Un nouveau sigle va devoir être appris par les
Ces
Le format des ROA est tiré de la norme
Le contenu précis, tel qu'indiqué dans la section 3, est, en
RouteOriginAttestation ::= SEQUENCE {
version [0] INTEGER DEFAULT 0,
asID ASID,
ipAddrBlocks SEQUENCE (SIZE(1..MAX)) OF ROAIPAddressFamily }
où
La section 4 décrit quant à elle les règles de validation
spécifiques aux ROA : aux règles génériques des objets de la RPKI,
elle ajoute l'obligation de vérifier que les adresses indiquées dans
le ROA figurent bien dans le certificat signataire (c'est-à-dire que
c'est bien le titulaire des adresses qui a émis le ROA). Mais il vaut
mieux consulter le
À noter qu'on ne peut mettre qu'une seule signature par ROA. Une des vives discussions du groupe de travail SIDR avait porté sur la possibilité de signatures multiples, afin de gérer certaines relations complexes entre clients et opérateurs, mais cela avait finalement été rejeté.
On peut récupérer tous les ROA des préfixes
% certification-validator --print -f roa-5574190.roa
Content type: 1.2.840.113549.1.9.16.1.24
Signing time: 2011-01-11T19:04:18.000Z
ASN: AS559
Prefixes:
193.5.26.0/23 [24]
193.5.152.0/22 [24]
193.5.168.0/22 [24]
193.5.22.0/24
193.5.54.0/23 [24]
193.5.58.0/24
193.5.60.0/24
193.5.80.0/21 [24]
ou bien avec l'outil de l'
% print_roa /home/bortzmeyer/tmp/roa-5574190.roa
Certificates: 1
CRLs: 0
SignerId[0]: b6:6f:5a:10:d5:7f:ed:6d:b1:62:96:2c:cb:92:35:bb:5d:f8:c3:ca [Matches certificate 0] [signingTime(U) 110111190418Z]
eContentType: 1.2.840.113549.1.9.16.1.24
version: 0 [Defaulted]
asID: 559
addressFamily: 1
IPaddress: 193.5.26.0/23-24
IPaddress: 193.5.152.0/22-24
IPaddress: 193.5.168.0/22-24
IPaddress: 193.5.22.0/24
IPaddress: 193.5.54.0/23-24
IPaddress: 193.5.58.0/24
IPaddress: 193.5.60.0/24
IPaddress: 193.5.80.0/21-24
Comme les ROA sont en CMS, on peut aussi tenter sa chance avec des
logiciels qui traitent du CMS générique. Ils ne comprendront pas tout
mais pourront au moins afficher une partie de la structure :
% openssl asn1parse -inform DER -in RFZr0zO7xjc1bNCEVboVjI8JZlw.roa
0:d=0 hl=2 l=inf cons: SEQUENCE
2:d=1 hl=2 l= 9 prim: OBJECT :pkcs7-signedData
...
1340:d=7 hl=2 l= 9 prim: OBJECT :contentType
1351:d=7 hl=2 l= 13 cons: SET
1353:d=8 hl=2 l= 11 prim: OBJECT :1.2.840.113549.1.9.16.1.24
1366:d=6 hl=2 l= 28 cons: SEQUENCE
1368:d=7 hl=2 l= 9 prim: OBJECT :signingTime
1379:d=7 hl=2 l= 15 cons: SET
1381:d=8 hl=2 l= 13 prim: UTCTIME :110406122632Z
1396:d=6 hl=2 l= 47 cons: SEQUENCE
...
De même, les outils génériques
Un exposé d'Arnaud Fenioux à l'assemblée générale du