Názory k článku BGPsec: experimentální protokol pro zabezpečení směrování na internetu

Dlouha konvergence dle soucasne specifikace zminena v zaveru je realna prekazka praktickeho nasazeni. Koncovi uzivatele nebudou chtit s jakymkoliv vypadkem vic jak pul hodiny cekat na to, nez si routery spocitaji nove cesty...

jak chápu diskuze ve skupině, tady nikdo nepředpokládá, že se to rovnou nasadí. Je to nejspíš neuběhatelné na současném HW, konvergence je jen důsledek a ne příčina, měl by pak existovat legacy režim pro možnost snadného rolling upgradu.

Soucasny HW by az takovy problem nebyl, hlavni problem je soucasny ne prilis efektivni navrh samotneho protokolu (kde extremne dlouha konvergence je ten dusledek) - zaver clanku to zminuje. Jenze ty zmeny v praxi znamenaji hlavne to, ze bude nutne si zopakovat kolecko u IETF - fakticky vytvorit draft noveho RFC, do ktereho se ty navrzene optimalizace promitnou...

Ostatne i tech opensource implementaci je pet a pul... a treba i tam odkazany Bird to ma jen v experimentalni vetvi nad dnes uz vybehovym kodem verze 1.x - a ta vetev se sest let neudrzuje, zaclene do aktualniho kodu to neni, oficialni podporu to nema... a s ohledem na predchozi odstavec se neni moc cemu divit.

tím HW jsem myslel blackbox krabice na BGP, což si odhaduji, že zajišťuje většinu provozu.

Ano, je to teprve ranný počátek, kdy autoři mají funkční implementaci a teď potřebují dále iterovat a získávat různé pohledy, on ani v komunitě na to není jednotný názor.

Ten "blackbox" v dnesnim typickem provedeni boxu je na control-plane bezna multicore x86 CPU - s Linuxem nebo BSD na podklade. Ne, v tom problem fakt neni. Problem je prave ta delka konvergence ve stavajici specifikaci - obecne je tlak na to ty casy (pri zpracovani dnesnich 900k IPv4 a 150k IPv6 rout) spise zkracovat, BGPsec v dnesnim provedeni jde extremne proti - a to tak, ze ta konvergence je jeste vyrazne delsi, nez na starych boxech na PowerPC platforme... Ani "omezeni se" jen na prostredi IXP moc nepomuze, v tech standardnich kolem nas je tech zpracovavanych rout nikoliv male mnozstvi...

Ten soucasny "pocatek" je cely nestastny - mame sice hotove finalni RFC, ale nikdo se zjevne moc nezamyslel nad tim, jak se to bude chovat ve vetsim meritku. Zjisteni, ze namisto minuty trva bezna konvergence pul hodiny to jen dokazuje. Tohle proste vubec formalne ani nemelo opustit fazi draftu... tyhle aspekty mely byt overene pred vydanim finalniho textu. Ale nekdo se rozhodl standard uspechat.

Jasneze, nazory se budou ruznit (jak u vseho noveho) - ale BGPsec v soucasne podobe je proste zpackany uz ve svem navrhu a v praxi nenasaditelny. Prezentace z CSNOGu ve svem zaveru navrhuje rozumne reseni... ale nejakou chvili potrva, nez se to procedi masinerii v IETF. Do te doby se nikam moc nepohneme...

Směrovač tedy musí mít přístup k tomuto externímu zdroji veřejných klíčů. je moc pekna hlava 22. Potrebuju se pripojit, ale v tu chvili uz musim byt pripojeny.