BGP Hijacking, dan Kunci Publik (2)

Resource Public Key Infrastructure (PKI)

Resource Public Key Infrastructure (PKI) adalah metode kriptografi yang mengasosiasikan routing table BGP dengan origin AS yang valid. Resource Public Key Infrastructure (PKI) menggunakan X.509 PKI certificate sebagai standar sertifikasi digital. Standar X.509 sendiri adalah cara mendeskripsikan sertifikat yang telah ditetapkan ITU (organisasi internasional yang bertanggung jawab untuk membuat standar dalam bidang telekomunikasi) dan telah digunakan secara luas di internet.

Sekilas konsep PKI

Jika melihat dasarnya, bentuk Public Key Infrastructure (PKI) yang sederhana adalah hirarkhi CA (Certificate Authority) dalam struktur pohon pada Gambar berikut;

Hirarkhi CA di dalam PKI

Public Key Infrastructure (PKI) mengintegrasikan kriptografi kunci publik dengan sertifikat digital dan CA (Certificate Authority) untuk mengotentikasi pihak-phak dalam suatu transaksi. PKI terdiri atas komponen-komponen:

1. pengguna (pemohon sertifikat dan pemakai sertifikat)
2. sertifikat digital
3. CA (Certificate Authority)
4. Direktori (menyimpan sertifikat digital dan CRL).

Begitu juga sertifikasi RPKI bekerja. Detailnya, didefinisikan di RFC6480, dimana rumusan Resource Public Key Infrastructure R(PKI) berdasarkan turunan konsep Public Key Infrastructure (PKI), yaitu pasangan kunci public dan kunci private.

source Training IDNIC

Dibuatnya metode kriptografi ini bertujuan mengasosiasikan routing table BGP dengan origin AS yang valid. Di Indonesia, melalui portal yang disiapkan IDNIC sebagai National Internet Registries (NIR), para pengguna IP atau Operator Layanan Internet (Corporate maupun ISP) menerbitkan dan menandatangani sertifikat PKI X.509 yang berisi sumber daya internet yang telah dialokasikan.

ROA (Route Origin Authorization)

Selain itu, terdapat juga objek (digitally signed object) yang dikenal dengan nama Route Origin Authorization (ROA), dimana ini objeknya kriptografi yang memasangkan Origin ASN dan IP-Prefix. Hirarki CA adalah proses men-sertifikasi membuat ROA ini.

source Training IDNIC

Ibarat sertifikasi SSL & TSL berisi pasangan Nama Domain dan IP. Bedanya, sertifaksi RPKI isinya pasangan Origin AS Number dan IP-Prefix yang di otorisasinya.

Untuk membuat satu objek yang diotorisasi ini melibatkan NIR, pengguna IP atau Operator Layanan Internet, dan juga ditandatangani oleh RIR CA sebagai Single Trust Anchor.

Jadi ROA ini ditandatangani menggunakan sertifikat yang dikeluarkan oleh Certification Authority (CA) yang dalam hal ini adalah RIR. ROA ini kemudian disimpan dalam repository milik RIR yang dapat diakses oleh RPKI validator sistem PKI yang sudah mapan dan menggunakan teknik kriptografi public key untuk mem-verifikasi identitas melalui digital certificates.

ROV (Route Origin Validator)

Proses validasi prefix atau subnet dilakukan menggunakan aplikasi validator yaitu Routinator.

Dengan demikian, integritas rute di internet terjaga, sehingga skenario BGP Hijacking pada Indosat kemungkinan kecil untuk terjadi.

Kesimpulan

RPKI bergantung pada Digital Signature dan Digital Certificate untuk memastikan keamanan dan integritas dalam pengelolaan sumber daya Internet, dalam hal ini AS Number pasanganya IP Address.

Digital Certificate digunakan untuk membuktikan kepemilikan sumber daya, sementara Digital Signature digunakan untuk menandatangani dan memverifikasi objek kriptografi seperti ROA.

Keduanya bekerja bersama untuk menciptakan sistem yang andal dalam mencegah serangan seperti route hijacking dan memastikan bahwa pengumuman / advertise informasi routing di dunia global Internet dapat dipercaya satu sama lain.

Terimakasih.

Personal blog by A Rahman.
Menulis untuk mengingatnya.