Breaking it down, to build it back up: Attacks and Defenses for RPKI

The Border Gateway Protocol (BGP) is the glue that holds the Internet together and enables packets to reach their destinations. However, BGP is not secure by design. It is vulnerable to hijacking attacks and route leaks, and the community has tried for decades to find a solution for this design error. The Resource Public Key Infrastructure (RPKI) has emerged as the only currently feasible solution to BGP's woes. It is an intuitive, flexible infrastructure that allows any BGP security protocol that relies on distributed, cryptographically verifiable data, to get incorporated and effectively deployed across BGP routers. RPKI already covers over 50% of network prefixes and is deployed by at least 27% of networks in the world. It has already proven its benefits over the past few years due to many BGP hijacks, which went unnoticed by those deploying RPKI, but caused severe consequences for those who didn't. RPKI has proven itself so successful, that the Federal Communications Commission (FCC) published a recommendation on routing security, where they suggested mandating the use of RPKI for all major ISP providers in the US. However, not all that glitters is gold. While RPKI is an excellent approach to solving the security issues of BGP, it is not perfect. In this work, the author evaluates the security of the RPKI ecosystem as a whole, and that of all RPKI software components individually. The author discovers a range of attacks that lead to the silent downgrade of RPKI protection, or the Denial-of-Service (DoS) of RPKI components, and evaluates current RPKI deployment practices only to discover trends that are concerning when extrapolated to full RPKI deployment. Finally, this work also provides the first attempt to mitigate all above mentioned RPKI issues through a distributed infrastructure that enhances RPKI component security and efficiency, and is backwards compatible with the current RPKI environment. This thesis is based on work published in 6 full papers and 2 posters in international academic conferences. This work resulted in the discovery of 18 vulnerabilities in RPKI code, and the issuance of 5 Common Vulnerabilities and Exposures (CVEs).

Das Border Gateway Protocol (BGP) ist das Protokoll, das das Internet zusammenhält und Paketen ermöglicht, ihre Ziele zu erreichen. Trotz seiner Relevanz ist BGP nicht sicher-by-design. Das Protokoll ist anfällig für hijacking Angriffe sowie route leaks, weshalb die Internetgemeinschaft seit Jahrzenten versucht, Lösungen für diese Probleme zu finden. Die Resource Public Key Infrastructure (RPKI) präsentiert sich als die einzige praktische Lösung für BGP-Sicherheit. Das Protokoll stellt eine intuitive und flexible Infrastruktur zur Verfügung, die beliebige BGP Sicherheitsprotokollen, die verteilte, kryptografisch validierbare Daten benötigen, die Möglichkeit gibt, in RPKI integriert zu werden und effektiv über BGP Router eingesetzt zu werden. RPKI deckt bereits über 50% der Netzwerk-Prefixen ab und wird von mindestens 27% der globalen Netzwerke eingesetzt. Basierend auf seinem globalen Einsatz hat RPKI in den letzten Jahren bereits seinen Mehrwert im Schutz gegen BGP Hijacking Angriffe bewiesen. Während RPKI-geschützte Systeme Angriffe nicht bemerkten, hatten die Angriffe schwerwiegende Folgen für ungeschützte Systeme. Der Erfolg von RPKI hat dazu geführt, dass die Federal Communications Commision (FCC) im Rahmen einer Empfehlung zur Routing Sicherheit für alle großen Internetanbieter in den USA die verpflichtende Nutzung von RPKI vorgeschlagen hat. Doch nicht alles was glänzt ist Gold. Auch wenn RPKI einen exzellenten Ansatz bietet, ist sie nicht perfekt. Im Rahmen dieser Arbeit, evaluiert die Autorin die Sicherheit der Gesamtheit der RPKI Infrastruktur sowie der einzelnen RPKI Softwarekomponenten. Die Untersuchung zeigt eine Reihe von Angriffen auf, die ein stilles Abschalten des RPKI Schutzes ermöglichen und zum Abschalten von RPKI Komponenten führen können. Zusätzlich, werden aktuelle Einsatzmodelle evaluiert und Tendenzen aufgezeigt, die zu Problemen führen werden, wenn RPKI in allen globalen Systemen eingesetzt wird. Basierend auf den Ergebnissen schlägt diese Arbeit die erste Lösung für die genannten RPKI Probleme in Form einer verteilte Infrastruktur vor, welche die Sicherheit und Effizienz von RPKI Komponenten verbessert und rückwärts-kompatibel mit der bestehenden RPKI Umgebung ist. Diese Dissertation basiert auf 6 vollen Publikationen und 2 Postern auf internationalen akademischen Konferenzen. Die Ergebnisse dieser Arbeit haben 18 Schwachstellen in RPKI Code aufgedeckt, die zur Ausstellung von 5 Common Vulnerabilities and Exposures (CVEs) geführt haben.