pqRPKI: A Practical RPKI Architecture for the Post-Quantum Era

Il paper presenta pqRPKI, un'architettura RPKI post-quantistica che combina un albero Merkle a più livelli con una nuova struttura di manifest per ridurre drasticamente l'ingombro dei repository e i tempi di validazione, permettendo una transizione graduale e a basso sovraccarico verso la sicurezza contro le minacce quantistiche.

L'essenziale

Immagina che Internet sia una gigantesca autostrada digitale dove i camion (i dati) viaggiano da un punto all'altro. Per evitare che i ladri di strada rubino i camion o li dirottino verso destinazioni sbagliate, esiste un sistema di sicurezza chiamato RPKI. È come un registro notarile globale che certifica chi è il legittimo proprietario di ogni tratto di strada (gli indirizzi IP).

Oggi, questo registro è protetto da una "serratura" matematica chiamata RSA. È una serratura molto sicura... ma c'è un problema: i computer quantistici del futuro saranno come dei "super-chiavi" in grado di aprire qualsiasi serratura RSA in un batter d'occhio. Se questo accadesse, i ladri potrebbero rubare l'intero registro e dirottare il traffico di Internet.

La soluzione ovvia? Cambiare la serratura con una nuova, indistruttibile, chiamata crittografia post-quantistica (PQ). Ma qui nasce il problema, ed è qui che entra in gioco il paper pqRPKI.

Il Problema: La Serratura Gigante

Immagina che la nuova serratura post-quantistica sia fatta di pietre enormi.

• L'approccio ingenuo: Se proviamo a sostituire semplicemente le vecchie serrature di metallo con queste nuove pietre giganti su ogni singolo camion, il registro notarile diventerebbe così pesante e ingombrante che nessuno riuscirebbe più a spostarlo. I camion (i dati) diventerebbero così grandi da intasare le strade, e i controllori di sicurezza (i validatori) impazzirebbero per il tempo necessario a ispezionarli.
• La situazione attuale: Il sistema RPKI deve scaricare e controllare tutto il registro ogni 20-60 minuti. Se ogni documento diventa 3 volte più grande, il sistema collasserebbe per la lentezza e il consumo di banda.

La Soluzione: pqRPKI (Il Sistema "Scala e Chiave")

Gli autori del paper, Weitong Li e colleghi, hanno pensato: "Non possiamo cambiare ogni singola serratura con una pietra gigante. Dobbiamo cambiare il modo in cui organizziamo il registro."

Ecco come funziona pqRPKI, spiegato con un'analogia semplice:

1. Il Registro Notarile (Il Manifesto)

Invece di attaccare una serratura gigante a ogni singolo documento (ogni "ROA", che autorizza un camion a viaggiare), pqRPKI crea un unico registro centrale (chiamato Manifesto) che contiene l'elenco di tutti i documenti.

2. La Scala Magica (Merkle Tree Ladder)

Immagina di dover verificare 10.000 documenti.

• Il vecchio metodo: Dovresti prendere ogni documento, misurare la sua serratura gigante e controllare se è autentica. 10.000 volte!
• Il metodo pqRPKI:
  1. Metti tutti i documenti in una scala a pioli (una struttura matematica chiamata Merkle Tree Ladder).
  2. Ogni documento è un "gradino" della scala.
  3. Invece di mettere la serratura gigante su ogni gradino, metti la serratura gigante solo in cima alla scala.
  4. Il registro centrale (il Manifesto) ti dice esattamente dove si trova ogni gradino e come collegarlo alla cima.

Se un ladro cambia anche solo un documento in fondo alla scala, la serratura in cima cambia. Quindi, controllando solo la serratura in cima (che è piccola e veloce da verificare), sai immediatamente se qualcuno ha manomesso qualcosa in basso.

3. La Magia del "Manifesto"

La vera genialità di pqRPKI è spostare le informazioni di controllo (le "mappe" per salire la scala) dal documento stesso al Manifesto.

• Prima: Ogni documento portava con sé la sua mappa personale (rendendolo enorme).
• Ora: I documenti sono piccoli e leggeri. La mappa è nel Manifesto. Quando il registro cambia, si aggiorna solo il Manifesto e la parte superiore della scala, senza dover toccare o ingrandire i documenti vecchi.

I Risultati Pratici

Grazie a questo sistema intelligente, gli autori hanno costruito un prototipo che dimostra cose incredibili:

1. Risparmio di spazio: Anche con le nuove serrature "giganti" (crittografia post-quantistica), il registro totale diventa più piccolo di quello attuale! È come se avessimo sostituito i mattoni pesanti con l'aria, ma avessimo trovato un modo per tenerli insieme senza che cadano.
   • Risultato: Il registro è circa il 65-83% più piccolo rispetto a un approccio ingenuo.
2. Velocità: Controllare l'intero registro di Internet richiede ora meno di 2 minuti (invece di 20-40 minuti). Questo significa che se un ladro prova a rubare una strada, il sistema lo scopre e blocca il suo camion in pochi secondi, quasi in tempo reale.
3. Transizione dolce: Il sistema funziona anche se usiamo sia le vecchie serrature (RSA) che quelle nuove (PQ) contemporaneamente. È come avere un edificio con due ingressi: uno vecchio e uno nuovo, ma la struttura interna è la stessa. Questo permette di passare alla nuova sicurezza senza fermare Internet per un giorno.

In Sintesi

pqRPKI è come aver scoperto che, invece di mettere un'armatura di piombo su ogni singolo soldato (i dati), possiamo mettere un unico scudo magico sull'intero esercito e usare una mappa intelligente per sapere chi è chi.

In questo modo, anche se lo scudo è molto pesante (perché protegge dai computer quantistici), l'esercito rimane leggero, veloce e pronto a muoversi. È una soluzione pratica che ci permette di difendere Internet dal futuro, senza bloccare il presente.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del paper "pqRPKI: A Practical RPKI Architecture for the Post-Quantum Era" in lingua italiana.

1. Il Problema: La Vulnerabilità Quantistica dell'RPKI

L'infrastruttura a chiave pubblica delle risorse (RPKI) è il meccanismo fondamentale per l'autenticazione del routing interdominio su Internet, legando i prefissi IP agli Autonomous System (AS) autorizzati. Attualmente, la sicurezza dell'RPKI si basa su firme crittografiche RSA-2048, che sono vulnerabili agli attacchi di computer quantistici.

La transizione verso la crittografia post-quantistica (PQC) presenta sfide critiche specifiche per l'RPKI che non si riscontrano in altri PKI (come WebPKI/TLS):

• Modello "Bulk" (Massivo): A differenza dei PKI basati su handshake, i Relying Party (RP) devono scaricare e validare l'intero repository globale di oggetti (milioni di certificati e ROA) in cicli periodici (ogni 20-60 minuti).
• Overhead Dimensionale: Le firme PQC (es. Falcon, ML-DSA) hanno chiavi e firme molto più grandi rispetto all'RSA. Sostituire semplicemente l'algoritmo di firma porterebbe a un'esplosione della dimensione dei repository (fino a 4x) e a tempi di validazione inaccettabili.
• Frequenza di Aggiornamento: Gli oggetti RPKI (Manifest, CRL, certificati EE) vengono rigenerati frequentemente (ogni 8-24 ore). Una struttura rigida che richiede la re-firma di interi alberi ad ogni modifica causerebbe un'enorme instabilità e consumo di banda.
• Transizione Dual-Stack: È necessaria una lunga fase di transizione in cui coesistono firme RSA e PQC, raddoppiando potenzialmente il carico di dati da trasmettere e processare.

2. Metodologia: Architettura pqRPKI

Gli autori propongono pqRPKI, un framework che non si limita a sostituire l'algoritmo di firma, ma riprogetta l'architettura di autenticazione sfruttando le caratteristiche uniche dell'RPKI.

Concetti Chiave del Design

1. Spostamento dei Materiali di Verifica:

   • Invece di incorporare i percorsi di autenticazione (hash dei fratelli) in ogni singolo oggetto (come nelle implementazioni MTL standard per DNSSEC), pqRPKI sposta queste informazioni nel Manifest.
   • Il Manifest contiene la lista ordinata dei file e i commitment delle foglie ($H_{0i}$), permettendo di ricostruire l'albero di Merkle senza bloatare ogni singolo oggetto.

2. Merkle Tree Ladder (MTL) Multi-Livello:

   • Utilizza una struttura a "scala" (ladder) composta da alberi di Merkle di profondità limitata ("rungs").
   • Rung degli Oggetti: Contiene gli oggetti di routing (ROA, certificati).
   • Rung Metadati (Livello 0): Il Manifest e la CRL sono modellati come "rungs" di profondità zero appendi alla fine della scala. Questo isola il churn (aggiornamenti frequenti) dei metadati dal resto degli oggetti, evitando di dover re-firmare l'intero albero ad ogni aggiornamento di un ROA.

3. Sincronizzazione Guidata dal Manifest:

   • Gli RP scaricano prima il Manifest autenticato.
   • Confrontano la lista dei file e i commitment delle foglie con la cache locale per identificare esattamente quali file sono cambiati, aggiunti o cancellati.
   • Questo permette un download mirato (solo le differenze) e una validazione "bottom-up" (dal basso verso l'alto) che riutilizza i nodi interni calcolati, evitando ridondanze.

4. Gestione delle Cancellazioni e Indici:

   • Per evitare la re-indicizzazione dell'intero albero quando un oggetto viene cancellato, pqRPKI utilizza segnaposto ("D" per cancellato, "H" per nascosto) nel Manifest, mantenendo l'hash della foglia originale ($H_{0i}$) fino al prossimo rebuild giornaliero.

3. Contributi Chiave

• Architettura PQC Adattata all'RPKI: Integrazione di MTL con la struttura esistente dell'RPKI, mantenendo gli oggetti ROA invariati per garantire la compatibilità con i validatori legacy.
• Flusso di Lavoro di Validazione di Massa: Un meccanismo che localizza le differenze tramite il Manifest e ricostruisce l'albero in modo efficiente, riducendo i byte in transito e il lavoro CPU.
• Percorso di Migrazione Pratico: Supporto per la modalità "Dual-Stack" (RSA + PQC) con un overhead di dimensione minimo, permettendo una transizione graduale senza interrompere il servizio.
• Prototipo Funzionante: Implementazione completa di un Publication Point (PP) e di un Relying Party (RP) che dimostra la fattibilità operativa.

4. Risultati Sperimentali

Gli autori hanno valutato pqRPKI utilizzando dataset reali di 7 giorni (64 repository, ~466k oggetti) e dataset ad alta frequenza (1 minuto).

• Riduzione della Dimensione del Repository:

  • In modalità PQC-only, pqRPKI riduce la dimensione media del repository a 546.8 MB.
  • Questo è un 65.5% in meno rispetto all'uso diretto di Falcon e un 83.1% in meno rispetto a ML-DSA (Dilithium) con un approccio ingenuo.
  • In modalità Dual-Stack (con RSA), l'overhead aggiuntivo è solo del 3.4% rispetto all'RPKI attuale (882.4 MB vs 853.2 MB).

• Prestazioni di Validazione e Sincronizzazione:

  • Il tempo di validazione dell'intero ciclo è sceso a 102.7 secondi (rispetto a 213.2s per RSA e 404.6s per ML-DSA puro).
  • Il tempo end-to-end (dal Publication Point al Router) è di 118.3 secondi, permettendo cicli operativi sotto i 2 minuti.
  • La sincronizzazione "fredda" (da cache vuota) è 1.9 volte più veloce rispetto all'RSA e 4.2 volte più veloce rispetto a ML-DSA.

• Agilità Operativa:

  • Il tempo di firma per aggiornamenti incrementali (per minuto) è di circa 112 ms, permettendo di gestire aggiornamenti di policy ad alta frequenza senza picchi di latenza.

5. Significato e Impatto

Il lavoro di pqRPKI è significativo perché risolve il paradosso tra sicurezza post-quantistica e scalabilità operativa su Internet:

1. Fattibilità della Transizione: Dimostra che è possibile migrare l'infrastruttura di routing globale verso la sicurezza PQC senza richiedere aggiornamenti hardware massivi o causare collassi di banda, grazie all'ottimizzazione strutturale.
2. Sicurezza in Tempo Reale: La riduzione dei tempi di validazione e propagazione (da 20-40 minuti a <2 minuti) trasforma l'RPKI da un sistema di controllo lento a un meccanismo di difesa quasi in tempo reale contro il hijacking delle rotte.
3. Compatibilità e Flessibilità: L'approccio non invasivo (che preserva gli oggetti esistenti) facilita l'adozione graduale da parte degli operatori di rete e si integra bene con tecniche di compressione dei dati (come iRPKI o Null Scheme).

In sintesi, pqRPKI non è solo una sostituzione crittografica, ma una riorganizzazione fondamentale dell'architettura di autenticazione che rende l'RPKI resiliente alle minacce quantistiche mantenendo (e migliorando) le sue prestazioni operative attuali.