荷蘭政府將全面導入RPKI標準以防範BGP挾持

荷蘭政府於今年4月宣布，在2024年年底前，荷蘭政府旗下的所有IT系統都必須導入資源公鑰基礎設施（Resource Public Key Infrastructure，RPKI）標準，以避免邊界閘道協定（Border Gateway Protocol，BGP）遭到挾持。

RPKI為一用來保護網路流量路由的開放標準，透過數位憑證來確認流量的路由是否來自原始網路供應商，集中存放的憑證可讓全球網路業者存取與驗證，避免路由外洩或是網路流量遭到挾持。導入RPKI有兩個步驟，一是由自治系統（AS）簽署路由來源授權（Route Origin Authorization，ROA）紀錄來證明其IP空間的合法來源，二是各AS可藉由ROA來避免選擇無效路由。

不管是荷蘭外交部的IP位址在2014年遭到保加利亞電信營運商暫時挾持，或者是歐洲的行動流量在2019年不慎被導至中國電信的網路架構等意外事件，都可受到RPKI的保護。

其實荷蘭政府早在2019年便規定新採購案必須以RPKI為準，最新的政策則是要求所有既有的IT系統與服務都必須在明年底前升級至RPKI。目前荷蘭政府旗下所有網站已有77.9%採用RPKI，電子郵件伺服器亦有75.1%採用RPKI。

過去幾年，資安業者不斷呼籲各界應利用RPKI來強化全球路由的安全性，根據Cloudflare去年底的估計，全球RPKI系統上已存放了近40萬個IPv4 ROA與逾8.6萬個IPv6 ROA，採用率約為40%。