Проект OpenBSD представил первый переносимый выпуск rpki-client

Разработчики OpenBSD опубликовали первый публичный выпуск переносимой редакции пакета rpki-client с реализацией механизма RPKI (Resource
Public Key Infrastructure) для RP (Relying Parties), применяемого для авторизации источника BGP-анонсов. RPKI позволяет определить исходит ли BGP-анонс от владельца сети или нет, для чего при помощи инфраструктуры открытых ключей для автономных систем и IP-адресов строится цепочка доверия, которая выстраивается от IANA к региональным регистраторам (RIRs), провайдерам (LIR) и конечным потребителям адресов. Код опубликован под лицензией BSD.

Программа rpki-client даёт возможность отправить запрос в репозиторий RPKI и сформировать объект VRP (Validated ROA Payload), подтверждающий источник маршрута (ROA, Route Origin Authorization) в формате настроек пакетов маршрутизации OpenBGPD и BIRD, а также в форматах CSV или JSON для использования в других стеках маршрутизации. Для обращения к репозиторию применяется утилита openrsync, которая извлекает все сертификаты X.509, манифесты и списки отзыва сертификатов. Затем
rpki-client проверяет каждый ассоциированный с ROA сертификат, конструируя и верифицируя всю цепочку доверия, попутно оценивая списки CRL на предмет возможного отзыва сертификатов.

Источник: opennet.ru