6/23/2017

NISTが提案したRPKI研究の興味深い方針

インターネット・ガバナンス・プロジェクトのブログより。RPKIの普及の障害は、RIR前に取得されたPIアドレスをどうするか。

ドメイン間ルーティング・トラフィック交換のセキュリティを改善する取り組みの一環として、NISTはRPKIと、経路広告が想定される自律システム(AS)からの発信として認証されるプロセス、経路オリジン検証(ROV)をテストするプロジェクトに関するRFC(Request For Comments)を発行した。プロジェクトの結果は、ドメイン間プロトコルとルーティング技術の使用に関するセキュリティ勧告を提供するNIST Special Publication (SP 800-189 - 準備中)の決定に役立つ。

NANOGのメーリングリストにコメントを求めたところ、プロジェクトのマネージャは次のように指摘した:

プロジェクトの目的は、現実的なシナリオでのRPKIとBGPオリジン検証技術の状況を検証・実証し、そのデプロイと使用に関する懸念事項に対処することである(セキュリティ、堅牢性、管理/監視、マルチベンダーの相互運用)。... この要請は、提案されたプロジェクト計画に対する業界の意見用である。具体的には、実際の問題、採用の障壁、これらがどのようにプロジェクトの中で対処するかの提案をネットワーク事業者と企業の双方から我々は意見を求めている。

プロジェクトはROVの2つのシナリオ、"ホスト型RPKI"と"委任型RPKI"を調査研究している。ホスト型RPKIは、まさにアドレス所有者のターンキー・デプロイで、経路オリジン認可(ROA)の作成、例えばASやプレフィックスに結び付けるデジタル署名情報や、ROVで使われている主要材料を生成してホストするのを地域インターネット・レジストリ(RIR)に大きく依存する。委任型RPKIの下では、より運用者コントロールのアプローチで、RIRはASの委任されたRPKI鍵ペアの秘密鍵をホストする必要はない。このシナリオでは、アドレス所有者は、BGPに関与する顧客にRPKIサービスをホストし、委任することができる。相対的な独立にも関わらず、アドレス所有者は委任された取り決めの下でメンテナンスし、プロジェクト説明の草案は一定の要件を決めている(264〜268行)。

参加するには、組織はRIRから取得したIPv4またはIPv6プレフィックスがなければならない。また、認証する必要がある全てのリソース(またはROA)をカバーするためにRegistration Services Agreement (RSA)に署名する必要がある。組織は、認証する予定のリソースを管理するためにRIRにアカウントを持たなければならない。

要件の説明の一つは、RIRがテスト可能なRPKIシステムを運用し、アドレスリソースのレジストリ情報も管理するということだ。しかし、これらの政策ライクな要件は、ARIN地域のアドレス所有者の大部分がプロジェクトに参加するのを妨げるようにも見える。レガシーなアドレス空間を多く所有する人たちは、RIRが存在する前に多くの番号を得ており、RSAに署名していない。国際標準採用のポイントは可能な限り幅広くデプロイすることではないのだろうか?

経験のないレガシー空間は、RIRの創設の前に獲得したIPアドレス空間である。レガシー空間の所有者の見積もりは、北米のアドレス空間の40%近くを占める。彼らは、アドレス空間にRIRと契約する事業者よりも強い財産権を享受しており、このレガシーな所有者は、権利を弱めてしまう可能性があるRIRとの標準的なRSA契約を結ぶことに気が進まない。我々が以前報告したように、RIRの間には重要な方針の違いがある。これらの違いは、ROA作成に影響を与えているように思われる。例えば、RIPE地域は、ネットワーク事業者を含めることでROA作成に最も成功している。これは、プロバイダ非依存とレガシーアドレス空間の所有者のような非RIPE NCCのメンバーがリソース証明を受け取ることができるようにすることを保証する手順が取られたためだと、我々は考えている。また、RIPEは、RIPE NCCと正式な契約を締結したくないレガシーアドレス空間の所有者へのレジストリサービス(リソース証明を含む)の提供を明確にするため、その方法を外したことを、我々は指摘した。同様の方針はARIN地域では追求されておらず、ROA作成ではRIPEに大きく遅れをとっている。

要約すると、RIR間の方針の違いとインターネットセキュリティへの影響は、相変わらずオープンで重要な研究分野である。NISTプロジェクトの結果が地域間のRPKIデプロイの継続中の変化を説明できなくても、驚くことではないだろう。

[更新: ARINによると、ARIN地域のほぼ25,000のIPv4ネット(あるいは50%)がレガシーである。別の関連のある噂では、それらのレガシーネットの50%はARIN Whoisへの有効な窓口を持っていない。レガシー空間の所有者の関与を促すARINの方針のポイントとなるものは、正確なレジストリデータを保証し、より幅広いROVとより良いインターネットセキュリティを順にサポートするのに役立つ可能性がある。]