On Sun, Feb 05, 2012 at 09:21:07AM +0100, Stephane Le Men <stephane.le...@anycast-networks.com> wrote a message of 109 lines which said:
> aujourd'hui l'inspecteur Harry est encore contraint de faire le tour > de tous les opérateurs un à un sous sa juridiction, (ou son > influence) pour obtenir la même chose. [...] > Vous pourriez le faire si vous n'avez pas un Hortefeux ou un Guéant > qui vous empêcheront de le faire. En Chine, ils ont les deux "au > carré". Il ne faut pas oublier que les opérateurs ont des > contraintes de licences à respecter. C'est un efficace moyen de > pression, Là, je ne pige pas. S'il y a un État qui peut imposer (démocratiquement ou de manière dictatoriale, peu importe, le résultat est le même) à tous les opérateurs une politique donnée, qu'il y ait un ou dix acteurs à notifier, la différence est faible, et purement quantitative. L'ARCEP compte 700 FAI licenciés en France mais combien font du BGP sans route par défaut ? (C'est une vraie question : si quelqu'un a le chiffre, ça m'intéresse). La RPKI ne changerait pas grand'chose, de ce point de vue : « vous bloquez l'accès à 194.71.107.0/24, par une null-route mise à la main, ou par la RPKI, je m'en fous ». Et on doit obéir. > RPKI simplifiera le travail en factorisant les sites à visiter vers > 1 seul ou quelques un. Mouais. > Et ce n'est pas dit qu'une annonce invalide parvienne à tout le > monde. Je suppose même qu'elle ne passera pas par défaut le premier > opérateur qui utilisera RPKI. D'où ma remarque sur les « vrais » opérateurs qui font du BGP sans route par défaut. En fait, dès qu'on n'est pas Tier-1, on a ce problème, avant même la RPKI : on est dépendant de la politique de routage de ses fournisseurs, comme on l'avait bien vu dans l'affaire du réseau 128 <http://www.bortzmeyer.org/reseau-128.html> où des AS sans aucun routeur Juniper avaient quand même été coupés de ce réseau car tous leurs transitaires avaient du Juniper. > Si j'ai bien compris, ces RFC apportent sécurité et substitue > décentralisation par centralisation. Tout à fait faux. À moins que, comme les journalistes, vous confondiez arborescent et centralisé. Mais, sur la liste Frnog, je ne pense pas que quelqu'un puisse faire une erreur aussi énorme. > une crypto avec une autorité _choisie_ dans une multitude > d'autorités et pas une _imposé_ à la destination Michel n'a pas tort : il faut lire les RFC. Ou bien la doc du logiciel. Avec rcynic : validator:rcynic/etc/trust-anchors % ls afrinic.tal lacnic.tal testbed-apnicrpki.tal apnic.tal ripe-ncc-root.tal testbed-arin.tal bbn-testbed.tal testbed-apnic.tal testbed-ripe.tal validator:rcynic/etc/trust-anchors % logger "Pas confiance dans la Koninklijke Marechaussee" validator:rcynic/etc/trust-anchors % rm ripe-ncc-root.tal validator:rcynic/etc/trust-anchors % logger "No need to be Check Norris to choose trust anchors" En résumé : chacun choisit à qui il fait confiance. > S'il existe une solution de crypto sans cette structure en arbre, > elle serait mieux. Au travail. Après tout, la RPKI n'a pris que dix ans à être développée. Il doit être possible de faire mieux. Je lirai l'Internet-Draft avec intérêt. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
