key rollover for the rpki
play

Key Rollover for the RPKI Steve Kent (Channeling Geoff - PowerPoint PPT Presentation

Nov 11, 2022 •341 likes •494 views

Key Rollover for the RPKI Steve Kent (Channeling Geoff Huston ) Key Rollover Document New doc: draC-huston-sidr-aao-profile-0-

  1. Key ¡Rollover ¡for ¡the ¡RPKI ¡ Steve ¡Kent ¡ (Channeling ¡Geoff ¡Huston ¡  ) ¡

  2. Key ¡Rollover ¡Document ¡ • New ¡doc: ¡draC-­‑huston-­‑sidr-­‑aao-­‑profile-­‑0-­‑ keyroll-­‑00.txt ¡ • Formerly ¡a ¡(non-­‑normaLve) ¡secLon ¡of ¡the ¡ resource ¡profile, ¡now ¡expanded ¡with ¡more ¡ details ¡ • Target ¡is ¡a ¡standards ¡track ¡RFC ¡from ¡SIDR ¡ • The ¡document ¡describes ¡ – what ¡CAs ¡have ¡to ¡do ¡to ¡effect ¡key ¡rollover ¡ – what ¡RPs ¡can ¡expect ¡during ¡key ¡rollover ¡ 2 ¡

  3. RelaLon ¡to ¡Repository ¡Structure ¡ • Rekey ¡design ¡relies ¡on ¡some ¡convenLons ¡in ¡draC-­‑ieR-­‑sidr-­‑ repos-­‑struct-­‑04.txt ¡ – The ¡file ¡name ¡for ¡a ¡CA ¡cerLficate ¡is ¡derived ¡from ¡the ¡public ¡key ¡ in ¡that ¡cerLficate ¡ ¡ – The ¡file ¡name ¡for ¡a ¡CRL ¡is ¡derived ¡from ¡public ¡key ¡of ¡the ¡CA ¡that ¡ issued ¡the ¡CRL ¡ – The ¡file ¡name ¡for ¡a ¡manifest ¡is ¡derived ¡from ¡the ¡public ¡key ¡of ¡ the ¡CA ¡that ¡issued ¡the ¡manifest ¡ – The ¡file ¡name ¡for ¡an ¡EE ¡cerLficate ¡is ¡derived ¡from ¡the ¡public ¡key ¡ in ¡that ¡cerLficate ¡ – These ¡convenLons ¡are ¡important ¡as ¡they ¡determine ¡which ¡ files ¡are ¡overwriVen ¡and ¡which ¡persist, ¡during ¡rekey ¡ ¡ • RPs ¡also ¡need ¡the ¡CA ¡to ¡use ¡a ¡read ¡lock ¡on ¡a ¡directory ¡ (publicaLon ¡point) ¡while ¡contents ¡are ¡being ¡changed ¡ 3 ¡

  4. RelaLon ¡to ¡Resource ¡CerLficate ¡Profile ¡ • Rekey ¡relies ¡on ¡the ¡AIA ¡extension ¡in ¡a ¡ cerLficate ¡poinLng ¡to ¡the ¡parent ¡cerLficate ¡ and ¡CRL ¡files ¡(vs. ¡to ¡the ¡directory ¡in ¡which ¡ these ¡files ¡are ¡stored) ¡ • Use ¡of ¡the ¡3 ¡character ¡file ¡suffixes ¡(for ¡ cerLficates, ¡CRLs, ¡ROAs, ¡and ¡manifests) ¡ probably ¡makes ¡life ¡easier ¡for ¡RPs ¡in ¡all ¡cases ¡ • Other?? ¡ 4 ¡

  5. Key ¡Rollover ¡Example ¡ CA Z Pub Point CA Y Pub Point CA X Pub Point CA X ¡CRL ¡ CA Y ¡CRL ¡ CA Z ¡CRL ¡ CA X ¡Manifest ¡ CA Y ¡Manifest ¡ CA Z ¡Manifest ¡ CA Y ¡Cert ¡ CA Z ¡Cert ¡ CA x ¡ROA 1 ¡ CA Y ¡ROA 1 ¡ CA Z ¡ROA 1 ¡ CA x ¡ROA 2 ¡ CA Y ¡ROA 2 ¡ CA Z ¡ROA 2 ¡ CA Y is rekeying 5 ¡

  6. CA ¡Key ¡Rollover ¡States ¡ • Current ¡ – ¡the ¡acLve ¡CA ¡used ¡to ¡issue ¡cerLficates ¡ • New ¡ – ¡the ¡CA ¡being ¡created, ¡not ¡yet ¡issuing ¡cerLficates ¡ not ¡yet ¡used ¡for ¡validaLon ¡ • Pending ¡ – ¡CA ¡is ¡reissuing ¡cerLficates ¡from ¡Current ¡CA, ¡ but ¡is ¡not ¡yet ¡accepLng ¡new ¡cerLficate ¡requests ¡(no ¡ revocaLon ¡requests ¡accepted?) ¡ • Old ¡ – ¡CA ¡does ¡not ¡accept ¡cerLficate ¡requests, ¡but ¡does ¡ conLnue ¡to ¡issue ¡CRLs ¡for ¡cerLficates ¡issued ¡under ¡its ¡ key, ¡and ¡generates ¡new ¡manifests ¡(and, ¡hence ¡EE ¡ cerLficates ¡for ¡these ¡manifests), ¡unLl ¡the ¡old ¡CA ¡ cerLficate ¡is ¡revoked ¡(a ¡short ¡interval) ¡ ¡ ¡ ¡(These ¡states ¡are ¡internal ¡to ¡the ¡rekeying ¡CA) ¡ 6 ¡

  7. Key ¡Rollover ¡Steps ¡1-­‑4 ¡ 1. ¡ ¡The ¡CA ¡that ¡is ¡rekeying ¡generates ¡a ¡NEW ¡key ¡pair ¡ 2. ¡ ¡It ¡then ¡generates ¡a ¡cerLficate ¡request ¡with ¡the ¡NEW ¡key ¡ pair ¡and ¡passes ¡the ¡request ¡to ¡the ¡its ¡parent ¡CA ¡ ¡3. ¡The ¡parent ¡CA ¡generates ¡a ¡new ¡name ¡for ¡the ¡CA ¡that ¡is ¡ rekeying, ¡signs ¡the ¡cerLficate ¡and ¡publishes ¡it ¡ 4. ¡The ¡"Staging ¡Period” ¡begins ¡(duraLon ¡is ¡selected ¡by ¡the ¡CA ¡ that ¡is ¡rekeying). ¡The ¡period ¡MUST ¡be ¡no ¡less ¡than ¡24 ¡ hours. ¡This ¡interval ¡is ¡intended ¡to ¡allow ¡all ¡RPs ¡to ¡acquire ¡ the ¡CA ¡cerLficate ¡with ¡the ¡new ¡key ¡before ¡any ¡new ¡ subordinate ¡cerLficates ¡are ¡published ¡(the ¡new ¡CA ¡might ¡ also ¡publish ¡a ¡CRL ¡during ¡this ¡interval, ¡with ¡no ¡entries, ¡and ¡ with ¡a ¡next ¡issue ¡date ¡aCer ¡the ¡interval ¡ends) ¡ 7 ¡

  8. Key ¡Rollover ¡Steps ¡5 ¡& ¡6 ¡ 5. ¡Upon ¡expiraLon ¡of ¡the ¡Staging ¡Period, ¡the ¡rekeying ¡CA ¡ suspends ¡the ¡processing ¡of ¡cerLficate ¡issuance ¡requests ¡ (and ¡revocaLon ¡requests??). ¡ ¡Mark ¡the ¡CURRENT ¡CA ¡as ¡OLD ¡ and ¡the ¡NEW ¡CA ¡as ¡PENDING. ¡ ¡Halt ¡the ¡operaLon ¡of ¡the ¡ OLD ¡CA ¡for ¡all ¡operaLons ¡except ¡the ¡issuance ¡of ¡CRLs ¡and ¡ EE ¡cerLficates ¡for ¡manifests. ¡(What ¡about ¡emergency ¡rekey ¡ requests ¡during ¡this ¡period, ¡e.g., ¡if ¡it ¡is ¡longer ¡than ¡1 ¡day?) ¡ 6. ¡ ¡Use ¡the ¡PENDING ¡CA ¡to ¡generate ¡new ¡cerLficates ¡for ¡all ¡ exisLng ¡subordinate ¡CA ¡and ¡(mulL-­‑use?) ¡EE ¡cerLficates, ¡ and ¡publish ¡them ¡in ¡the ¡same ¡repository ¡publicaLon ¡point ¡ and ¡with ¡the ¡same ¡file ¡names ¡as ¡the ¡previous ¡OLD ¡ subordinate ¡CA ¡and ¡EE ¡cerLficates ¡(thus ¡over-­‑wriLng). ¡ ¡The ¡ keys ¡in ¡these ¡reissued ¡cerLficates ¡MUST ¡NOT ¡change. ¡ 8 ¡

  9. Key ¡Rollover ¡Step ¡7 ¡ 7. ¡Each ¡signed ¡object ¡(other ¡than ¡ ¡manifests) ¡that ¡includes ¡an ¡ OLD ¡CA-­‑issued ¡EE ¡cerLficate ¡in ¡its ¡signed ¡data ¡(e.g., ¡a ¡ROA) ¡ will ¡need ¡to ¡be ¡re-­‑signed ¡using ¡an ¡EE ¡cerLficate ¡issued ¡by ¡ the ¡PENDING ¡CA. ¡ ¡For ¡a ¡"single ¡use” ¡EE ¡cerLficate, ¡if ¡the ¡ associated ¡private ¡key ¡has ¡been ¡destroyed, ¡this ¡requires ¡ generaLng ¡a ¡new ¡key ¡pair, ¡re-­‑issuing ¡the ¡EE ¡cerLficate ¡ under ¡the ¡PENDING ¡CA, ¡and ¡signing ¡the ¡data ¡by ¡the ¡newly ¡ generated ¡private ¡key. ¡ ¡For ¡a ¡"mulL-­‑use" ¡EE ¡cerLficate, ¡the ¡ EE ¡cerLficate ¡is ¡re-­‑issued ¡using ¡the ¡PENDING ¡CA. ¡The ¡object ¡ will ¡be ¡signed ¡with ¡the ¡associated ¡private ¡key, ¡and ¡ published ¡in ¡the ¡same ¡repository ¡publicaLon ¡point, ¡using ¡ the ¡same ¡file ¡name ¡as ¡the ¡previously ¡signed ¡object ¡that ¡it ¡ replaces. ¡ 9 ¡

  10. Key ¡Rollover ¡Steps ¡8-­‑11 ¡ 8. ¡ ¡Use ¡the ¡OLD ¡CA ¡to ¡issue ¡a ¡manifest ¡that ¡lists ¡only ¡the ¡OLD ¡ CA's ¡CRL, ¡and ¡use ¡the ¡PENDING ¡CA ¡to ¡issue ¡a ¡manifest ¡that ¡ lists ¡all ¡CA ¡and ¡EE ¡cerLficates ¡and ¡the ¡new ¡CRL ¡issued ¡by ¡ the ¡PENDING ¡CA. ¡ 9. Mark ¡the ¡PENDING ¡CA ¡as ¡CURRENT ¡and ¡resume ¡ processing ¡(CA) ¡cerLficate ¡issuance ¡requests ¡ 10. ¡Generate ¡a ¡cerLficate ¡revocaLon ¡request ¡for ¡the ¡OLD ¡CA ¡ cerLficate ¡and ¡pass ¡it ¡to ¡the ¡parent ¡of ¡the ¡CA ¡that ¡is ¡ rekeying ¡(what ¡triggers ¡this, ¡e.g., ¡expiraLon ¡of ¡last ¡ cerLficate ¡issued ¡under ¡the ¡old ¡CA? ¡) ¡ 11. ¡Wait ¡for ¡the ¡OLD ¡CA ¡cerLficate ¡to ¡be ¡revoked ¡then ¡ remove ¡the ¡OLD ¡CA's ¡CRL ¡and ¡manifest ¡and ¡destroy ¡the ¡ OLD ¡CA’s ¡private ¡key. ¡ 10 ¡

  11. Example: ¡ACer ¡Rollover ¡ CA Y Pub Point CA X Pub Point New CRL, under new key CA Y ¡CRL ¡ CA X ¡CRL ¡ CA Y ¡CRL ¡ Old CRL, under old key CA X ¡Manifest ¡ CA Y ¡Manifest ¡ New manifest, under new key CA Y ¡Cert ¡ CA Y ¡Manifest ¡ Old manifest, under old key CA Y ¡Cert ¡ CA Z ¡Cert ¡ New cert, same public key CA x ¡ROA 1 ¡ CA Y ¡ROA 1 ¡ New EE certs CA x ¡ROA 2 ¡ and keys CA Y ¡ROA 2 ¡ Old cert, old key New key, new cert 11 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Student Rollover 1 Student Rollover 1896 2 Student Rollover 1. much easier to use, 2. Provides

Student Rollover 1 Student Rollover 1896 2 Student Rollover 1. much easier to use, 2. Provides

Student Rollover 1 Student Rollover 1896 2 Student Rollover 1. much easier to use, 2. Provides a superior product, and 3. much less expensive 3 Student Rollover So, Im wondering why are we still using these? NEW SLIDE 1. Hard to use,

734 views • 22 slides
A study of RPKI deployment and discussion for improvement RPKI is Coming of Age Taejoong (Tijay)

A study of RPKI deployment and discussion for improvement RPKI is Coming of Age Taejoong (Tijay)

A study of RPKI deployment and discussion for improvement RPKI is Coming of Age Taejoong (Tijay) Chung (https://tijay.github.io) Assistant Professor Rochester Institute of Technology 1 Outlines RPKI deployment and invalid route origins

583 views • 43 slides
Jordan Rollover System Rollover frequency and AIS 3+ Injury As much as 40% of these injuries

Jordan Rollover System Rollover frequency and AIS 3+ Injury As much as 40% of these injuries

Donald Friedman Susie Bozzini Jordan Rollover System Rollover frequency and AIS 3+ Injury As much as 40% of these injuries occur in pre roll crash events, limiting the likelihood that ESC will be as effective as predicted, emphasizing occupant

757 views • 62 slides
Protecting Routing w ith RPKI Mark Kosters, ARIN CTO @ TeamARIN Agenda Operational routing

Protecting Routing w ith RPKI Mark Kosters, ARIN CTO @ TeamARIN Agenda Operational routing

Protecting Routing w ith RPKI Mark Kosters, ARIN CTO @ TeamARIN Agenda Operational routing RPKI Statistics challenges IRR Status Do we have a Research solution? Opportunities Using ARINs RPKI components @

889 views • 51 slides
Some Available RPKI Tools Benno Overeinder Carlos Martinez Cagnazzo SIDR IETF87 @Berlin 1

Some Available RPKI Tools Benno Overeinder Carlos Martinez Cagnazzo SIDR IETF87 @Berlin 1

Some Available RPKI Tools Benno Overeinder Carlos Martinez Cagnazzo SIDR IETF87 @Berlin 1 Thursday, August 1, 13 RPKI Tools The authors believe the information already contained in the RPKI has value in itself, even for operators not

305 views • 11 slides
Root Zone KSK Rollover update Roy Arends Principal Research Scientist, Office of the CTO, ICANN

Root Zone KSK Rollover update Roy Arends Principal Research Scientist, Office of the CTO, ICANN

Root Zone KSK Rollover update Roy Arends Principal Research Scientist, Office of the CTO, ICANN FOSDEM 2019 3 February 2019 | 1 The KSK rollover has happened! The KSK rollover occurred on time as planned at 1600 UTC on 11 October 2018

434 views • 24 slides
The Proposed Closure of Rollover Pass Texas General Land Office Jerry Patterson, Land

The Proposed Closure of Rollover Pass Texas General Land Office Jerry Patterson, Land

The Proposed Closure of Rollover Pass Texas General Land Office Jerry Patterson, Land Commissioner Rollover Pass, Galveston County Project Site Rollover Pass, Galveston County GIWW Rollover Pass Rollover Pass, Galveston County History:

231 views • 10 slides
AARON MURRIHY aaron.murrihy@reannz.co.nz 1 Apricot 2020 RPKI Feb 20 ABOUT US 2 Apricot

AARON MURRIHY aaron.murrihy@reannz.co.nz 1 Apricot 2020 RPKI Feb 20 ABOUT US 2 Apricot

SECURING THE INTERNET VALIDATING ROUTING WITH RPKI AARON MURRIHY aaron.murrihy@reannz.co.nz 1 Apricot 2020 RPKI Feb 20 ABOUT US 2 Apricot 2020 RPKI Feb 20 ABOUT REANNZ New Zealands NREN Engineering team of 7

662 views • 54 slides
From the Consent of the Routed: Improving the Transparency of the RPKI. Ethan Heilman Danny

From the Consent of the Routed: Improving the Transparency of the RPKI. Ethan Heilman Danny

From the Consent of the Routed: Improving the Transparency of the RPKI. Ethan Heilman Danny Cooper Leonid Reyzin Sharon Goldberg Boston University Aug 2014 Overview Motivation: The RPKI* (2011 to present) secures interdomain routing,

660 views • 27 slides
Overcoming Legal Barriers to RPKI Adoption Christopher S. Yoo University of Pennsylvania

Overcoming Legal Barriers to RPKI Adoption Christopher S. Yoo University of Pennsylvania

Overcoming Legal Barriers to RPKI Adoption Christopher S. Yoo University of Pennsylvania December 10, 2019 Research supported by NSF EAGER Award #1748362 Global RPKI Deployment ASes Validating Routes 5%, 5 3%, 3 9%, 8 12%, 11 71%, 65

216 views • 8 slides
RPKI and Routing Security Presentation | September 2015 Yerevan Regional Meeting Routing

RPKI and Routing Security Presentation | September 2015 Yerevan Regional Meeting Routing

RPKI and Routing Security Presentation | September 2015 Yerevan Regional Meeting Routing Security 2 Routing Registry route objects RPKI (Resource Public Key Infrastructure) ROAs (Route Origin Authorisation) RPKI and Routing

422 views • 31 slides
KSK Rollover Update David Conrad, CTO ICANN 59 ccNSO Members Meeting 26 June 2017 | 1 KSK

KSK Rollover Update David Conrad, CTO ICANN 59 ccNSO Members Meeting 26 June 2017 | 1 KSK

KSK Rollover Update David Conrad, CTO ICANN 59 ccNSO Members Meeting 26 June 2017 | 1 KSK Rollover: An Overview ICANN is in the process of performing a Root Zone DNS Security Extensions (DNSSEC) Key Signing Key (KSK) rollover The Root

558 views • 13 slides
MTI Rollover Presentation What Happened? Driver was loaded and inbound to Frac Driver went

MTI Rollover Presentation What Happened? Driver was loaded and inbound to Frac Driver went

MTI Rollover Presentation What Happened? Driver was loaded and inbound to Frac Driver went off the edge of the road No injuries What was spilled? Fuel Engine oil Contributing Factors to Rollover Poor visibility Dark

75 views • 5 slides
RPKI A quick configuration intro Massimiliano Stucchi | 19th January 2016 | UKNOF33 RPKI

RPKI A quick configuration intro Massimiliano Stucchi | 19th January 2016 | UKNOF33 RPKI

RPKI A quick configuration intro Massimiliano Stucchi | 19th January 2016 | UKNOF33 RPKI Overview Massimiliano Stucchi - RIPE NCC | 19th January 2016 | UKNOF33 2 Simply put 3 parts - Create certificates - Install/run validator -

562 views • 17 slides
Limiting the Power of RPKI Authorities Kris Shrishak Haya Shulman TU Darmstadt and Fraunhofer

Limiting the Power of RPKI Authorities Kris Shrishak Haya Shulman TU Darmstadt and Fraunhofer

Applied Networking Research Workshop 2020 acm sigcomm Limiting the Power of RPKI Authorities Kris Shrishak Haya Shulman TU Darmstadt and Fraunhofer SIT Motivation - Resource Public Key Infrastructure (RPKI) secures the interdomain routing

586 views • 39 slides
Research and Innovation By Alain P. AINA 03/12/2015 Department objectives RPKI v2.0

Research and Innovation By Alain P. AINA 03/12/2015 Department objectives RPKI v2.0

Research and Innovation By Alain P. AINA 03/12/2015 Department objectives RPKI v2.0 Project: New RPKI system DNSSEC v2.0 Project: New DNSSEC signer IETF activities: Identity and join key WGs and RGs African Internet Resources

308 views • 13 slides
Ultralarge Ultrasmall PCES 15.9 PARTICLE PHYSICS & COSMOLOGY The energies needed

Ultralarge Ultrasmall PCES 15.9 PARTICLE PHYSICS & COSMOLOGY The energies needed

Ultralarge Ultrasmall PCES 15.9 PARTICLE PHYSICS & COSMOLOGY The energies needed to probe the unification of the forces are beyond our reach- at 10 16 times higher than at CERN! They only ever existed once- right after the big

240 views • 5 slides
Language tagging using the new RFC 5646 Richard Ishida W3C Internationalization Activity Lead

Language tagging using the new RFC 5646 Richard Ishida W3C Internationalization Activity Lead

Making the World Wide Web worldwide! Language tagging using the new RFC 5646 Richard Ishida W3C Internationalization Activity Lead Language tags Before RFC 1766 / RFC 3066 language region en en-GB ISO 639 language codes en-scouse

269 views • 7 slides
Mount Hood (composite cone) Photo: E. M. Puris Larch Mountain (shield volcano) Mount Hood

Mount Hood (composite cone) Photo: E. M. Puris Larch Mountain (shield volcano) Mount Hood

Larch Mountain (shield volcano) Mount Hood (composite cone) Photo: E. M. Puris Larch Mountain (shield volcano) Mount Hood (composite cone) Photo: E. M. Puris Degrees and Certificates Meeting December 9 th 2019 SY CC 233B DAC Meeting

451 views • 18 slides
Xin Lan 1 , Pieter Tans 1 , Colm Sweeney 1,2 ,Arlyn Andrews 1 , Andy Jacobson 1,2 , Molly Crotwell

Xin Lan 1 , Pieter Tans 1 , Colm Sweeney 1,2 ,Arlyn Andrews 1 , Andy Jacobson 1,2 , Molly Crotwell

Gradients of Column CO 2 across North America from Aircraft and Tall Tower Measurements in the NOAA/ESRL Global Greenhouse Gas Reference Network Xin Lan 1 , Pieter Tans 1 , Colm Sweeney 1,2 ,Arlyn Andrews 1 , Andy Jacobson 1,2 , Molly Crotwell 1,2

641 views • 22 slides
V3 EPICS Core or Progress on EPICS Base Andrew Johnson Software Services Group, APS

V3 EPICS Core or Progress on EPICS Base Andrew Johnson Software Services Group, APS

V3 EPICS Core or Progress on EPICS Base Andrew Johnson Software Services Group, APS Engineering Services Division Outline Converting Base from CVS to Bazaar Introduce Bazaar Launchpad.net Bazaar for CVS/SVN users

448 views • 17 slides
APSHS New Student Orientation 2017 - Abbreviated Handout for Parents/Guardians Administrative

APSHS New Student Orientation 2017 - Abbreviated Handout for Parents/Guardians Administrative

APSHS New Student Orientation 2017 - Abbreviated Handout for Parents/Guardians Administrative Team & Faculty Welcome to Arthur P. Schalick High School * Mrs. DuBois Trembley, * Ms.

297 views • 6 slides
CSO CSONS S Pr Prima mary U y User er Activity T y Training - Mission Cr Crea eating CSO

CSO CSONS S Pr Prima mary U y User er Activity T y Training - Mission Cr Crea eating CSO

Communic icatio ions S Servic ice Office ( (CSO) NASA In Integra rated Communication S Servi rvices ( (NIC ICS) CSO CSONS S Pr Prima mary U y User er Activity T y Training - Mission Cr Crea eating CSO CSONS S Activities

817 views • 68 slides
Fuzzing Clang to find ABI Bugs David Majnemer Whats in an ABI? The size, alignment, etc.

Fuzzing Clang to find ABI Bugs David Majnemer Whats in an ABI? The size, alignment, etc.

Fuzzing Clang to find ABI Bugs David Majnemer Whats in an ABI? The size, alignment, etc. of types Layout of records, RTTI, virtual tables, etc. The decoration of types, functions, etc. To generalize: anything that you need N

632 views • 36 slides

More recommend