<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 11 Oct 2021 at 11:52, Tim Bruijnzeels <<a href="mailto:tim@nlnetlabs.nl">tim@nlnetlabs.nl</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> On 11 Oct 2021, at 12:45, Matthew Walster <<a href="mailto:matthew@walster.org" target="_blank">matthew@walster.org</a>> wrote:<br>
> <br>
>  I genuinely don't understand the reason for obstruction here, what am I missing?<br>
<br>
Perhaps this sentence could have made clear that I am not 'obstructing':<br></blockquote><div><br></div><div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">My apologies if I've also misread.</div></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
 "In that context, I am not against BGPSec as such, there are just things  that I<br>
would like to see first."<br>
<br>
In any case, I know it's not my decision to make. Feedback was asked. I gave my 2cts</blockquote><div><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Indeed, and it's good to hear from those with a dissenting opinion also. </div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">I, too, am wary about BGPsec -- mostly from a pragmatic operational point-of-view rather than a technical one. The barrier to entry has to be sufficiently low that it is almost a no-brainer to turn BGPsec on within a router, even if the policies to filter are not implemented, having the signing of your own prefix originations strengthens the trust and reliability in RPKI OV.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">I think there's a lot that needs to be analysed, tested, and potentially altered before it becomes mainstream. As you quite rightly say, there are things that need to be seen first -- and one of those things is the availability of router signing keys in RPKI to do offline analysis. Signing and not verifying would produce a great deal of useful data to guide the future of both BGPsec and projects like ASPA.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Hence, the addition of router signing keys into the hosted RPKI offering does seem like a win-win to me, regardless of how BGPsec turns out, having the keys in the repo is definitely something that I feel would be of benefit.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Matthew Walster</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"></div></div></div>