ملخص
- يجب على NRS أن تسعى للحصول على اعتراف محمول: سجل استمرارية يتحكم فيه حامل الحقوق، ويمكن التحقق منه بشكل مستقل، وقادر على البقاء عند تغيير خدمات السجل ومفاتيح الشهادات والمستودعات والهوية القانونية مع الحفاظ على التسلسل الهرمي للاعتراف بـ IANA-RIR.
- يوفر ترحيل مرساة الثقة لـ RPKI دروساً هندسية مفيدة، وخاصة المفاتيح الخلفية المتدرجة والتعايش، لكن هوية NRS لا يمكن أن تصبح موثوقة عالمياً لمجرد أنها موقعة. يجب على الأطراف المعتمدة والسجلات المعترف بها والمشغلين اختيار وإدارة الثقة.
- يجب أن يربط السجل المحمول هوية حامل الحقوق ونطاق الموارد وتاريخ السلطة وجهات الاتصال الحالية وموقع RDAP وحالة RPKI وتفويض DNS العكسي والنزاعات والإيصالات والإلغاءات دون كشف الأدلة الخاصة أو تجميد الأخطاء السابقة.
- هذا اقتراح مؤسسي إيجابي، وليس تقريراً عن قدرة مكتملة. لا يزال الدليل العام على أن NRS تدير المفاتيح المطلوبة والشهود والمراجعة المستقلة وتمارين الاستمرارية والاعتماد الواسع من الأطراف المعتمدة محدوداً.
تبدأ قابلية النقل حيث تنتهي علاقة السجل
يمكن لحامل الموارد الرقمية أن يبقى بعد المؤسسة التي سجلته أولاً. تندمج الشركات وتنقسم وتغير أسماءها وتنتقل وتدخل في الإفلاس. يمكن للسجلات تغيير سياساتها أو فقدان قدرتها التشغيلية أو مواجهة أوامر قضائية أو نقل المسؤوليات. تنتهي صلاحية مفاتيح الشهادات. تتغير عناوين المستودعات. يغادر جهات الاتصال. يمكن أن يظل تفويض DNS العكسي مرتبطاً بحساب قديم حتى بعد تغيير الكيان التجاري الأساسي.
الإجابة المعتادة هي أن نطلب من السلطة الحالية الاعتراف بالحالة الجديدة. هذه الإجابة ضرورية ولكنها غير كاملة. فهي تضع أغلب أدلة الاستمرارية خلف نفس الباب الذي قد يعترض عليه حامل الحقوق أو يحاول تركه. إذا لم يتمكن السجل من العمل، أو رفض الفرضية، أو افتقر إلى سياسة نقل ذات صلة، أو لم يكن له خلف مقبول، فقد يمتلك حامل الحقوق عقوداً ومراسلات وسجلات تاريخية دون دليل مدمج يمكن للشبكات الأخرى التحقق منه.
من شأن قابلية النقل أن تغير موقف حامل الحقوق. فهي لن تسمح له باختراع تخصيص أو الهروب من سياسة سارية. بل ستسمح له بنقل سجل موقّع لما تم الاعتراف به، ومن قام به، وما هي الموارد وتحت أي شروط وفي أي وقت وما هي التغييرات والنزاعات اللاحقة. يمكن لطرف معتمد مستقل التحقق من السلسلة دون الاعتماد على لقطة شاشة أو ادعاء خاص.
جمعية موارد الأرقام (Number Resource Society) في وضع جيد لمتابعة هذا الاتجاه المستقبلي لأن فلسفتها العامة تتعامل مع مؤسسات الموارد الرقمية كمحاسبين تعتمد شرعيتهم على سجلات دقيقة واعتراف طوعي. الفرصة هي بناء سجل أفضل: محمول بما يكفي للبقاء عند التغييرات المؤسسية، ومقيد بما يكفي لئلا يصبح مصدراً منافساً للسلطة التعسفية.
مرساة الثقة هي قرار، وليس ملف شهادة
في التشفير، مرساة الثقة هي معلومات يقبلها طرف معتمد كنقطة بداية للتحقق. قد يحتوي الملف على مفتاح عام وموقع، لكن الفعل الحاسم يحدث عندما يختار مشغل أن يثق بهذا المفتاح لغرض محدد. التوقيع يثبت أن المفتاح الخاص المقابل قد أذن بالبيانات. لكنه لا يثبت أن الموقّع استحق السلطة.
هذا التمييز مهم لـ NRS. فهي قد تنشر بيانات جميلة التوقيع غداً ولا تزال تفتقر إلى الشرعية المعترف بها للتصديق على الموارد الرقمية للإنترنت. ستكون الشبكات عقلانية في التساؤل عن من تحقق من حامل الحقوق، وكيف يتم تجنب الادعاءات المكررة، وما هي السلطات القائمة التي وافقت، وماذا يحدث بعد الخطأ، وما إذا كان يمكن سحب الموقّع دون تدمير الاستمرارية.
لذا يجب أن تعمل قابلية النقل على مستويين. مستوى السلطة يسجل قرارات IANA وRIRs والسجلات الوطنية أو المحلية وغيرها من المصدرين المعترف بهم. مستوى الأدلة يحافظ على الإيصالات القابلة للتحقق وتحولات الهوية ونطاق الموارد والنزاعات واستمرارية الخدمة. يمكن لـ NRS قيادة مستوى الأدلة قبل أن يكون لها أي دور في مستوى السلطة.
هذا ليس دوراً خجولاً. فالأدلة الموثوقة تغير ميزان القوة. يمكن لحامل الحقوق مع تاريخ قابل للتحقق أن يعترض على سجل خاطئ، وينقل الخدمات، ويثبت الاستمرارية للأطراف المقابلة، ويدعم الخلافة المنظمة. يمكن للمشغلين مقارنة الادعاءات دون إيداع حامل الحقوق الحالي الوصاية الحصرية على الماضي. يصبح الاعتراف محمولاً قبل أن تصبح السلطة قابلة للنقل.
يجب أن يظل التسلسل الهرمي الحالي مرئياً
يوثقRFC 7020نظام سجل أرقام الإنترنت كتسلسل هرمي منسق. تخصص IANA نطاقات كبيرة لسجلات الإنترنت الإقليمية، التي تقوم بتخصيصات أو تعيينات أخرى، مباشرة أو من خلال سجلات أخرى. دقة وفريدية التسجيل هما مطلبان أساسيان. تبقى خيارات التوجيه مسائل تشغيلية خارج النطاق المباشر لسجل التخصيص.
أي تصميم لـ NRS يخفي هذا التسلسل الهرمي من شأنه أن يخلق ارتباكاً. يجب ألا يبدو بيان حامل الحقوق الذي يؤكده بنفسه كسجل RIR. يجب ألا يُقدم عقد تاريخي كدليل على السلطة الحالية إذا كان نقل لاحق معترف به قد غيّر الحالة. يجب ألا يبدو قرار العضوية في NRS كتفويض من IANA.
يجب على السجل المحمول أن يصنف السلطة بدقة. يحتاج كل ادعاء إلى مُصدر ونطاق موارد وفترة صلاحية وفئة دليل وحالة حالية. "سجلت ARIN المنظمة X للبادئة Y في التاريخ Z" يختلف عن "قالت المنظمة X لـ NRS إنها تتحكم في Y." يمكن تسجيل كليهما، لكن الأول فقط هو دليل سجل من ARIN. إذا اعترض سجل معترف به على الادعاء، يجب أن يسافر هذا النزاع مع السجل.
تنجح قابلية النقل عندما يظل التاريخ مفهوماً بعد تغيير الحارس. تفشل عندما تمحو مؤسسة جديدة الفرق بين دليل السلطة والسلطة نفسها.
لدى NRS فرضية متسقة لإثباتها
يرىميثاق NRSأن مؤسسات الموارد الرقمية تستمد شرعيتها من الاعتراف الطوعي والتسجيل الدقيق والإدارة الرزينة بدلاً من السلطة التنظيمية غير المحدودة. يقدم NRS كداعية للاستقرار وحرية المؤسسة والشفافية والمساءلة. هذه ادعاءات من طرف أول، وليست أدلة مستقلة على القدرة.
بأخذه على محمل الجد، يتضمن الميثاق تصميماً متطلباً. لا يمكن أن يعني الاعتراف الطوعي الثقة بالشعار. يتطلب شروطاً واضحة وضوابط قابلة للتفتيش وخروجاً دون احتجاز البيانات. لا يمكن أن تعني الدقة قبول حامل الحقوق الأعلى صوتاً. تتطلب معايير دليل وكشف تضارب وتصحيحاً ومراجعة. لا يمكن أن تعني السلطة المحدودة مسؤولية ضعيفة. تتطلب فصل الأدوار بحيث لا يستطيع أي مؤسس أو مجلس إدارة أو مدقق أو شريك تجاري إعادة كتابة الاعتراف بصمت.
تكشفشروط العضوية المنشورةلـ NRS بالفعل عن قرارات يمكن أن تصبح أرض الاختبار الأولى. قد يتطلب القبول معلومات إضافية وينطوي على تقدير. يؤثر التعليق والإنهاء على وضع العضو. يمكن لـ NRS إصدار إيصالات موقعة ومعللة لهذه القرارات، وتوفير مراجعة من قبل أشخاص لم يتخذوا القرار الأول، والسماح للأعضاء السابقين بالاحتفاظ بدليل على وضعهم السابق.
هذا لن يؤسس بعد لمرساة ثقة للموارد الرقمية. لكنه سيظهر أن NRS يمكنها الحفاظ على الهوية والسلطة والزمن والأسباب والتصحيح والخروج في مجالها الخاص. يجب أن تنمو المصداقية المؤسسية من ضبط النفس المثبت قبل طلب اعتراف أوسع.
تتطلب قابلية النقل كائناً محدداً
يمكن لعبارة "مرساة ثقة محمولة" أن تصبح غامضة إذا لم تسمِ ما يتحرك. سجل اعتراف محمول مفيد من NRS سيحتوي على نواة عامة صغيرة وأدلة داعمة محمية.
يجب أن تحدد النواة العامة نطاق الموارد أو ASN واسم حامل الحقوق المعترف به ومعرفاً ثابتاً لحامل الحقوق ومُصدر كل بيان سلطة وتاريخي السريان والاستبدال والحالة الحالية والمفتاح العام للاستمرارية لحامل الحقوق ومعلومات اكتشاف RDAP الموثوقة ومراجع RPKI ومراجع تفويض DNS العكسي وعلامات النزاع والالتزامات التشفيرية للأدلة الداعمة. يجب ألا تتضمن أي عنوان شخصي أو وثيقة هوية أو عقد سري غير ضروري.
يجب أن تحافظ الأدلة المحمية على المستندات والإفادات اللازمة لإعادة بناء القرار: إيصالات السجل والطلبات الموقعة من حامل الحقوق وأدلة خلافة الشركة وموافقات النقل وموافقات تدوير المفاتيح وقرارات المراجعين والإشعارات. يجب أن يقتصر الوصول على أغراض محددة وأن يتم تسجيله. قد يحتاج المراجعون المختلفون إلى وجهات نظر مختلفة.
يجب أن يتلقى حامل الحقوق حزمة محمولة تحتوي على السجل العام وإيصالاته الخاصة وأدلة الإصدار والإصدارات السابقة وشهادات المُصدر وتعليمات التحقق المستقل. يجب أن تظل الحزمة قابلة للتحقق دون حساب NRS نشط. وإلا، فإن التعليق أو النزاع على الرسوم قد يمحو قابلية النقل الموعودة.
السجل ليس سند ملكية. إنه سجل منظم للاعتراف والتغييرات. تبقى الحقوق القانونية والحقوق التعاقدية واستخدام التوجيه والأهلية السياسية مسائل منفصلة.
يجب أن يبدأ تحكم حامل الحقوق بمفتاح استمرارية
يحتاج حامل الحقوق إلى هوية تشفيرية لا تتغير لمجرد تغيير حساب السجل أو موظفه أو مزود خدمته. يمكن تمثيل هذه الهوية بمفتاح استمرارية يتحكم فيه حامل الحقوق تحت إدارته الخاصة. يجب أن يوقع على الطلبات ويؤكد استلام الإيصالات ويأذن بخلافة المفاتيح.
مفتاح على حاسوب محمول واحد لا يكفي. تحتاج الشركات إلى تحكم عتبي وحماية مادية وأدوار مسماة وإجراءات استرداد وخلافة بعد مغادرة الموظفين. قد تستخدم مؤسسة صغيرة وصياً معتمداً، لكن يجب ألا يكتسب الولي سلطة أحادية لنقل الموارد. قد يحتاج المسؤول المعين من قبل المحكمة إلى مسار استرداد موثق عندما لا يكون الموقعون المعتادون متاحين.
يجب ألا يصبح مفتاح الاستمرارية فخاً دائماً. التقادم التشفيري يحدث، والأجهزة تفشل، والمفاتيح تتعرض للاختراق. يجب أن يدعم السجل المحمول بيان مفتاح خلف موقّع وفترة قبول وإخطار للأطراف المعتمدة المعروفة ومسار اعتراض محمي. يتطلب الاستبدال الطارئ أدلة أقوى ومراجعين أكثر من التدوير الروتيني.
لتحكم حامل الحقوق حدود أيضاً. لا يمكن أن تتجاوز حيازة مفتاح الاستمرارية نقلاً معترفاً به أو أمراً قضائياً صحيحاً أو اختراقاً مثبتاً. إنها تؤسس لاستمرارية صوت يأذن به حامل الحقوق، وليس حقاً مطلقاً. يجب على NRS جعل هذا الحد مرئياً في كل مدقق.
يظهر RPKI كيف تتبع الثقة تفويض الموارد
يصفRFC 6480RPKI كتسلسل هرمي للشهادات يتماشى مع تخصيص الموارد الرقمية. تدعم الشهادات التحقق من الكائنات الموقعة مثل ROA. يحددRFC 6487كيف تربط شهادات الموارد مفتاح الموضوع بالموارد المدرجة لعناوين IP أو أرقام AS.
يوفر التسلسل الهرمي درساً أساسياً: السلطة موروثة من خلال تفويض معترف به. قد تكون الشهادة المنشأة خارج هذه السلسلة صالحة تشفيرياً بمعزل عن ذلك، ولكنها غير ذات صلة بالمشغلين الذين لا يثقون في جذرها. كما أن شهادة الموارد لا تعمل كشهادة هوية عامة للشركة. اسم موضوعها غير وصفي عمداً بمعنى الهوية العادية.
بالنسبة لـ NRS، الدرس هو تجنب شهادة زخرفية تبدو أقوى من سلطتها. يمكن للسجل المحمول تضمين حالة RPKI والتحقق من الكائنات الموقعة تحت مراسي ثقة مقبولة. يمكنه الحفاظ على إيصالات RPKI التاريخية وإظهار متى تغير تفويض حامل الحقوق. لا يمكنه جعل جذر NRS جزءاً من أمن التوجيه العالمي بالتصريح.
المسار الإيجابي هو التشغيل البيني. يمكن للسجلات المعترف بها توقيع إيصالات محمولة. يمكن لحاملي الحقوق ربط مفتاح الاستمرارية الخاص بهم بالمفتاح المستخدم لخدمات RPKI المفوضة. يمكن للأطراف المعتمدة التحقق من كل من سلسلة RPKI المعترف بها وتاريخ استمرارية NRS، كل لاقتراحه المناسب. بمرور الوقت، قد يبرر المشاركة الواسعة دوراً أكثر رسمية لـ NRS. الثقة ستتبع الأدلة بدلاً من أن تسبقها.
محددات مرساة الثقة تجعل مشكلة التمهيد واضحة
يعرّفRFC 8630محدد مرساة الثقة RPKI (TAL). يعطي الأطراف المعتمدة موقعاً أو أكثر لاسترداد شهادة مرساة ثقة ومفتاح عام للتحقق من تلك الشهادة. يبدأ الطرف المعتمد بمواد ثقة موزعة بوسائل أخرى، ثم يسترد الشهادة الحالية ويصادق عليها.
هذا تشبيه مفيد وتحذير. يمكن لـ TAL حمل مواقع متعددة، مما يساعد الخدمة على البقاء عند فقدان عنوان مستودع. يسمح لمحتوى الشهادة بالتغير بينما يستمر الطرف المعتمد في التعرف على المفتاح المهيأ. لكن الطرف المعتمد لا يزال بحاجة إلى الحصول على TAL وقبوله. إذا تمت الموافقة على المفتاح الخطأ، فإن التشفير الصحيح يصدق بأمانة السلطة الخطأ.
تحتاج حزمة NRS المحمولة إلى تاريخ تمهيد خاص بها. من يعطي الشبكة أول مفتاح NRS؟ كيف تعرف الشبكة أنه ليس محتالاً؟ كيف يتم الإعلان عن مفاتيح الاستبدال؟ هل يمكن لموقعي NRS تقديم تواريخ مختلفة؟ ماذا يحدث إذا أمرت ولاية قضائية مضيفاً بحذف البيانات؟
يجب أن تستخدم الإجابة قنوات مستقلة متعددة: مراسم مفاتيح منشورة، نقاط تفتيش موثقة على نطاق واسع، إصدارات مدقق قابلة للتكرار، مواقع مستودعات متعددة، إيصالات أعضاء، ونسخ أرشفة طرف ثالث. لا ينبغي أن تكون جلسة موقع ويب واحدة هي أساس الثقة الوحيد.
المفاتيح الخلفية أفضل من التبديل المفاجئ
يضيفRFC 9691كائناً موقعاً لمفتاح مرساة الثقة للتحولات المخطط لها لمفتاح مرساة الثقة RPKI. يسمح لمشغل مرساة الثقة بالإشارة إلى المفاتيح الحالية والخلفية ومواقع الشهادات المرتبطة بها. الأطراف المعتمدة التي تدعمه تراقب الخلف لفترة قبول محددة قبل الترحيل، بينما يمكن للعملاء الأقدم الاستمرار بالمواد السابقة حتى تحديث منفصل.
يجب ألا تُنسخ آلية RPKI المحددة بشكل أعمى في مؤسسة مختلفة. قيمتها هي انضباط الهجرة. يجب الإعلان عن تغيير جذر NRS مستقبلي بواسطة المفتاح القديم، وتأكيده بالمفتاح الجديد، وإثباته عبر قنوات مستقلة، والسماح له بالتعايش لفترة معلنة. يجب أن يتمكن الأطراف المعتمدة من اختبار الخلف قبل الاعتماد عليه. يجب أن توجد خطة تراجع إذا تباعدت التواريخ أو فشلت المدققات.
الاختراق الطارئ أصعب لأن المفتاح القديم لا يمكن الموافقة عليه ليبارك خلفه. يجب أن يتطلب الاسترداد موافقة عتبية من أمناء منفصلين، ونتيجة مستقلة للحادث، وإشعاراً عاماً، وأدلة محفوظة، وفرصة للأطراف المعتمدة لتثبيت آخر نقطة تفتيش غير متنازع عليها. لا ينبغي لأي مسؤول أن يمتلك حق مرور خاصاً يستبدل الجذر بصمت.
يجب أن يكون سجل الترحيل نفسه محمولاً. يجب أن يتمكن حامل الحقوق أو المشغل من التحقق من سبب انحدار توقيع NRS لاحق من حالة ثقة سابقة حتى لو اختفى موقع الخدمة القديم.
يجب أن تبقى الأدلة المستقلة على قيد الحياة بعد المشغل
قابلية النقل ضعيفة إذا كان يجب استرداد كل دليل من NRS في وقت الاستخدام. عطل أو إكراه قانوني أو فشل تنظيمي من شأنه إزالة التحقق. يجب أن يمتلك حامل الحقوق مواد كافية لإثبات الإدراج في حالة سبق إثباتها، ويجب على المراقبين المستقلين الاحتفاظ بالالتزامات المقابلة.
يعرّفRFC 9162آليات شفافية الشهادات، بما في ذلك رؤوس الأشجار الموقعة وأدلة الإدراج وأدلة الاتساق لسجل إضافة فقط. يمكن لـ NRS تكييف الفكرة الهيكلية لأحداث الاعتراف: الالتزام دورياً بتاريخ مرتب، والسماح لحاملي الحقوق بإثبات تضمين إيصال، والسماح للمراقبين باختبار أن تاريخاً لاحقاً يمدد سابقاً.
التشبيه له حدود صارمة. الإدراج يثبت ظهور البيانات في تاريخ ملتزم؛ لا يثبت أن الادعاء كان صحيحاً أو قانونياً أو عادلاً. الاتساق يثبت علاقة إضافة فقط بين الحالات الملتزمة؛ لا يمنع متخذ القرار من قبول أدلة سيئة. قد تتسرب الحقائق الخاصة أو القابلة للتوقع من خلال الالتزامات المهملة.
لذا ستحتاج NRS إلى شهود بالإضافة إلى سجل. يمكن للجامعات والمشغلين ومجموعات المجتمع المدني وRIRs والأطراف المعتمدة التجارية الاحتفاظ بنقاط تفتيش موقعة. يجب أن يرفض المدقق تاريخاً لا يمكن التوفيق بينه وبين عدد كافٍ ومتنوع من الشهود. يجب أن تدور مجموعة الشهود بشفافية حتى لا تصبح نادياً دائماً.
يجب أن يضيف التصحيح، لا يمحو
سيحتوي السجل المحمول في النهاية على خطأ. إذا أزال التصحيح الإدخال القديم، لا يمكن لحامل الحقوق شرح سبب رؤية طرف ثالث لحالة مختلفة بالأمس. إذا جمدت الثبات الخطأ، يصبح النظام موزعاً فعالاً للأكاذيب.
الإجابة هي التصحيح عن طريق الإضافة فقط. يبقى البيان القديم كدليل تاريخي، لكن حالته الحالية تصبح مستبدلة أو مصححة أو ملغاة. يحدد الحدث الجديد الادعاء المعدل وسلطة التغيير وتاريخ السريان وفئة السبب والارتباط بالإدخال السابق. تعرض النظرات العامة الحالة الحالية افتراضياً بينما يمكن للمدققين إعادة بناء التاريخ.
تحتاج الادعاءات المتنازع عليها إلى حالتها الخاصة. لا ينبغي للنزاع أن يلغي حامل الحقوق الحالي تلقائياً، لأن هذا سيجعل رفض الخدمة سهلاً. لا ينبغي للنظام إخفاء نزاع ذي مصداقية حتى الحكم النهائي. يمكن لعلامة نزاع محددة أن تحدد المجال وسلطة المراجعة والخطوة التالية دون نشر ادعاءات أو مستندات خاصة.
يجب أن ينتج كل تصحيح إيصالات لحامل الحقوق والمُصدر المعني. يمكن للمبلّغ أن يتلقى إيصالاً أضيق. يجب على المراقبين المستقلين مراقبة الالتزام الجديد. إذا تم تصدير سجل مصحح سابقاً، يجب على NRS نشر إشعار إلغاء أو استبدال قابل للقراءة آلياً حتى لا يستمر المستخدمون النهائيون في تقديمه كحالي.
يتطلب استمرارية RDAP اكتشافاً معترفاً به
يوفر RDAP لمستخدمي الموارد الرقمية إجابات تسجيل منظمة، لكن يجب عليهم أولاً العثور على الخدمة الموثوقة. يحددRFC 9224سجلات التمهيد IANA لمساحات IPv4 وIPv6 وأرقام AS. يربط العملاء المورد بعنوان URL للخدمة المدرجة ويستفسرون من الخادم الموثوق.
هذا يعني أن NRS لا يمكنها جعل نقطة نهاية موثوقة بمجرد إدراجها في هوية محمولة. تظل حالة تمهيد IANA وتفويض السجل المعترف به حاسمين لاكتشاف RDAP العادي. يمكن لنقطة نهاية NRS توفير عرض استمرارية أو أدلة تاريخية أو ملحق مرجعي، لكن يجب أن تصنف نفسها بدقة حتى يتغير مسار التمهيد المعترف به.
لا يزال بإمكان قابلية النقل تحسين RDAP. يمكن لحزمة حامل الحقوق تسجيل عناوين URL الأساسية الموثوقة السابقة والحالية وتجزئات الردود وأوقات الأحداث وإيصالات المُصدر. أثناء الترحيل، يمكن لـ NRS مراقبة ما إذا كانت الخدمات القديمة والجديدة متطابقة، وما إذا كانت إعادة التوجيه تعمل، وما إذا كانت بيانات تمهيد IANA تعكس السلطة المقبولة. إذا فشلت خدمة معترف بها، يمكن لنقطة نهاية استمرارية إرجاع آخر حالة مثبتة مع إشعار واضح بالعمر والسلطة.
الهدف المستقبلي يمكن أن يكون علاقة رابط RDAP قياسية لأدلة الاعتراف المحمولة. سيتطلب التبني اتفاقاً تقنياً مفتوحاً ومعالجة حذرة للخصوصية. لا ينبغي أن يعتمد على عميل NRS مملوك أو ترخيص خاص.
استمرارية RPKI هي ترحيل، وليس نسخ
لا يمكن ببساطة نسخ مواد RPKI من سلطة تصديق إلى أخرى. تتحقق الشهادات وقوائم الإلغاء والبيانات والكائنات الموقعة من خلال سلسلة وسياق مستودع معينين. يستخدمRFC 9286البيانات لمساعدة الأطراف المعتمدة على تحديد مجموعة النشر المتوقعة واكتشاف أشكال محددة من العبث أو الاختفاء. يسمحRFC 8182للأطراف المعتمدة بمزامنة لقطات المستودع والفروق.
يجب أن يحافظ الانتقال المحمول على السلسلة القديمة لفترة كافية لتمكين الأطراف المعتمدة من ملاحظة الجديدة. يجب على السلطة الحالية إصدار المواد الخلف أو البديلة المناسبة، ويجب على المستودع الجديد نشر مجموعة كاملة صالحة، ويجب على المراقبين مقارنة النتائج من كلا المنظرين. يجب أن تحدث عمليات السحب والإلغاء بترتيب يتجنب فجوة تحقق غير ضرورية.
يمكن لـ NRS تنسيق الأدلة حول هذا الانتقال دون امتلاك المفتاح الجذر. يمكنها تسجيل من أذن بالنقل، ونطاق الموارد المتأثرة، ومتى تم إثبات كل حالة مستودع، وماذا لاحظت المدققات، وما إذا كان حامل الحقوق قد قبل الاكتمال. إذا رفضت السلطة القديمة، يمكن لـ NRS الحفاظ على النزاع والأثر الفني دون الادعاء بأنها تستطيع إصلاح السلسلة المعترف بها وحدها.
ستكون هذه الأدلة ذات قيمة أثناء خلافة RIR أو حدث مشغل طارئ. ستظهر أي حالة موقعة كانت موجودة قبل التغيير المؤسسي وأي حاملي حقوق أكدوا الخلف. سيظل الاستمرارية الفعلية لأمن التوجيه يعتمد على مراسي الثقة المقبلة والشهادات الصالحة وتوفر المستودعات واسترداد المشغلين.
العمل العدائي هو سبب فصل الحراسة
يفحصRFC 8211كيف يمكن لسلطة تصديق أو مدير مستودع أن يسبب ضرراً بحذف أو تعديل أو إلغاء مواد RPKI. قد يكون السبب خطأ أو هجوماً أو إكراهاً قانونياً أو فعلاً متعمداً، وقد يبدو الأثر المرئي متشابهاً حتى يحدث العلاج.
إذا كانت نفس المؤسسة تتحكم في الاعتراف بالتسجيل وإصدار الشهادات ونشر المستودع والحكم في النزاعات وكل نسخة من الأدلة التاريخية، فإن فعلاً عدائياً واحداً يمكن أن يؤثر على سجل الشرعية بأكمله. يجب أن تقسم قابلية النقل هذه السلطات.
يمكن أن يظل السجل المعترف به هو السلطة لتسجيلات التخصيص. يتحكم حامل الحقوق في مفتاح الاستمرارية الخاص به. تحافظ NRS على الإيصالات المحمولة والالتزامات العامة. يحتفظ شهود مستقلون بنقاط التفتيش. يقرر مراجعون منفصلون القبول والنزاعات في NRS. تختار الأطراف المعتمدة ما إذا كانت تقبل أدلة NRS ويمكنها تثبيت الحالات السابقة غير المتنازع عليها.
لا يزيل أي شرط الإكراه أو الاختراق. الفصل يزيد من عدد الإخفاقات المستقلة اللازمة لمحو التاريخ أو تلفيق الاستمرارية. كما يخلق أدلة عندما تختلف السلطات. يمكن للسجل إلغاء شهادته الحالية بينما يحافظ سجل NRS المثبت على حقيقة أن الشهادة كانت موجودة سابقاً ويحدد الانتقال المتنازع عليه.
هذا الحفظ لا يبقي طريقاً ملغاً صالحاً. إنه يحمي القدرة على فحص ما حدث والبحث عن علاج والترحيل بشكل قانوني.
يكشف DNS العكسي عن حد التفويض الأبوي
DNS العكسي هو اختبار آخر لقابلية النقل الصادقة. السلطة تحتin-addr.arpaوip6.arpaتتبع سلسلة تفويض DNS. يصفRFC 3172إدارة نطاقarpaوالعلاقة بين تخصيصات العناوين والمناطق العكسية. يمكن لـ IANA وRIRs وحاملي الحقوق كلهم التحكم في حدود مختلفة.
يمكن لحامل الحقوق حمل خوادم الأسماء المفضلة لديه ومواد DNSSEC والتفويضات السابقة وإيصالات التغيير في حزمة محمولة. يمكنه تشغيل المنطقة الفرعية بشكل مستمر وإثبات أن نفس مفتاح الاستمرارية قد أذن بخوادم جديدة. لا شيء من هذا يجبر الأب على نشر التفويض. يبقى تعاون الأب أو الخلافة المعترف بها ضرورياً.
يمكن لـ NRS جعل الفجوة مرئية. يمكن للمدقق عرض "منطقة حامل الحقوق جاهزة؛ الأب الحالي لم يتغير" أو "تحديث الأب مقبول؛ تم ملاحظة الانتشار" أو "تفويض متنازع عليه". يمكن لفحوصات DNS المستقلة تسجيل المنظر من شبكات متعددة. أثناء الانتقال المخطط، يمكن لخوادم الأسماء القديمة والجديدة التعايش عندما يكون ذلك مناسباً تقنياً.
هذا ما تبدو عليه قابلية النقل المقيدة: الحفاظ على قدرة حامل الحقوق وأدلته، وتقليل فترات التوقف التي يمكن تجنبها، ولكن الإشارة بوضوح إلى أي باب يبقى خارج سيطرة حامل الحقوق. التصميم الذي يعد بنقل DNS عكسي سلس دون سلطة أبوية سيكون مضللاً.
يجب أن يسافر تاريخ النقل مع المورد
نقل IPv4 وخلافات المنظمة وتغيرات حدود السجل يمكن أن تجزئ الأدلة. قد يحتفظ السجل المصدر بحساب، والسجل الوجهة بحساب آخر، والوسيط بمجموعة ثالثة، وحامل الحقوق فقط بتأكيدات البريد الإلكتروني. بعد سنوات، قد يجد فاحص العناية الواجبة صعوبة في إعادة بناء سبب اشتقاق الإدخال الحالي من السابق.
يجب أن ينشئ السجل المحمول سلسلة نقل. يحدد كل حدث كيانات المصدر والوجهة والموارد المتأثرة وسلطات الموافقة المعترف بها وتاريخ السريان والهويات المستبدلة ومفتاح الاستمرارية الجديد وأي شروط يمكن الكشف عنها. يجب أن يتلقى كلا الطرفين إيصالات موقعة. يمكن لكل RIR أن يشهد فقط على الجزء الذي يتحكم فيه.
السعر السري والمفاوضات ووثائق الهوية لا تحتاج إلى أن تكون عامة. يمكن للالتزام التشفيري ربط الأدلة المحمية بالحدث، مع الكشف الانتقائي للنزاعات اللاحقة. يحتاج الجمهور إلى معرفة ما يكفي لفهم الاستمرارية دون معرفة الشروط التجارية.
عندما لا تسمح السياسة بالنقل، لا يجب على NRS إعادة تسمية بيع خاص إلى تسجيل معترف به. يمكنها تسجيل أن الأطراف تؤكد اتفاقاً وأن السجل الحالي لا يعترف بتغيير. قابلية النقل تحمي أدلة الخلاف؛ لا تصنع إجماعاً.
يجب أن يكون الاعتراف محمولاً عبر التغييرات التجارية
حامل الحقوق نفسه ليس ثابتاً. قد يتغير الاسم القانوني بينما يستمر الكيان. قد ينقل الاندماج الحقوق إلى خلف. قد يعيد مجموعة تنظيم أصوله بين الشركات التابعة. قد يضع الإفلاس السيطرة في يد مسؤول. المفتاح المحمول المرتبط فقط باسم شركة قديم قد يصبح غير قابل للاستخدام في اللحظة التي تهم فيها الاستمرارية.
يجب على NRS تعريف أحداث انتقال الهوية بمعايير دليل. تغيير الاسم البسيط يتطلب سجلاً عاماً حالياً وتفويضاً من حامل الحقوق. الاندماج يتطلب دليل خلافة ومراجعة للموارد التي انتقلت. الإفلاس قد يتطلب وثائق تعيين رسمية وحدوداً على من يمكنه التوقيع. التغييرات عبر الحدود قد تتضمن أكثر من نظام قانوني.
يجب أن يحافظ السجل العام على الأسماء القانونية والتواريخ دون كشف المستندات الشخصية. يجب أن يميز بين استمرارية الكيان القانوني والنقل إلى كيان مختلف. يمكن لمفتاح حامل الحقوق الاستمرار خلال تغيير الاسم ولكن يجب أن يدور أو يحصل على موافقة الخلف بعد تغيير السيطرة.
المراجعة المستقلة حاسمة عندما يدعي نفس الشخص السلطة القديمة والجديدة. النظام المحمول الذي يقبل أي وثيقة شركة مرفوعة من قبل حامل الحقوق من شأنه أن يسهل احتيال الاستيلاء. يجب أن تقلل قابلية النقل الاعتماد على تقدير حامل الحقوق الحالي دون تقليل ضمان الهوية.
تجنب الأسر يتطلب حقوق خروج هيكلية
مؤسسة أنشئت لتقليل السيطرة على الوصول للسجلات قد تصبح حارساً جديداً. يمكن لـ NRS التحكم في مفتاح الاعتراف وبرنامج التحقق وعضوية الأعضاء وأرشيف الأدلة والتراخيص التجارية. إذا اعتمدت الأطراف المعتمدة لاحقاً على كل هذه، يمكن لـ NRS زيادة الرسوم أو تفضيل شركاء أو جعل الخروج صعباً تقنياً.
العلاج ليس وعداً بحسن نية. يجب أن يكون تنسيق التسجيل والمدقق والقواعد التشفيرية مفتوحة. يجب أن يتمكن أي شخص من التحقق من حزمة محمولة دون الاتصال بـ NRS أو قبول شروط تجارية متغيرة. يجب أن يتمكن حاملو الحقوق من تصدير السجلات الحالية والتاريخية في أي وقت. يجب أن يكون الشهود متنوعين وقابلين للاستبدال. يجب أن تتطلب حراسة المفاتيح مؤسسات متعددة.
يجب أن تمنع الحوكمة فئة واحدة من الأعضاء أو سجلاً أو وسيطاً أو مؤسساً أو دولة أو مستثمراً من السيطرة على سياسة الاعتراف. يجب أن تغطي قواعد تضارب المصالح المنظمات التي تستمد إيرادات من النقل أو النزاعات. يجب أن تتطلب التغييرات الرئيسية في معايير الأدلة أو الرسوم أو المفاتيح الجذرية أو سلوك المدقق إشعاراً عاماً وقراراً معللاً وتاريخ سريان مؤجل.
يجب اختبار الخروج. يجب على NRS أن تثبت دورياً أن فريقاً مستقلاً يمكنه إعادة بناء التاريخ العام وتشغيل مدقق ومواصلة خدمة الشهود من مواد محجوزة دون الوصول إلى أنظمة NRS المباشرة. مؤسسة قابلية النقل التي لا يمكنها نفسها أن تُنقل قد فشلت في ادعائها المركزي.
يتطلب الاعتراف استئنافاً مستقلاً
سيتم أحياناً رفض العضوية أو الاعتراف من NRS أو تعليقها أو إلغاؤها. إذا قام نفس الموظف بالتحقيق واتخاذ القرار وسماع الاستئناف، فإن الإيصالات الموقعة تجعل التقدير المركز أسهل في التوثيق.
يجب أن يتحقق المراجعة الأولى من الهوية وأدلة الموارد وفحوصات التضارب. يجب أن تستمع هيئة منفصلة إلى الاعتراضات. يجب أن يكون لأعضائها فترات ولايات ثابتة ومؤهلات منشورة وإفصاحات تضارب وحماية من الإقالة بسبب قرار غير شعبي. يجب أن يتلقى المستأنف الأسباب وفئة الأدلة التي اعتمد عليها، مع مراعاة التنقيح القانوني.
قد يحدث إجراء حماية عاجل قبل جلسة استماع كاملة عندما يتم اختراق مفتاح أو عندما يهدد ادعاء مكرر المستخدمين. يجب أن ينتهي هذا الإجراء ما لم يتم تأكيده، وأن يخطر الأطراف المتأثرة، وأن يحافظ على آخر حالة غير متنازع عليها. يجب أن يعيد الإلغاء اللاحق الاعتراف الحالي ويضيف التصحيح بدلاً من محو الانقطاع.
تبقى المحاكم وآليات تسوية المنازعات للسجلات المعترف بها ذات صلة. يجب على NRS أن تشير إلى متى ستحيل إليها، ومتى ستحافظ على رؤية إثباتية منفصلة، وكيف يتم التعامل مع الأوامر المتزامنة. لا يمكنها التوفيق بين جميع الولايات القضائية، لكن يمكنها منع التنقل بين المنتديات بصمت.
يجب نشر نتائج الاستئناف في شكل إجمالي: تأكيد أو تعديل أو إلغاء أو سحب والعمر المعلق. ستظهر هذه الأدلة ما إذا كانت NRS تصحح نفسها أم أنها فقط تصدق على قرارها الأول.
يجب تصميم الخصوصية وقابلية النقل معاً
الأدلة المحمولة يمكن أن تصبح أصلاً للمراقبة. قد تكشف الحزمة عن جهات اتصال الشركة وتوقيت النقل وترتيبات الأمان والنزاعات السابقة وأسماء المراجعين. إذا تلقى كل طرف معتمد الملف الكامل، فإن تكلفة قابلية النقل هي كشف غير مقبول.
لذا يجب أن تحتوي النواة العامة فقط على ما يحتاجه التحقق الواسع. يمكن تشفير الأدلة المحمية لأدوار مدقق محددة. يمكن لحامل الحقوق الكشف عن اقتراح دون كشف التاريخ الكامل. يمكن للالتزامات العامة إثبات وجود الأدلة قبل قرار دون كشف محتواها.
الإلغاء مهم أيضاً للخصوصية. قد يبقى اتصال شخصي تمت إزالته من السجل الحالي في الأدلة التاريخية. يجب أن تحد ضوابط الوصول وقواعد الاحتفاظ من يمكنه استرداده. يمكن للتاريخ العام الإشارة إلى معرف دور ثابت بدلاً من اسم الشخص. قد تتطلب الالتزامات القانونية للمحو إزالة المحتوى الشخصي مع الحفاظ على الالتزام وسبب التغيير.
يجب على NRS نشر ما يرسله كل مدقق إلى خوادمها. من الناحية المثالية، لا يكشف التحقق دون اتصال عن شيء عن المورد الذي يتحقق منه المستخدم. يجب أن تقاوم خدمات الحالة عبر الإنترنت تحويل سجلات الاستعلام إلى خريطة اهتمام تجاري أو تحقيق.
الخصوصية ليست معارضة للمساءلة. يمكن للإيصال المصمم بعناية أن يكشف عن السلطة المؤسسية والوقت والنتيجة مع حماية المستندات التي بررته.
يجب أن تفشل الاستمرارية بشكل محدود
كل خدمة ثقة تواجه في النهاية فشلاً. قد يكون المفتاح غير متاح. قد يتم تقسيم المستودع. قد يختلف الشهود. قد يحتوي المدقق على خطأ. يجب أن يحدد التصميم ما يراه المستخدمون وأي حالة معروفة أخيرة تظل قابلة للاستخدام.
لا ينبغي أن يصبح فشل التوفر بصمت فشل سلطة. إذا لم تتمكن NRS من نشر نقطة تفتيش جديدة، يمكن للمدقق عرض آخر لحظة مثبتة ورفض معالجة الادعاءات اللاحقة كحالية. إذا فشل مستودع، يمكن لمواقع موقعة أخرى خدمة نفس البيانات الملتزمة. إذا اختلف الشهود، يجب على المدقق إظهار الانقسام بدلاً من اختيار التاريخ الأكثر ملاءمة.
لا ينبغي أن يبطل مفتاح حامل الحقوق المخترق تلقائياً كل إيصال سابق. يمكن للنظام وضع علامة على لحظة الاختراق، والتحول إلى خلف بعد المراجعة، والحفاظ على التوقيعات التي تمت قبل الحدث المتنازع عليه. مفتاح توقيع NRS المخترق أكثر خطورة ويجب أن ينشط فريق الاسترداد المستقل.
يجب أن تختبر تمارين الاستمرارية فقدان موقع أو وصي مفتاح أو مزود سحابة أو هيئة حاكمة أو كيان قانوني. يجب أن تحدد النتائج وقت الاسترداد والأدلة المفقودة والإجراءات التصحيحية. لا يحتاج الجمهور إلى رؤية تفاصيل الاسترداد الحساسة، لكن يجب أن يعرف ما إذا كانت المؤسسة قد أثبتت قدرتها على البقاء بعد نفسها.
يجب أن يبدأ التبني بالأدلة، وليس بالسلطة
المرحلة الأولى متواضعة وقابلة للتحقيق. يمكن لـ NRS إصدار إيصالات عضوية محمولة ومفاتيح استمرارية لحاملي الحقوق وتاريخ قرار الإضافة فقط لأعضائها. يمكن لشهود مستقلين الاحتفاظ بنقاط تفتيش. يمكن لمدقق مفتوح العمل دون اتصال. يمكن اختبار الاستئنافات ضد قرارات القبول والتعليق الحقيقية.
المرحلة الثانية يمكنها إضافة إفادات طوعية للموارد الرقمية. يقدم حاملو الحقوق سجلات سجل معترف بها ومراجع RPKI وردود RDAP وحالة DNS العكسي. تتحقق NRS من أن الأدلة العامة المذكورة كانت موجودة وتصنف سلطتها بدقة. النتيجة هي ملف محمول من الأدلة المعترف بها، وليس سجلاً بديلاً.
المرحلة الثالثة تتطلب شراكات. يمكن لـ RIRs والسجلات الوطنية وميسري النقل أو كيانات معترف بها أخرى إصدار إيصالات موقعة مباشرة في التنسيق المحمول. يمكن للمشغلين استخدام أدلة استمرارية NRS أثناء العناية الواجبة ومراجعة الحوادث. يمكن للمجموعات التقنية توحيد علاقات الروابط وحقول الهوية.
فقط بعد اعتماد واسع وعمليات تدقيق مستقلة وتناوب ناجح للمفاتيح وخلافة مختبرة يجب على NRS أن تسأل عما إذا كان البيان يستحق معاملة مرساة الثقة خارج الأدلة. حتى ذلك الحين، يجب على الأطراف المعتمدة الاشتراك فيه لغرض محدد. لا ينبغي للتقصير أن يحول العضوية في NRS إلى سلطة توجيه.
هذا التسلسل يؤطر NRS بإيجابية لأنه يعطي المؤسسة مساراً ذا مصداقية نحو الأهمية. يتجنب الخطأ الفادح المتمثل في إعلان السلطة قبل إثبات الموثوقية.
يجب قياس الأداء مقابل ادعاءات قابلية النقل
يجب على NRS نشر مقاييس تختبر وعدها المركزي. هل يمكن لكل حامل حقوق تصدير حزمة كاملة قابلة للتحقق؟ كم من الوقت يعمل التحقق بعد إغلاق الحساب؟ ما هي نسبة الإيصالات التي لديها أدلة إدراج مستقلة؟ كم شاهداً لاحظوا كل نقطة تفتيش؟ كم من الوقت تستغرق تناوبات المفاتيح؟ كم من الاستئنافات تغير القرار الأول؟ هل يمكن لفريق خارجي إعادة بناء التاريخ العام من مواد محجوزة؟
تحتاج الأعداد إلى مقامات وحدود. حفل مفاتيح ناجح دون أطراف معتمدة يثبت القليل عن التبني. ألف إفادة موقعة من مجموعة شركات واحدة تثبت القليل عن التنوع. تمرين استرداد لا يؤسس للمرونة في كل فشل قانوني أو تقني.
مقاييس الخصوصية تنتمي بجانب التوفر. يجب على NRS الإبلاغ عن الوصول إلى الأدلة المحمية والمحاولات غير المصرح بها وطلبات التنقيح واستثناءات الاحتفاظ في شكل إجمالي. يجب أن تظهر مقاييس الحوكمة التضارب والتنحي وتركيز قوة التصويت والاعتمادات التجارية المادية.
أهم مقياس هو قابلية النقل بعد الخلاف. يجب أن يتمكن العضو السابق أو الطرف الخاسر أو الناقد من التحقق من الإيصالات السابقة وتصدير السجل الذي يحق له الاحتفاظ به. إذا كان بإمكان الأعضاء الراضين فقط إظهار قابلية النقل، فإن التصميم لم يواجه اختباره الحقيقي.
يجب أن يفحص الضمان المستقل القرارات، وليس الاحتفالات
احتفالات المفاتيح العامة مفيدة، لكنها يمكن أن تصبح مسرحاً إذا توقف الضمان عند المواد والتوقيعات. الأسئلة الصعبة تتعلق بمن كان مصرحاً له بتأكيد مورد، وكيف تم التعامل مع الأدلة المتضاربة، وما إذا كان المراجعون مستقلين، وما إذا كانت التصحيحات وصلت إلى كل نظرة عامة.
يجب على المقيم أن يعين عينة من القبول والرفض وتغييرات المفاتيح وخلافات الشركات والنزاعات والتعليق والخروج. يجب عليه إعادة بناء السلطة من الأدلة والتحقق من الإيصالات واختبار الالتزامات العامة وتأكيد إمكانية مغادرة حامل الحقوق بحزمة قابلة للاستخدام. يجب عليه محاولة الاسترداد من النسخ الاحتياطية ومقارنة نقاط التفتيش التي يحتفظ بها الشهود.
يجب أن تشمل الاختبارات التقنية مناظر مستودعات متباينة وبيانات قديمة واستبدال خبيث ومفاتيح حامل حقوق مخترقة والعودة إلى إصدار سابق من المدقق. يجب أن تفحص اختبارات الحوكمة السيطرة المركزة والقرارات بين الأطراف ذات الصلة وتضارب المراجعين والسلطات الطارئة. يجب أن تسأل اختبارات الخصوصية عما إذا كانت الالتزامات تكشف حقائق قابلة للتوقع.
يجب أن يفصل التقرير بين الامتثال للتصميم والفعالية. يمكن لـ NRS اتباع كل قاعدة وانتاج اعتراف خاطئ إذا كان معيار الدليل ضعيفاً. يمكنها تشغيل تشفير قوي بينما تكون الاستئنافات بعيدة المنال. مرساة الثقة المحمولة تكسب الثقة عندما تصحح المؤسسة كلاً من الإخفاقات التقنية والحكمية.
أقوى الاعتراضات تحسن التصميم
اعتراض واحد هو أن طبقة إضافية من الاعتراف تضيف تعقيداً. هذا صحيح. هوية NRS سيئة التصميم قد تخلط بين المشغلين وتخلق ادعاءات مكررة. الإجابة هي مقترحات ضيقة وتصنيفات سلطة دقيقة ومدققات تظهر الخلاف بدلاً من إخفائه.
اعتراض ثان هو أن قابلية النقل تضعف الامتثال للسياسات. قد يستخدم حامل الحقوق NRS للهروب من قيود النقل أو إلغاء السجل. الإجابة هي أن أدلة NRS لا يمكنها تغيير السلطة المعترف بها. إنها تحافظ على سجل وتاريخ حامل الحقوق مع ترك القرارات السياسية مرئية.
اعتراض ثالث هو أن حاملي الحقوق الحاليين لن يتعاونوا. قد يرى البعض الإيصالات المحمولة كتحدي. يمكن لـ NRS البدء بأدلة عامة وسجلات يتحكم فيها حامل الحقوق، ثم إظهار انخفاض تكلفة النزاع واستمرارية أفضل. يصبح التعاون جذاباً عندما تخفف الإيصالات عبء إعادة بناء السجلات القديمة.
اعتراض رابع هو أن التشفير لا يمكنه حل الشرعية المؤسسية. صحيح. يمكنه جعل التلاعب والإدراج والخلافة وعدم الاتساق أكثر قابلية للملاحظة. لا تزال الشرعية تتطلب قواعد عادلة وتحققاً كفؤاً ومراجعة وتنوعاً واعترافاً مستمراً.
اعتراض خامس هو أن NRS نفسها قد تتعرض للأسر. هذا هو الخطر المحدد. التنسيقات المفتوحة والشهود المستقلين وحقوق التصدير وحراسة المفاتيح الموزعة والخلافة المؤسسية المختبرة ليست إضافات اختيارية؛ إنها شروط الادعاء.
تظل الأدلة الحالية محدودة
الاقتراح يتجاوز القدرة المثبتة لـ NRS. وثائق NRS العامة تؤسس لموقف دعوي وشروط عضوية وطموح مؤسسي. لا تظهر سلطة تصديق موارد رقمية عاملة أو مرساة ثقة مقبولة عالمياً أو تاريخ اعتراف إضافة فقط مثبت أو استئنافات مستقلة على نطاق واسع أو إيصالات موقعة عبر RIR أو ترحيلاً مختبراً لـ RDAP وRPKI وDNS العكسي.
المعايير الأوسع تؤسس لبنات بناء مفيدة ولكن ليس المؤسسة المقترحة. انتقال مفتاح مرساة الثقة RPKI يحل مشكلة شهادة محددة. تمهيد RDAP يحدد خدمات السلطة المعترف بها. سجلات الشفافية تدعم الأدلة المحدودة. DNS العكسي يتبع التفويض الأبوي. لا شيء من هذا يسمي NRS أو يضمن أن المشغلين سيقبلون بياناتها.
التكاليف أيضاً غير معروفة. فحص الهوية عالي الضمان وحراسة المفاتيح وتنوع الشهود وحماية الخصوصية والاستئنافات والحفظ طويل الأجل مكلفة. يجب ألا يُستبعد صغار حاملي الحقوق بتصميم ميسور للوسطاء والشبكات الكبيرة فقط. التمويل المستدام دون سيطرة فئة تجارية واحدة يبقى سؤالاً مفتوحاً.
يجب معالجة هذه القيود كبرنامج NRS، وليس كأسباب للتخلي عنه. يصبح الاتجاه المستقبلي ذا مصداقية عندما يتم تسمية المجهولات قبل المطالبة بالسلطة.
مراقبة الحدود التي قد تنهار بصمت
بينما تنمو NRS، يجب على المراقبين مراقبة ما إذا كانت هوية العضوية تبدأ في التسويق كدليل على ملكية الموارد. يجب عليهم التحقق مما إذا كانت التأكيدات الذاتية متميزة بصرياً عن إفادات RIR، وما إذا كانت النزاعات تسافر مع الصادرات، وما إذا كان المدقق يقبل فقط البيانات المستضافة على NRS.
يجب عليهم مراقبة حراسة المفاتيح. من يمكنه تفعيل السلطات الطارئة؟ هل يمكن لمسؤول أو مزود واحد استبدال الجذر؟ هل يتم إثبات المفاتيح الخلفية لفترة كافية؟ هل يمكن للأطراف المعتمدة الاحتفاظ بآخر حالة غير متنازع عليها؟
يجب عليهم مراقبة اقتصاديات الاعتراف. هل يستفيد وسطاء النقل أو كبار حاملي الحقوق أو شركاء السجل من قبول متميز؟ هل الرسوم عامة وقابلة للمقارنة؟ هل يمكن لعضو سابق التحقق من الإيصالات بدون دفع؟ هل يتطلب الاستئناف موارد خارج نطاق مشغل صغير؟
يجب عليهم مراقبة قابلية التشغيل البيني. هل تستخدم روابط RDAP اصطلاحات مفتوحة؟ هل تتحقق أدلة RPKI باستخدام أدوات الأطراف المعتمدة القياسية؟ هل يمكن التحقق من حالة DNS العكسي بشكل مستقل؟ هل الصادرات كاملة وموثقة ومستدامة؟
فوق كل شيء، يجب عليهم مراقبة ما إذا كانت NRS تنشر الإخفاقات. مؤسسة ثقة محمولة لا تكشف إلا عن الاحتفالات الناجحة والعضوية المتزايدة لم تثبت مسؤوليتها.
يجب أن يتحرك الاعتراف دون أن يصبح بلا مرساة
نظام سجل أرقام الإنترنت يحتاج إلى سلطة دائمة والقدرة على التغيير. تبدو هذه الأهداف متضاربة فقط عندما يكون سجل حامل الحقوق الحالي هو الوعاء الوحيد للذاكرة المؤسسية. الأدلة المحمولة تسمح لحامل الحقوق بنقل هويته وشهاداته ومستودعاته وخدماته مع الحفاظ على السلسلة المعترف بها وكل انقطاع متنازع عليه فيها.
يمكن لـ NRS جعل هذا مساهمتها المميزة. يمكنها إعطاء حاملي الحقوق مفاتيح استمرارية وإيصالات موقعة وشهود مستقلين وتصحيح إضافة فقط وحقوق تصدير ومسار منضبط من حالة معترف بها إلى أخرى. يمكنها مساعدة المشغلين على التحقق من التاريخ دون طلب ثقة عمياء لا في حامل الحقوق ولا في السجل الحالي.
يجب أن تظل كلمة "مرساة" متطلبة. يجب أن تكون NRS أصعب في الأسر من الأوصياء الذين تنتقدهم، وأسهل في المغادرة من المؤسسات التي تسعى لتحسينها، وأكثر صدقاً بشأن حدود التوقيع مما يسمح به عادة سوق اليقين. يجب أن تثبت الخلافة قبل أن تعد بالدوام وتثبت المراجعة المستقلة قبل أن تطلب الاحترام.
إذا فعلت ذلك، فإن قابلية النقل لن تجزئ سلطة الموارد الرقمية. بل ستجعل السلطة أكثر مرونة بضمان أن تاريخ الاعتراف وأدلة حامل الحقوق واستمرارية الخدمة لا تختفي عندما تتغير مؤسسة. هذا مستقبل يستحق البناء، ويمكن أن يبدأ دون الادعاء بأنه موجود بالفعل.
المصادر
- جمعية موارد الأرقام، ميثاقنا- حجة الطرف الأول لـ NRS للتسجيل الدقيق وسلطة السجل الرزينة وحرية المؤسسة والشفافية والاعتراف الطوعي؛ يحدد موقفاً دعوياً، وليس قدرة تشغيلية كمرساة ثقة.
- جمعية موارد الأرقام، شروط العضوية- يحدد قرارات القبول الحالية وطلب المعلومات والتعليق والإنهاء التي يمكن أن تكون بمثابة اختبار أولي للإيصالات المحمولة والمراجعة المستقلة.
- IETF، RFC 7020: نظام سجل أرقام الإنترنت- يوثق التسلسل الهرمي IANA-RIR-LIR ومتطلبات فريدية ودقة التسجيل، مع فصل وظائف السجل عن عمليات التوجيه.
- IETF، RFC 6480: بنية تحتية لدعم توجيه الإنترنت الآمن- يصف التسلسل الهرمي RPKI وشهادات الموارد والمستودعات وROA ويحدد ما تثبته سلسلة الشهادات.
- IETF، RFC 6487: ملف تعريف لشهادات الموارد X.509- يحدد ربط المفاتيح بموارد الإنترنت الرقمية المدرجة والتسمية غير الوصفية للموضوع ومراجع النشر وحدود التحقق من الشهادات.
- IETF، RFC 8630: محدد مرساة الثقة RPKI- يعرف مواقع TAL والتحقق بالمفتاح العام، مما يجعل اختيار التمهيد والمستودعات المتعددة وخطر اختراق المفتاح صريحاً.
- IETF، RFC 9691: ملف تعريف لمفاتيح مرساة الثقة RPKI- يعرف الإشارة إلى المفاتيح الحالية والخلفية والسابقة ونموذج القبول المتدرج للتحولات المخطط لها لمرساة الثقة؛ يستخدم كدرس هجرة، وليس كدليل على نشر NRS.
- IETF، RFC 8211: إجراءات عدائية في RPKI- يحلل إجراءات سلطات التصديق والمستودعات التي يمكن أن تضر حاملي الموارد ويدعم فصل السلطة والأدلة والحراسة.
- IETF، RFC 9286: بيانات لـ RPKI- يصف جرد النشر الموقّع والكشف المحدود عن العبث أو الاختفاء مع حدود إعادة تشغيل معروفة.
- IETF، RFC 8182: بروتوكول فرق المستودع RPKI- يعرف اللقطات والفروق والتجزئات ومزامنة المستودعات المستخدمة للاستدلال على الحالة المرصودة أثناء الترحيل.
- IETF، RFC 9224: العثور على خدمة RDAP الموثوقة- يؤسس لاكتشاف تمهيد IANA لخدمات RDAP الموثوقة للموارد الرقمية ويحد من أي ادعاء بأن نقطة نهاية NRS موثوقة بالتصريح.
- IETF، RFC 3172: إرشادات إدارة نطاق ARPA- يؤسس لحدود التفويض الأبوي على قابلية نقل DNS العكسي تحت
in-addr.arpaوip6.arpa. - IETF، RFC 9162: شفافية الشهادات الإصدار 2.0- يوفر التشبيه الهيكلي المحدود لرؤوس الأشجار الموقعة وأدلة الإدراج وأدلة الاتساق والمراقبة المستقلة.
- منظمة موارد الأرقام، وثيقة حوكمة RIR الإصدار 2- لغة مشروع أغسطس 2025 حول الخدمات الدقيقة والاستمرارية والمشغلين الطارئين والتدقيق وآليات تسوية المنازعات؛ لا تسمي NRS ولا تثبت التبني.
- منظمة موارد الأرقام، SLA لخدمات الترقيم IANA- يظهر أن علاقات استمرارية وأداء صريحة يمكن أن توجد عند حدود خدمة ترقيم معترف بها دون إنشاء هوية محمولة لحامل الحقوق.

