name ¡for ¡the ¡CA ¡that ¡is ¡ rekeying, ¡signs ¡the ¡cerLficate ¡and ¡publishes ¡it ¡ 4. ¡The ¡"Staging ¡Period” ¡begins ¡(duraLon ¡is ¡selected ¡by ¡the ¡CA ¡ that ¡is ¡rekeying). ¡The ¡period ¡MUST ¡be ¡no ¡less ¡than ¡24 ¡ hours. ¡This ¡interval ¡is ¡intended ¡to ¡allow ¡all ¡RPs ¡to ¡acquire ¡ the ¡CA ¡cerLficate ¡with ¡the ¡new ¡key ¡before ¡any ¡new ¡ subordinate ¡cerLficates ¡are ¡published ¡(the ¡new ¡CA ¡might ¡ also ¡publish ¡a ¡CRL ¡during ¡this ¡interval, ¡with ¡no ¡entries, ¡and ¡ with ¡a ¡next ¡issue ¡date ¡aCer ¡the ¡interval ¡ends) ¡ 7 ¡

  8. Key ¡Rollover ¡Steps ¡5 ¡& ¡6 ¡ 5. ¡Upon ¡expiraLon ¡of ¡the ¡Staging ¡Period, ¡the ¡rekeying ¡CA ¡ suspends ¡the ¡processing ¡of ¡cerLficate ¡issuance ¡requests ¡ (and ¡revocaLon ¡requests??). ¡ ¡Mark ¡the ¡CURRENT ¡CA ¡as ¡OLD ¡ and ¡the ¡NEW ¡CA ¡as ¡PENDING. ¡ ¡Halt ¡the ¡operaLon ¡of ¡the ¡ OLD ¡CA ¡for ¡all ¡operaLons ¡except ¡the ¡issuance ¡of ¡CRLs ¡and ¡ EE ¡cerLficates ¡for ¡manifests. ¡(What ¡about ¡emergency ¡rekey ¡ requests ¡during ¡this ¡period, ¡e.g., ¡if ¡it ¡is ¡longer ¡than ¡1 ¡day?) ¡ 6. ¡ ¡Use ¡the ¡PENDING ¡CA ¡to ¡generate ¡new ¡cerLficates ¡for ¡all ¡ exisLng ¡subordinate ¡CA ¡and ¡(mulL-­‑use?) ¡EE ¡cerLficates, ¡ and ¡publish ¡them ¡in ¡the ¡same ¡repository ¡publicaLon ¡point ¡ and ¡with ¡the ¡same ¡file ¡names ¡as ¡the ¡previous ¡OLD ¡ subordinate ¡CA ¡and ¡EE ¡cerLficates ¡(thus ¡over-­‑wriLng). ¡ ¡The ¡ keys ¡in ¡these ¡reissued ¡cerLficates ¡MUST ¡NOT ¡change. ¡ 8 ¡

  9. Key ¡Rollover ¡Step ¡7 ¡ 7. ¡Each ¡signed ¡object ¡(other ¡than ¡ ¡manifests) ¡that ¡includes ¡an ¡ OLD ¡CA-­‑issued ¡EE ¡cerLficate ¡in ¡its ¡signed ¡data ¡(e.g., ¡a ¡ROA) ¡ will ¡need ¡to ¡be ¡re-­‑signed ¡using ¡an ¡EE ¡cerLficate ¡issued ¡by ¡ the ¡PENDING ¡CA. ¡ ¡For ¡a ¡"single ¡use” ¡EE ¡cerLficate, ¡if ¡the ¡ associated ¡private ¡key ¡has ¡been ¡destroyed, ¡this ¡requires ¡ generaLng ¡a ¡new ¡key ¡pair, ¡re-­‑issuing ¡the ¡EE ¡cerLficate ¡ under ¡the ¡PENDING ¡CA, ¡and ¡signing ¡the ¡data ¡by ¡the ¡newly ¡ generated ¡private ¡key. ¡ ¡For ¡a ¡"mulL-­‑use" ¡EE ¡cerLficate, ¡the ¡ EE ¡cerLficate ¡is ¡re-­‑issued ¡using ¡the ¡PENDING ¡CA. ¡The ¡object ¡ will ¡be ¡signed ¡with ¡the ¡associated ¡private ¡key, ¡and ¡ published ¡in ¡the ¡same ¡repository ¡publicaLon ¡point, ¡using ¡ the ¡same ¡file ¡name ¡as ¡the ¡previously ¡signed ¡object ¡that ¡it ¡ replaces. ¡ 9 ¡

  10. Key ¡Rollover ¡Steps ¡8-­‑11 ¡ 8. ¡ ¡Use ¡the ¡OLD ¡CA ¡to ¡issue ¡a ¡manifest ¡that ¡lists ¡only ¡the ¡OLD ¡ CA's ¡CRL, ¡and ¡use ¡the ¡PENDING ¡CA ¡to ¡issue ¡a ¡manifest ¡that ¡ lists ¡all ¡CA ¡and ¡EE ¡cerLficates ¡and ¡the ¡new ¡CRL ¡issued ¡by ¡ the ¡PENDING ¡CA. ¡ 9. Mark ¡the ¡PENDING ¡CA ¡as ¡CURRENT ¡and ¡resume ¡ processing ¡(CA) ¡cerLficate ¡issuance ¡requests ¡ 10. ¡Generate ¡a ¡cerLficate ¡revocaLon ¡request ¡for ¡the ¡OLD ¡CA ¡ cerLficate ¡and ¡pass ¡it ¡to ¡the ¡parent ¡of ¡the ¡CA ¡that ¡is ¡ rekeying ¡(what ¡triggers ¡this, ¡e.g., ¡expiraLon ¡of ¡last ¡ cerLficate ¡issued ¡under ¡the ¡old ¡CA? ¡) ¡ 11. ¡Wait ¡for ¡the ¡OLD ¡CA ¡cerLficate ¡to ¡be ¡revoked ¡then ¡ remove ¡the ¡OLD ¡CA's ¡CRL ¡and ¡manifest ¡and ¡destroy ¡the ¡ OLD ¡CA’s ¡private ¡key. ¡ 10 ¡

  11. Example: ¡ACer ¡Rollover ¡ CA Y Pub Point CA X Pub Point New CRL, under new key CA Y ¡CRL ¡ CA X ¡CRL ¡ CA Y ¡CRL ¡ Old CRL, under old key CA X ¡Manifest ¡ CA Y ¡Manifest ¡ New manifest, under new key CA Y ¡Cert ¡ CA Y ¡Manifest ¡ Old manifest, under old key CA Y ¡Cert ¡ CA Z ¡Cert ¡ New cert, same public key CA x ¡ROA 1 ¡ CA Y ¡ROA 1 ¡ New EE certs CA x ¡ROA 2 ¡ and keys CA Y ¡ROA 2 ¡ Old cert, old key New key, new cert 11 ¡

Recommend

Student Rollover 1 Student Rollover 1896 2 Student Rollover 1. much easier to use, 2. Provides

Student Rollover 1 Student Rollover 1896 2 Student Rollover 1. much easier to use, 2. Provides

Student Rollover 1 Student Rollover 1896 2 Student Rollover 1. much easier to use, 2. Provides a superior product, and 3. much less expensive 3 Student Rollover So, Im wondering why are we still using these? NEW SLIDE 1. Hard to use,

734 views • 22 slides
A study of RPKI deployment and discussion for improvement RPKI is Coming of Age Taejoong (Tijay)

A study of RPKI deployment and discussion for improvement RPKI is Coming of Age Taejoong (Tijay)

A study of RPKI deployment and discussion for improvement RPKI is Coming of Age Taejoong (Tijay) Chung (https://tijay.github.io) Assistant Professor Rochester Institute of Technology 1 Outlines RPKI deployment and invalid route origins

583 views • 43 slides
Jordan Rollover System Rollover frequency and AIS 3+ Injury As much as 40% of these injuries

Jordan Rollover System Rollover frequency and AIS 3+ Injury As much as 40% of these injuries

Donald Friedman Susie Bozzini Jordan Rollover System Rollover frequency and AIS 3+ Injury As much as 40% of these injuries occur in pre roll crash events, limiting the likelihood that ESC will be as effective as predicted, emphasizing occupant

757 views • 62 slides
Protecting Routing w ith RPKI Mark Kosters, ARIN CTO @ TeamARIN Agenda Operational routing

Protecting Routing w ith RPKI Mark Kosters, ARIN CTO @ TeamARIN Agenda Operational routing

Protecting Routing w ith RPKI Mark Kosters, ARIN CTO @ TeamARIN Agenda Operational routing RPKI Statistics challenges IRR Status Do we have a Research solution? Opportunities Using ARINs RPKI components @

889 views • 51 slides
Some Available RPKI Tools Benno Overeinder Carlos Martinez Cagnazzo SIDR IETF87 @Berlin 1

Some Available RPKI Tools Benno Overeinder Carlos Martinez Cagnazzo SIDR IETF87 @Berlin 1

Some Available RPKI Tools Benno Overeinder Carlos Martinez Cagnazzo SIDR IETF87 @Berlin 1 Thursday, August 1, 13 RPKI Tools The authors believe the information already contained in the RPKI has value in itself, even for operators not

305 views • 11 slides
Root Zone KSK Rollover update Roy Arends Principal Research Scientist, Office of the CTO, ICANN

Root Zone KSK Rollover update Roy Arends Principal Research Scientist, Office of the CTO, ICANN

Root Zone KSK Rollover update Roy Arends Principal Research Scientist, Office of the CTO, ICANN FOSDEM 2019 3 February 2019 | 1 The KSK rollover has happened! The KSK rollover occurred on time as planned at 1600 UTC on 11 October 2018

434 views • 24 slides
The Proposed Closure of Rollover Pass Texas General Land Office Jerry Patterson, Land

The Proposed Closure of Rollover Pass Texas General Land Office Jerry Patterson, Land

The Proposed Closure of Rollover Pass Texas General Land Office Jerry Patterson, Land Commissioner Rollover Pass, Galveston County Project Site Rollover Pass, Galveston County GIWW Rollover Pass Rollover Pass, Galveston County History:

231 views • 10 slides
AARON MURRIHY aaron.murrihy@reannz.co.nz 1 Apricot 2020 RPKI Feb 20 ABOUT US 2 Apricot

AARON MURRIHY aaron.murrihy@reannz.co.nz 1 Apricot 2020 RPKI Feb 20 ABOUT US 2 Apricot

SECURING THE INTERNET VALIDATING ROUTING WITH RPKI AARON MURRIHY aaron.murrihy@reannz.co.nz 1 Apricot 2020 RPKI Feb 20 ABOUT US 2 Apricot 2020 RPKI Feb 20 ABOUT REANNZ New Zealands NREN Engineering team of 7

662 views • 54 slides
From the Consent of the Routed: Improving the Transparency of the RPKI. Ethan Heilman Danny

From the Consent of the Routed: Improving the Transparency of the RPKI. Ethan Heilman Danny

From the Consent of the Routed: Improving the Transparency of the RPKI. Ethan Heilman Danny Cooper Leonid Reyzin Sharon Goldberg Boston University Aug 2014 Overview Motivation: The RPKI* (2011 to present) secures interdomain routing,

660 views • 27 slides
Overcoming Legal Barriers to RPKI Adoption Christopher S. Yoo University of Pennsylvania

Overcoming Legal Barriers to RPKI Adoption Christopher S. Yoo University of Pennsylvania

Overcoming Legal Barriers to RPKI Adoption Christopher S. Yoo University of Pennsylvania December 10, 2019 Research supported by NSF EAGER Award #1748362 Global RPKI Deployment ASes Validating Routes 5%, 5 3%, 3 9%, 8 12%, 11 71%, 65

216 views • 8 slides
RPKI and Routing Security Presentation | September 2015 Yerevan Regional Meeting Routing

RPKI and Routing Security Presentation | September 2015 Yerevan Regional Meeting Routing

RPKI and Routing Security Presentation | September 2015 Yerevan Regional Meeting Routing Security 2 Routing Registry route objects RPKI (Resource Public Key Infrastructure) ROAs (Route Origin Authorisation) RPKI and Routing

422 views • 31 slides
KSK Rollover Update David Conrad, CTO ICANN 59 ccNSO Members Meeting 26 June 2017 | 1 KSK

KSK Rollover Update David Conrad, CTO ICANN 59 ccNSO Members Meeting 26 June 2017 | 1 KSK

KSK Rollover Update David Conrad, CTO ICANN 59 ccNSO Members Meeting 26 June 2017 | 1 KSK Rollover: An Overview ICANN is in the process of performing a Root Zone DNS Security Extensions (DNSSEC) Key Signing Key (KSK) rollover The Root

558 views • 13 slides
MTI Rollover Presentation What Happened? Driver was loaded and inbound to Frac Driver went

MTI Rollover Presentation What Happened? Driver was loaded and inbound to Frac Driver went

MTI Rollover Presentation What Happened? Driver was loaded and inbound to Frac Driver went off the edge of the road No injuries What was spilled? Fuel Engine oil Contributing Factors to Rollover Poor visibility Dark

75 views • 5 slides
RPKI A quick configuration intro Massimiliano Stucchi | 19th January 2016 | UKNOF33 RPKI

RPKI A quick configuration intro Massimiliano Stucchi | 19th January 2016 | UKNOF33 RPKI

RPKI A quick configuration intro Massimiliano Stucchi | 19th January 2016 | UKNOF33 RPKI Overview Massimiliano Stucchi - RIPE NCC | 19th January 2016 | UKNOF33 2 Simply put 3 parts - Create certificates - Install/run validator -

562 views • 17 slides
Limiting the Power of RPKI Authorities Kris Shrishak Haya Shulman TU Darmstadt and Fraunhofer

Limiting the Power of RPKI Authorities Kris Shrishak Haya Shulman TU Darmstadt and Fraunhofer

Applied Networking Research Workshop 2020 acm sigcomm Limiting the Power of RPKI Authorities Kris Shrishak Haya Shulman TU Darmstadt and Fraunhofer SIT Motivation - Resource Public Key Infrastructure (RPKI) secures the interdomain routing

586 views • 39 slides
Research and Innovation By Alain P. AINA 03/12/2015 Department objectives RPKI v2.0

Research and Innovation By Alain P. AINA 03/12/2015 Department objectives RPKI v2.0

Research and Innovation By Alain P. AINA 03/12/2015 Department objectives RPKI v2.0 Project: New RPKI system DNSSEC v2.0 Project: New DNSSEC signer IETF activities: Identity and join key WGs and RGs African Internet Resources

308 views • 13 slides
A Few Months In The Life Of An RPKI Introduction Validator Performance Graphs Object Counts

A Few Months In The Life Of An RPKI Introduction Validator Performance Graphs Object Counts

A Few Months In The Life Of An RPKI Validator http://rpki.net/ A Few Months In The Life Of An RPKI Introduction Validator Performance Graphs Object Counts Connection Counts Objects/Connection Seconds/Object Rob Austein

663 views • 32 slides
Fire Occurrence in Rollover Crashes Based on NASS/CDS Kennerly Digges and Shaun Kildare The

Fire Occurrence in Rollover Crashes Based on NASS/CDS Kennerly Digges and Shaun Kildare The

Fire Occurrence in Rollover Crashes Based on NASS/CDS Kennerly Digges and Shaun Kildare The George Washington University SAE Paper 2007-01-0875 Research Questions What rollover crash factors influence the fire rate? Vehicle class

741 views • 35 slides
QMS Shareholders (other than the Rollover Shareholders) will receive total cash consideration of

QMS Shareholders (other than the Rollover Shareholders) will receive total cash consideration of

QMS Shareholders (other than the Rollover Shareholders) will receive total cash consideration of $1.22 per QMS share held on the Scheme Record Date. Rollover Shareholders will receive a mixture of consideration of cash and shares in Shelley

402 views • 7 slides
Implementing RPKI-based origin validation one country at a time. The Ecuadorian case study.

Implementing RPKI-based origin validation one country at a time. The Ecuadorian case study.

Implementing RPKI-based origin validation one country at a time. The Ecuadorian case study. IETF 89 LONDRES MARCH 2014 Fabin Meja Why and who? BGP origin validation based on RPKI is in early stages of deployment. It is necessary to

314 views • 13 slides
Passenger Vehicle Occupant Fatalities by type of crash 4% 2% Rollover 33% 23% Front Side

Passenger Vehicle Occupant Fatalities by type of crash 4% 2% Rollover 33% 23% Front Side

Passenger Vehicle Occupant Fatalities by type of crash 4% 2% Rollover 33% 23% Front Side Rear Other 39% N=32,335 Source: 2002 FARS Side-impact Crashes (non-rollover) by Crash Partner Passenger Cars Other 19% 21% Narrow Objects

708 views • 4 slides
Monetary independence and rollover crises Javier Bianchi (Federal Reserve Bank of Minneapolis &

Monetary independence and rollover crises Javier Bianchi (Federal Reserve Bank of Minneapolis &

Monetary independence and rollover crises Javier Bianchi (Federal Reserve Bank of Minneapolis & NBER) Jorge Mondragon (University of Minnesota) NBER Summer Institute Eurozone Debt Crisis Concerns about rollover crises and sovereign

878 views • 85 slides
MaxLength Considered Harmful to the RPKI Yossi Gilad, Omar Sagga , Sharon Goldberg Boston

MaxLength Considered Harmful to the RPKI Yossi Gilad, Omar Sagga , Sharon Goldberg Boston

MaxLength Considered Harmful to the RPKI Yossi Gilad, Omar Sagga , Sharon Goldberg Boston University Outline Background How does BGP work? How does RPKI work? What is the maxLength? How maxLength causes problems

741 views • 34 slides
Structuring and Negotiating Rollover Equity Interests in Private

Structuring and Negotiating Rollover Equity Interests in Private

Structuring and Negotiating Rollover Equity Interests in Private Equity Transactions September 13, 2016 Saul E. Rudo Steve Jarmel Katten Muchin Rosenman LLP Periscope

382 views • 14 slides

More recommend