pqRPKI: A Practical RPKI Architecture for the Post-Quantum Era

Die Arbeit stellt pqRPKI vor, ein praktisches Post-Quantum-RPKI-Framework, das durch die Kombination von RPKI-Objekten mit einer mehrschichtigen Merkle-Baum-Leiter (MTL) und einer angepassten Manifest-Struktur die Bandbreiten- und Rechenkosten bei gleichzeitiger Aufrechterhaltung der Kompatibilität mit bestehenden RSA-Systemen erheblich senkt.

Das Wesentliche

Hier ist eine einfache Erklärung der Forschung „pqRPKI", die sich an ein allgemeines Publikum richtet, ohne auf technische Fachbegriffe zu verzichten.

🌍 Das Problem: Ein alter Schlüsselbund für eine neue Welt

Stellen Sie sich das Internet als ein riesiges, globales Postsystem vor. Damit ein Paket (ein Datenpaket) sicher ankommt, muss sichergestellt sein, dass der Absender wirklich der ist, der er vorgibt zu sein. Das RPKI (Resource Public Key Infrastructure) ist das System, das diese Identitäten überprüft. Es ist wie ein riesiges, digitales Telefonbuch, das besagt: „Nur Firma A darf die Straße X benutzen."

Das Problem:
Dieses Telefonbuch wurde mit einem alten Schloss (RSA-Verschlüsselung) gesichert. In naher Zukunft werden jedoch „Quantencomputer" existieren, die diese alten Schlösser in Sekundenbruchteilen knacken können. Das wäre wie ein Einbrecher, der jeden Schlüsselbund im ganzen Land öffnet.

Der naive Versuch:
Die einfache Lösung wäre, einfach alle alten Schlösser durch neue, riesige, unknackbare Quanten-Schlösser zu ersetzen. Aber das funktioniert im Internet nicht gut:

• Diese neuen Schlüssel sind riesig (wie ein Panzer im Vergleich zu einem Autoschlüssel).
• Da das Telefonbuch Millionen von Einträgen hat, würde die gesamte Datenbank so groß werden, dass sie niemand mehr herunterladen könnte.
• Die Überprüfung würde so lange dauern, dass das Internet quasi einfriert.

---

🚀 Die Lösung: pqRPKI – Der clevere Umzug

Die Forscher von Virginia Tech haben pqRPKI entwickelt. Statt einfach nur die Schlösser auszutauschen, haben sie das gesamte System neu organisiert. Hier ist die Idee mit einer Analogie:

1. Die Bibliothek und der Katalog (Der Manifest)

Stellen Sie sich das Internet-Telefonbuch als eine riesige Bibliothek mit Millionen Büchern vor.

• Das alte System: Jedes einzelne Buch hatte einen riesigen, schweren Sicherheitsstempel auf dem Cover. Wenn man die Bibliothek überprüfen wollte, musste man jedes Buch einzeln anheben und den Stempel prüfen. Das war langsam und schwer.
• Das neue System (pqRPKI): Wir nehmen den riesigen Sicherheitsstempel von jedem einzelnen Buch weg. Stattdessen gibt es einen einzigen, super-dichten Katalog (den „Manifest"), der am Eingang hängt.
  • In diesem Katalog steht nicht nur, welche Bücher da sind, sondern auch ein mathematischer „Fingerabdruck" für jedes Buch.
  • Um zu prüfen, ob ein Buch echt ist, muss man nicht mehr jedes Buch einzeln stempeln. Man prüft nur den Katalog. Wenn der Katalog stimmt und der Fingerabdruck im Katalog mit dem Buch übereinstimmt, ist alles sicher.

2. Die Leiter (Merkle Tree Ladder)

Wie passt man Millionen Fingerabdrücke in einen Katalog, ohne dass er unendlich dick wird?
Die Forscher nutzen eine Leiter (Ladder).

• Statt eine riesige, unübersichtliche Liste zu machen, werden die Bücher in Gruppen (Sprossen) eingeteilt.
• Wenn ein neues Buch hinzukommt oder eines entfernt wird, muss man nicht die ganze Leiter neu bauen. Man fügt nur eine neue Sprosse hinzu oder markiert eine als „leer".
• Der Clou: Der Katalog (Manifest) wird so gestaltet, dass er sich oft ändert (weil sich die Liste der Bücher ändert), aber die eigentlichen Bücher (die Daten) bleiben stabil und müssen nicht neu signiert werden. Das ist wie ein Taktgeber, der den Takt angibt, ohne dass die Musiker (die Daten) jedes Mal neu einsteigen müssen.

3. Der „Dual-Stack" – Die Brücke in die Zukunft

Da wir nicht morgen sofort alle alten Schlösser wegwerfen können, muss das System eine Übergangszeit überstehen, in der alte und neue Schlösser nebeneinander existieren.

• pqRPKI ist so gebaut, dass es wie eine Brücke funktioniert.
• Es fügt die neue Quanten-Sicherheit hinzufü, ohne das alte Telefonbuch zu zerstören.
• Das Ergebnis: Die Datenbank wird nur minimal größer (nur ca. 3,4 % mehr Platzbedarf), obwohl sie jetzt gegen Quantencomputer geschützt ist. Ohne diese clevere Lösung wäre die Datenbank fast viermal so groß geworden.

---

🏆 Warum ist das so genial? (Die Vorteile)

1. Geschwindigkeit:

   • Alt: Es dauerte ca. 4 Minuten, bis ein Router wusste, welche Routen sicher sind.
   • Neu (pqRPKI): Es dauert nur noch ca. 2 Minuten. Das System ist so schnell, dass es fast in Echtzeit reagiert. Wenn jemand versucht, eine Route zu stehlen, wird das innerhalb von Minuten blockiert, nicht erst nach Stunden.

2. Platzsparend:

   • Ein naiver Versuch, die neuen Schlüssel zu nutzen, hätte die Datenbank auf über 3 Gigabyte aufgebläht.
   • pqRPKI hält sie bei ca. 547 Megabyte. Das ist wie der Unterschied zwischen einem Lastwagen und einem kleinen Lieferwagen.

3. Robustheit:

   • Wenn ein Hacker versucht, einen Eintrag zu manipulieren, merkt das System sofort, weil der Fingerabdruck im Katalog nicht mehr passt. Es ist wie ein Siegel auf einem Briefumschlag: Wenn das Siegel gebrochen ist, weiß man sofort, dass etwas nicht stimmt.

🎯 Fazit

pqRPKI ist wie eine intelligente Renovierung eines alten Hauses, das vor einem Erdbeben (Quantencomputern) geschützt werden muss.

• Statt das ganze Haus abzureißen und neu zu bauen (was zu teuer und zu langsam wäre), haben die Forscher die tragenden Wände verstärkt und ein neues, unsichtbares Fundament gelegt.
• Das Haus bleibt bewohnbar (kompatibel mit dem alten Internet), ist aber jetzt sicher vor den stärksten Erschütterungen der Zukunft.
• Und das Beste: Es kostet kaum mehr Platz und ist sogar schneller als vorher!

Dieser Ansatz ermöglicht es dem Internet, sicher in die Ära der Quantencomputer zu wachsen, ohne dabei ins Stocken zu geraten.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „pqRPKI: A Practical RPKI Architecture for the Post-Quantum Era" auf Deutsch:

1. Problemstellung

Das Resource Public Key Infrastructure (RPKI)-System sichert das Internet-Routing, indem es IP-Präfixe an autorisierte autonome Systeme (AS) bindet. Derzeit basiert RPKI jedoch auf klassischen kryptografischen Signaturen (RSA-2048), die durch zukünftige Quantencomputer gebrochen werden könnten.

Ein naiver Austausch der Signaturalgorithmen gegen Post-Quantum-Kryptographie (PQ), wie z. B. Falcon oder ML-DSA (Dilithium), ist für das RPKI-Ökosystem ungeeignet, und zwar aus folgenden Gründen:

• Bulk-Modell: RPKI-Validatoren (Relying Parties, RPs) müssen in regelmäßigen Abständen (alle 20–60 Minuten) den gesamten globalen Repository-Inhalt herunterladen und validieren.
• Größenproblematik: PQ-Signaturen und Schlüssel sind deutlich größer als RSA (z. B. ist ein Falcon-Signatur etwa 3-mal so groß). Bei einer direkten Umstellung würde dies den Repository-Verkehr und die CPU-Last massiv erhöhen.
• Dual-Stack-Übergang: Eine praktische Migration erfordert eine lange Phase, in der sowohl klassische (RSA) als auch PQ-Signaturen parallel existieren müssen. Ein naiver Ansatz würde die Speicher- und Bandbreitenkosten in diesem Übergangszeitraum verdoppeln oder vervielfachen.
• Frequenz der Updates: RPKI-Objekte (insbesondere Manifests und Zertifikate) werden häufig neu signiert. Bei naiver Integration von PQ würde dies zu einem „Re-Signing-Sturm" führen, der die Infrastruktur überlastet.

2. Methodik und Architektur (pqRPKI)

Die Autoren stellen pqRPKI vor, ein Framework, das die spezifischen Eigenschaften von RPKI (Repository-basiert, Bulk-Validierung) nutzt, anstatt PQ-Signaturen einfach in jedes einzelne Objekt zu packen.

Kernkomponenten:

• Merkle Tree Ladder (MTL): Statt jedes Objekt mit einer eigenen PQ-Signatur zu versehen, werden alle Objekte eines CA (Certificate Authority) in einen Merkle-Baum gehasht. Nur die Wurzel dieses Baumes wird mit einer einzigen PQ-Signatur (z. B. Falcon) signiert.
• Verschiebung der Verifizierungsdaten: Im Gegensatz zu herkömmlichen MTL-Designs (wie bei DNSSEC), bei denen der Authentifizierungspfad in jedem Objekt enthalten ist, verschiebt pqRPKI die notwendigen Daten (Blatt-Index und Authentifizierungspfade) aus den Objekten in das Manifest.
  • Das Manifest enthält eine geordnete Liste der Dateien und die zugehörigen Blatt-Hashes ($H_{0i}$).
  • Dies verhindert, dass sich die Größe der einzelnen Objekte (z. B. ROAs) mit der Baumtiefe erhöht.
• Depth-0 Rungs (Leitern): Manifests und CRLs (Certificate Revocation Lists) werden als separate „Depth-0"-Stufen am Ende der Merkle-Leiter modelliert. Da diese Objekte sehr häufig aktualisiert werden, isoliert dies die Änderungen. Ein Update des Manifests ändert nur einen kleinen Teil der Leiter, ohne die gesamten Objekt-Hashes neu berechnen zu müssen.
• Delegationshierarchie: Das Design unterstützt sowohl den „Hosted"-Modus (RIR verwaltet die CA des LIRs) als auch den „Delegated"-Modus (LIR verwaltet eigene CA). In der Delegationskette werden die Wurzel-Hashes der untergeordneten CAs in den übergeordneten Baum integriert.

Workflow für Validatoren (RPs):

1. Top-Down-Synchronisation: Der RP prüft zuerst die signierte Wurzel des übergeordneten Baums. Wenn diese unverändert ist, werden keine Daten heruntergeladen. Bei Änderungen wird das Manifest heruntergeladen.
2. Diff-Lokalisierung: Durch den Vergleich der Manifest-Liste mit dem lokalen Cache identifiziert der RP genau, welche Dateien geändert, gelöscht (markiert als „D") oder hinzugefügt wurden.
3. Bottom-Up-Validierung: Der RP lädt nur die geänderten Dateien herunter, rekonstruiert den Merkle-Baum von unten nach oben (Bulk-Verifizierung) und prüft, ob die berechnete Wurzel mit der signierten Wurzel übereinstimmt.

3. Wichtige Beiträge

• RPKI-spezifische PQ-Architektur: pqRPKI ist die erste Lösung, die MTL speziell für die RPKI-Hierarchie und den Bulk-Validierungs-Workflow optimiert hat.
• Manifest-getriebener Workflow: Die Verschiebung der Authentifizierungsinformationen in das Manifest eliminiert die Notwendigkeit, Authentifizierungspfade in jedem einzelnen Objekt zu speichern, was die Objektgröße stabil hält.
• Operationale Kompatibilität: Das System behält die bestehenden ROA-Objekte und Kodierungen bei. Es ermöglicht eine additive Migration, bei der Legacy-Validatoren weiterhin RSA nutzen können, während Upgrades parallel PQ validieren (Dual-Stack).
• Effizientes Löschen und Revokation: Durch Platzhalter im Manifest („D" für gelöscht) werden Indizes beibehalten, ohne die gesamte Baumstruktur neu indizieren zu müssen. Dies vermeidet Re-Signing-Stürme bei häufigen Änderungen.

4. Ergebnisse (Evaluation)

Die Autoren implementierten einen funktionierenden Prototyp (CA und RP) und evaluierten diesen über 7 Tage mit realen RPKI-Daten (ca. 465.000 Objekte).

• Repository-Größe:
  • Im PQC-only-Modus reduziert pqRPKI die durchschnittliche Repository-Größe auf 546,8 MB.
  • Dies ist eine Reduktion von 65,5 % (verglichen mit naivem Falcon) und 83,1 % (verglichen mit ML-DSA).
  • Im Dual-Stack-Modus (RSA + PQ) beträgt der Overhead nur 3,4 % gegenüber dem aktuellen RSA-basierten RPKI (ca. 882 MB vs. 853 MB).
• Validierungszeit:
  • Die vollständige Validierung eines Zyklus dauert mit pqRPKI nur 102,7 Sekunden (im Vergleich zu 213,2 s bei RSA und 404,6 s bei ML-DSA).
  • Dies ermöglicht eine Validierungsrate von unter 2 Minuten pro Zyklus.
• Synchronisations-Latenz:
  • pqRPKI beschleunigt die End-to-End-Verbreitung von der Veröffentlichung bis zum Router auf 118,3 Sekunden (gegenüber 226,9 s bei RSA).
  • Dies reduziert das „Fenster der Verwundbarkeit" für Routing-Hijacks erheblich.
• Signing-Performance:
  • Das Signieren von Bulk-Updates ist um den Faktor 10 schneller als bei RSA (z. B. 16,8 s für ARIN statt 183,8 s).
  • Inkrementelle Updates pro Minute liegen bei ca. 112 ms.

5. Bedeutung und Ausblick

pqRPKI löst das fundamentale Dilemma der Post-Quantum-Migration im RPKI: Es bietet die notwendige Sicherheit gegen Quantenangriffe, ohne die operationalen Grenzen (Bandbreite, CPU, Speicher) des aktuellen Internet-Routing-Systems zu sprengen.

• Praktische Machbarkeit: Die Lösung ist nicht nur theoretisch, sondern wurde als funktionierender Prototyp implementiert und getestet.
• Skalierbarkeit: Durch die Eliminierung redundanter Authentifizierungspfade in jedem Objekt und die Nutzung von Bulk-Validierung ist das System für das globale Internet skalierbar.
• Zukunftssicherheit: pqRPKI ermöglicht einen nahtlosen Übergang in eine Post-Quantum-Ära, bei der RPKI sogar noch schneller und effizienter arbeitet als heute, was die Resilienz des Internet-Routings gegen Angriffe signifikant erhöht.

Zusammenfassend demonstriert pqRPKI, dass durch eine intelligente Neuorganisation der Authentifizierungsstruktur (Verschiebung in das Manifest und Nutzung von Merkle-Ladders) die Nachteile großer PQ-Signaturen kompensiert und sogar eine Leistungssteigerung gegenüber dem aktuellen RSA-System erreicht werden kann.