Zusammenfassung
- Eine AS0-ROA ist eine signierte Verweigerung der öffentlichen Routen-Origination. Da AS 0 reserviert ist und nicht als verwendbarer BGP-Ursprung erscheinen darf, wird eine reale Ankündigung, die nur von dieser ROA abgedeckt wird, durch die Origin-Validierung als Invalid klassifiziert.
- RFC 6491 gibt IANA eine Standardgrundlage, um AS0-ROAs für nicht zugewiesene Ressourcen sowie für reservierte oder spezielle Ressourcen auszustellen, die nicht global geroutet werden sollen. Er verbietet solche ROAs auch für reservierte oder spezielle Adressbereiche, von denen erwartet wird, dass sie geroutet werden.
- Die Autorität der RIRs ist enger und regional geregelt. Sie beruht auf der aktuellen Verwaltung nicht delegierten Adressraums, der Community-Richtlinie und genauen Ressourcendaten. APNIC und LACNIC haben Richtlinien für die AS0-Abdeckung von Adressraum unter ihrer Verwaltung umgesetzt; dies begründet keine Autorität über den Pool einer anderen RIR oder jede Form von umstrittenen Ressourcen.
- AS0 ist als Erhaltungskontrolle nützlich, weil es einen Standard gegen unbefugte Nutzung ausdrückt, bevor eine Zuteilung existiert, und weil eine gleichzeitige positive ROA eine autorisierte Route als Valid ausweisen kann. Es beweist weder, dass jede beobachtete Route bösartig ist, noch beseitigt es die lokale Richtlinienwahl des Betreibers.
- Das größte Governance-Risiko besteht in Klassifikationsfehlern bei Übergängen. Verfügbarer, reservierter, unter Quarantäne gestellter, zurückgegebener, zurückgeforderter, als speziell gekennzeichneter, zugewiesener und Legacy-Adressraum hat unterschiedliche faktische und rechtliche Historien. Ein Etikett, das aus einer täglichen Registry-Momentaufnahme stammt, kann einen umstrittenen Anspruch nicht von selbst klären.
- Die Rücknahme muss der Delegierung vorausgehen oder sicher mit ihr koordiniert werden. Das Entfernen eines Präfixes aus AS0 ist erst abgeschlossen, wenn die aktualisierte Veröffentlichung Validatoren, Caches und Router erreicht hat. Betreiber, die Invalid-Pfade verwerfen, benötigen auch eine sichere Methode zur Neubewertung, wenn die Korrektur eintrifft.
- Getrennte Vertrauensquellen und eine zuerst auf Überwachung setzende Nutzung können das Risiko eindämmen. APNIC hat gewarnt, dass Fehler das Routing unterbrechen könnten, und empfiehlt die Nutzung seiner AS0-Daten eher zu Beratungs- oder Alarmierungszwecken als zur automatischen Filterung. Eine solche Trennung schützt die Betreiberwahl nur dann, wenn die Vertrauensquelle, der Geltungsbereich und der Standard sichtbar sind.
- Ein legitimer AS0-Betrieb erfordert eine öffentliche Bereichsregel, signierte und versionierte Klassifikationsbelege, Konfliktprüfungen vor der Veröffentlichung, eine schnelle authentifizierte Anfechtung, messbare Rücknahmeziele, eine erhaltene Historie und unabhängige BGP-Beobachtung. Eine Number Resource Society kann diese Kontrollen prüfen, ohne die Befugnis zur Adressraumzuteilung oder zur Durchsetzung von Routing-Richtlinien zu beanspruchen.
Null ist eine Verweigerung, kein Ziel
AS0 funktioniert, weil zwei Standardkonzepte zusammenkommen. Das erste ist die ROA: ein signiertes Objekt, das angibt, welches autonome System berechtigt ist, eine Route für ein Adresspräfix innerhalb einer festgelegten maximalen Präfixlänge zu originieren. Das zweite ist die Reservierung von AS 0 selbst. RFC 7607, veröffentlicht im Jahr 2015, verlangt, dass BGP-Sprecher keine Route originieren oder weiterleiten dürfen, die AS 0 in den entsprechenden Pfadattributen enthält, und dass sie keine Sitzung aufbauen dürfen, die AS 0 beansprucht.
Eine AS0-ROA autorisiert daher kein spezielles Null-Netzwerk, ein Präfix zu originieren. Sie wählt einen Ursprung, der legitimerweise nicht im öffentlichen BGP-Pfad erscheinen kann. RFC 6483 beschreibt das Ergebnis als Verweigerung: Der Präfixinhaber erklärt, dass das Präfix und alle spezifischeren Präfixe nicht in einem Routing-Kontext verwendet werden sollten. Jedes gewöhnliche öffentliche Ursprungs-AS wird nicht mit dieser AS0-Autorisierung übereinstimmen.
Die Validierungslogik hat eine wichtige Einschränkung. Die Origin-Validierung prüft alle in Frage kommenden ROAs, die die Route abdecken. Wenn eine gültige ROA den beobachteten Ursprung und die Präfixlänge autorisiert, ist die Route Valid, selbst wenn eine AS0-ROA für sich genommen sie als Invalid einstufen würde. RFC 6483 sagt daher, dass AS0 eine geringere relative Präferenz hat als eine gleichzeitige positive Autorisierung. AS0 etabliert eine Standardverweigerung; es ist kein absolutes Veto gegen eine passende positive ROA.
Diese Eigenschaft macht AS0 sowohl nützlich als auch heikel. Eine Registry kann einen nicht delegierten Pool als nicht für das Routing vorgesehen markieren, ohne jeden möglichen nicht autorisierten Ursprung benennen zu müssen. Wenn sie später einen Teil des Pools delegiert, kann eine korrekt ausgestellte positive ROA eine Ankündigung schützen, während die AS0-Abdeckung geändert wird. Sich jedoch auf Überschneidungen als routinemäßige Lösung zu verlassen, würde eine schlechte Änderungskontrolle verbergen. Der Standard sollte dennoch die Entfernung oder Neuausstellung des AS0-Objekts sein, bevor der neue Inhaber eine Ankündigung vornehmen muss.
Der technische Effekt ist enger, als manche politische Sprache vermuten lässt. Eine AS0-ROA führt zu einer Invalid-Klassifikation bei vertrauenden Parteien, die die entsprechende Vertrauensquelle akzeptieren und das aktuelle Objekt erhalten. Sie löscht selbst keine Route aus BGP. RFC 8481 überlässt die Richtlinienaktion dem Betreiber. Einige Netzwerke verwerfen Invalid-Routen, andere priorisieren sie herab oder überwachen sie, und wieder andere verwenden diese AS0-Vertrauensquelle überhaupt nicht.
Der Mechanismus ist somit eine signierte Empfehlung, die durch kryptografische Ressourcenautorität und die Akzeptanz der Betreiber gestützt wird. Ihn nur als informativ zu bezeichnen, unterschätzt seine Wirkung. Ihn als globales Routing-Verbot zu bezeichnen, überschätzt sie. Governance beginnt genau in der Mitte: eine autoritative Standardverweigerung, die unabhängige Netzwerke in Durchsetzung umwandeln können.
Die Autoritätsfrage hat drei verschiedene Antworten
Wer AS0 autorisieren darf, hängt davon ab, welcher Adressraum beschrieben wird. IANA, eine RIR und ein gewöhnlicher Ressourceninhaber leiten ihre Autorität nicht aus derselben Beziehung ab.
RFC 6491 befasst sich mit den RPKI-Objekten der IANA für Ressourcen, die an der Spitze der Zuteilungsstruktur verbleiben. Er besagt, dass IANA AS0-ROAs für nicht zugewiesene Ressourcen ausstellen sollte. Für reservierte und spezielle Ressourcen ist der Test das beabsichtigte öffentliche Routing: IANA sollte AS0 für Ressourcen ausstellen, die nicht global geroutet werden sollen, und darf keine ROA für reservierte oder spezielle Ressourcen ausstellen, von denen erwartet wird, dass sie geroutet werden.
Die bewusste Verwendung von „sollte“ erkennt an, dass Registry-Aktionen und technische Übergänge eine Entfernung oder Nichtausstellung vor einer Statusänderung erfordern können.
Die Autorität einer RIR beginnt, nachdem Ressourcen unter ihre Verwaltung gestellt wurden. Sie kann nicht delegierte Teile ihres eigenen Pools zertifizieren, weil sie der aktuelle Verwalter ist und weil die regionale Richtlinie den Akt autorisiert. Die Richtlinie von APNIC besagt, dass nur APNIC AS0-ROAs für APNIC-Adressraum erstellen darf, der noch nicht an einen Kontoinhaber delegiert wurde, und dass APNIC das Präfix entfernt, wenn es den Adressraum delegiert.
Die angenommene Richtlinie von LACNIC beschränkt AS0 ähnlich auf nicht zugewiesene, nicht zugeteilte, zurückgewonnene oder zurückgegebene Ressourcen unter LACNIC-Verwaltung und verlangt, dass betroffene ROAs für ungültig erklärt oder neu ausgestellt werden, wenn Ressourcen zugewiesen oder zugeteilt werden.
Ein bestehender Inhaber kann AS0 auch für Adressraum verwenden, den er kontrolliert und nicht routen möchte. Seine Autorität folgt aus seinem Zertifikat und seiner Ressourcenbeziehung, nicht aus einem allgemeinen Erhaltungsmandat. Diese Nutzung kann eine ruhende Reserve oder ein Aggregat unterstützen, innerhalb dessen nur speziell autorisierte spezifischere Präfixe geroutet werden sollen. Sie sollte nicht mit einer Erklärung einer RIR verwechselt werden, dass kein Inhaber existiert.
Diese Unterscheidungen verhindern Autoritätsausweitung. Eine RIR kann keine Macht über den Pool einer anderen Region ableiten, nur weil sie eine Ankündigung beobachtet. Ein Messprojekt kann AS0 nicht einfach signieren, weil Registrierungsdaten unvollständig aussehen. Eine Standardisierungsorganisation kann definieren, wie reservierter Adressraum genutzt werden sollte, betreibt aber nicht automatisch die entsprechende Zertifizierungsstelle. Ein Gerichtsstreit über einen Legacy-Block kann nicht dadurch gelöst werden, dass der Block in einer Bequemlichkeitsliste als „verfügbar“ bezeichnet wird.
Die ordnungsgemäße Autoritätserklärung identifiziert das Präfix, die aktuelle Verwaltungskette, die Klassifikation, die Richtliniengrundlage und den Gültigkeitszeitraum. Wenn eines dieser Elemente umstritten ist, kann die AS0-Veröffentlichung dennoch als vorläufiger Schutz gerechtfertigt sein, aber der Streit und der Anfechtungsweg sollten sichtbar sein. Die kryptografische Fähigkeit zu signieren ist ein notwendiger Beleg für Kontrolle; sie allein ist kein Beweis dafür, dass jede zugrunde liegende Klassifikation verfahrenstechnisch korrekt war.
Erhaltung ist eine echte Pflicht in einem knappen und missbrauchsanfälligen Umfeld
Der positive Fall für AS0 sollte nicht in der Sorge vor Verweigerung untergehen. Nicht delegierter Adressraum ist nicht frei für opportunistische Nutzung. RIRs halten ihn für zukünftige Zuteilungen, besondere Bedürfnisse, Rückgaben, Quarantäne oder durch Richtlinien definierte Zwecke. Ankündigungen aus solchem Adressraum können durch Fehler, private Konfigurationen, die ins öffentliche Routing gelangen, veraltete Filter oder absichtlichen Missbrauch entstehen. Eine maschinenlesbare Verweigerung kann Betreibern helfen, solchen Adressraum von lediglich unsignierten, aber legitim gerouteten Präfixen zu unterscheiden.
Vor AS0 verließen sich Betreiber häufig auf Listen von „Bogon“-Präfixen, die aus Zuteilungsdaten erstellt wurden. Diese Listen erfordern regelmäßige Aktualisierung und sorgfältige Interpretation. RPKI kann die Warnung an dieselbe Zertifikatshierarchie binden, die für die positive Routenursprungs-Autorisierung verwendet wird. Ein Validator kann das Ergebnis dann zusammen mit anderen Daten liefern, und ein Router kann eine einzige Origin-Validierungsrichtlinie anwenden, anstatt eine separate ungeprüfte Liste.
Die Richtlinienbegründung von APNIC ist explizit: Adressraum, der als nicht zugewiesen oder nicht zugeteilt unter APNIC-Verwaltung gekennzeichnet ist, sollte nicht öffentlich angekündigt werden, und AS0 soll die Verbreitung von Ankündigungen, die ihn abdecken, einschränken. Die Begründung von LACNIC verknüpft ebenfalls die Verwahrerschaft mit der Verteilung gemäß Richtlinie und zielt darauf ab, die Belastung der Betreiber durch die Pflege separater Filter zu verringern. Dies sind legitime Ziele des öffentlichen Interesses.
Der Sicherheitsnutzen ist präventiv. Ein böswilliger Akteur kann eine Route nicht allein dadurch als Valid erscheinen lassen, dass er ein Ursprungs-AS wählt, da kein routingfähiges AS mit Null übereinstimmt. Wenn Betreiber Invalid-Routen verwerfen, erhöht AS0 die Wahrscheinlichkeit, dass eine Fehloriginierung aus ungenutztem Adressraum nahe einer Importgrenze gestoppt wird. Es erzeugt auch eine authentifizierte Warnung für Betreiber, die noch nicht verwerfen.
Aber Erhaltung ist nicht Eigentum im gewöhnlichen Sinne des Sachenrechts, und Routensichtbarkeit ist kein definitiver Beweis für Diebstahl. Einige Datensätze sind historisch, einige Ressourcen befinden sich im Übergang, und einige Adressverwendungen sind privat oder speziell. Eine öffentliche Route kann eher einen Fehler in der Klassifikation der Registry selbst als einen missbräuchlichen Ursprung offenbaren. Der Wert von AS0 liegt darin, eine starke widerlegbare Standardannahme zu etablieren, keine unwiderlegbare Anschuldigung.
Die abgegrenzte These ist daher pro Erhaltung. RIRs und IANA sollten in der Lage sein, wirklich nicht delegierte, nicht geroutete Ressourcen innerhalb ihrer Autorität zu schützen. Sie sollten dies mit der Disziplin tun, die von einer Kontrolle erwartet wird, deren Fehler die Konnektivität beeinträchtigen können: enger Geltungsbereich, zuverlässige Datensätze, Warnung vor Änderungen wo möglich, schnelle Rücknahme, beobachtbare Verbreitung und sinnvolle Anfechtung.
„Nicht zugewiesen“ und „reserviert“ sind keine Synonyme
AS0-Richtlinien beginnen oft mit einer Liste von Etiketten: verfügbar, reserviert, nicht zugewiesen, nicht zugeteilt, zurückgegeben, zurückgewonnen oder unter Quarantäne. Diese Etiketten können alle in einem bestimmten Rahmen das Nicht-Routen unterstützen, aber sie sind nicht austauschbar.
Nicht zugewiesener Adressraum wurde nicht entlang der entsprechenden Verwaltungskette delegiert. Der Standardfall ist eindeutig: Derzeit hat kein Netzwerk die Befugnis, ihn öffentlich zu originieren. Nicht zugeteilter Adressraum kann innerhalb einer größeren Zuteilung liegen, wurde aber keinem Endnutzer oder Unterinhaber zugeteilt. Ob eine RIR direkt dafür signieren kann, hängt von der Zertifikats- und Richtlinienstruktur ab; ein übergeordneter Inhaber kann die entsprechende Autorität behalten.
Reservierter Adressraum wird aus einem bestimmten Grund zurückgehalten. Einige Reservierungen sind nicht für globales Routing vorgesehen, wie etwa private oder Dokumentationsnutzung. Andere können für einen zukünftigen routingfähigen Dienst oder ein temporäres Zuweisungsverfahren bestimmt sein. RFC 6491 erkennt ausdrücklich reservierte und spezielle Ressourcen an, von denen erwartet wird, dass sie global geroutet werden, und verbietet IANA, ROAs für diese Fälle auszustellen. „Reserviert“ kann daher kein mechanisches Synonym für „niemals routen“ sein.
Quarantäne fügt Zeit und Historie hinzu. Ein zurückgegebener oder zurückgeforderter Block kann vor der erneuten Ausgabe zurückgehalten werden, damit sich veraltetes Routing, Reputations-, Geolokalisierungs- oder Missbrauchsdaten beruhigen können. Die Registry kann gute Gründe haben, die öffentliche Origination während der Quarantäne zu unterbinden. Sie muss auch wissen, ob ein ehemaliger Inhaber noch Rechte geltend macht, ob ein Transfer unvollständig ist und ob eine verbleibende Route einen ungelösten Streit und nicht bloß zufälligen Missbrauch darstellt.
Verfügbar bedeutet normalerweise für die Zuteilung gemäß Richtlinie in Frage kommend. Das Etikett kann sich täglich ändern, wenn Anfragen, Reservierungen und Delegierungen bearbeitet werden. Ein von einer Verfügbarkeitsliste abgeleitetes AS0-Objekt muss mit Transaktionskontrollen verknüpft sein, damit ein Präfix nicht delegiert werden kann, während es noch versehentlich ohne wirksame positive Autorisierung abgedeckt ist.
Legacy-Ressourcen sind die schwierigste Kategorie. Die Registrierungshistorie kann älter sein als moderne Vereinbarungen und Zertifikatsdienste. Eine Ressource kann schlecht dokumentiert erscheinen, ohne nicht zugewiesen zu sein. Die Klassifikation sollte die Registrierungshistorie, Transferaufzeichnungen, Verträge, Korrespondenz und beobachtbares Routing verwenden, nicht nur ein fehlendes modernes Feld. AS0 darf niemals zu einer Abkürzung werden, um einen unbequemen Anspruch auszulöschen.
Ein legitimer Veröffentlichungsdienst definiert jeden enthaltenen Status und Ausschluss. Er benennt den autoritativen Datensatz, die Aktualisierungszeit und die Abgleichsregeln. Er führt Überschneidungsprüfungen mit aktuellen Zertifikaten, Zuweisungen, positiven ROAs, ausstehenden Delegierungen und bekannten Streitigkeiten durch. Wenn er nicht erklären kann, warum ein Präfix in der Menge enthalten ist, ist die Menge nicht bereit, das Routing zu beeinflussen.
Tägliche Statistiken sind Belege, keine Eigentumsurkunden
Das Austauschformat für RIR-Statistiken bietet eine nützliche öffentliche Momentaufnahme der Zuteilungen und Zuweisungen. Teilnehmende Registries veröffentlichen Dateien nach einem regelmäßigen Zeitplan mit einer gemeinsamen Namens- und Datensatzstruktur. Erweiterte Formen können Statusangaben enthalten, die von operativen Systemen genutzt werden. Die AS0-Implementierung von APNIC hat ihre nicht delegierte Menge aus Ressourcen abgeleitet, die in ihren veröffentlichten Statistiken als verfügbar oder reserviert gekennzeichnet sind.
Dies ist ein starker Ausgangspunkt, da die Eingabe öffentlich, maschinenlesbar und wiederholbar ist. Ein Beobachter kann die klassifizierte Ressourcenmenge mit den AS0-Daten vergleichen und unerklärte Unterschiede identifizieren. Versionierung und Prüfsummen verbessern die Integrität. Automatisierung verringert die Wahrscheinlichkeit, dass eine manuell gepflegte Liste unbemerkt verfällt.
Das Format gibt auch seine Grenzen an. Es fasst aktuelle Zuteilungen und Zuweisungen zusammen und liefert keine transaktionalen oder historischen Details. Die Anzahl der Datensätze entspricht nicht der Menge an Adressraum. Transfers können vorübergehende Überschneidungen zwischen Registrierungsdateien erzeugen. Einige nicht registrierte historische Zuweisungen fallen aus dem Rahmen der von RIRs erstellten Datensätze. Eine Momentaufnahme kann einen Status melden, ohne zu beweisen, wie, wann oder unter welcher umstrittenen Autorität er entstanden ist.
Deshalb sollten tägliche Statistiken nicht die einzige Grundlage für eine Verweigerung sein. Der AS0-Dienst sollte sie mit dem Live-Registrierungssystem, dem Zertifikatsinventar, positiven ROAs, ausstehenden Zuteilungstransaktionen, Transfersperren und Streitigkeitskennzeichen abgleichen. Er sollte die Veröffentlichung ablehnen, wenn Quellen in Konflikt stehen, anstatt das bequemste Etikett zu wählen. Ein menschlicher Überprüfungsweg ist besonders wichtig für zurückgewonnenen, zurückgegebenen und Legacy-Adressraum.
Die Öffentlichkeit sollte in der Lage sein, die Entscheidung nachzuvollziehen, ohne Zugang zu privaten Kontodaten zu erhalten. Für jedes enthaltene Präfix kann ein signiertes Manifest oder ein Transparenzdatensatz den Quellstatus, den Beobachtungszeitpunkt, die autorisierende Richtlinie und das AS0-Objekt identifizieren. Für jede Entfernung kann er den neuen Status und den Zeitpunkt der Rücknahme angeben. Die Identität sensibler Kunden kann geschützt bleiben, bis die normalen Registrierungsregeln eine Offenlegung erlauben.
Externe Beobachter können dann eine sinnvolle Frage stellen: Entsprach die AS0-Menge zu diesem Zeitpunkt der erklärten nicht delegierten Menge der Registry? Sie müssen die rechtliche Schlussfolgerung der Registry nicht in jedem Streitfall akzeptieren, um die operative Konsistenz zu überprüfen. Wenn ein Präfix als zugewiesen erscheint, während es noch in AS0 enthalten ist, wird die Diskrepanz sichtbar, bevor ein Routing-Vorfall als Fehler des Inhabers abgetan wird.
Maschinenlesbare Belege ermöglichen eine Autoritätsprüfung, aber sie verwandeln die Datenveröffentlichung nicht in eine richterliche Entscheidung. Die Registry bleibt für das Klassifikationsverfahren hinter dem Datensatz verantwortlich und für die Korrektur von Fehlern, wenn dokumentarische Belege das Ergebnis ändern.
Der Übergang aus AS0 heraus ist der verfassungsmäßige Moment
Der einfachste AS0-Fall ist ein Block, der jahrelang ungenutzt bleibt. Der schwierige Fall ist die Stunde, in der er nutzbar wird. Eine neue Zuteilung ändert eine Erhaltungsstandardannahme in das Recht eines Inhabers, Routing zu autorisieren. Wenn die Prozesse der Registry diesen Übergang nicht koordinieren, kann eine Sicherheitskontrolle genau die Nutzung verweigern, die die Zuteilung ermöglichen sollte.
Die aktuelle Ressourcenrichtlinie von APNIC besagt, dass sie das Präfix aus der AS0-ROA entfernt, wenn sie Adressraum an einen Kontoinhaber delegiert. Die Richtlinie von LACNIC verlangt, dass sie ROAs, die eine Ressource enthalten, die zugewiesen oder zugeteilt werden soll, für ungültig erklärt und Ersatz-ROAs ohne diese Ressource ausstellt. Die Reihenfolge ist wichtig. Die Verweigerung sollte vor oder in einer Transaktion, die sicher mit der neuen Autorität koordiniert ist, zurückgenommen werden.
Die Veröffentlichung erfolgt jedoch nicht sofort. Das Entfernen eines Präfixes in einem internen Zuteilungssystem entfernt nicht sofort jeden validierten Datensatz. Das Repository muss einen kohärenten neuen Zustand veröffentlichen. Vertrauende Parteien holen Aktualisierungen nach ihren eigenen Zeitplänen ab. Cache-zu-Router-Sitzungen verwenden Aktualisierungs- und Wiederholungsverhalten. Router müssen eine Rücknahme empfangen und Routen neu bewerten. Unterschiedliche Netzwerke können während der Konvergenz unterschiedliche gültige Ansichten halten.
Eine Auswirkungsanalyse des RIPE NCC aus dem Jahr 2019 für einen AS0-Vorschlag veranschaulichte das Problem, anstatt es zu lösen. Sie stellte fest, dass operative Auslöser eine vorherige Rücknahme erschweren könnten und dass die globale Verarbeitung Zeit in Anspruch nehmen könnte. Die genauen Schätzungen in einer Vorschlagsanalyse sollten nicht als universelle aktuelle Leistung betrachtet werden, aber die institutionelle Lehre bleibt: Zuteilung und Routing-Bereitschaft benötigen einen expliziten Übergabezeitraum.
Es gibt drei praktische Sicherheitsvorkehrungen. Erstens, die Rücknahme vorab durchführen, wenn die Zuteilungsentscheidung endgültig genug ist, um dies sicher zu tun. Zweitens, dem neuen Inhaber zu erlauben, vor der Ankündigung eine passende positive ROA zu erstellen, da die Origin-Validierung eine passende positive Autorisierung selbst neben AS0 als Valid behandelt. Drittens, von unabhängigen Validatoren zu überprüfen, dass der beabsichtigte Datenzustand sich verbreitet hat, bevor dem Inhaber zur Ankündigung geraten wird.
Diese Kontrollen erfordern ein Dienstversprechen. Die Zuteilungsmitteilung sollte angeben, ob AS0 die Ressource zuvor abdeckte, wann die Rücknahme veröffentlicht wurde, wo der Inhaber sie einsehen kann und wann eine positive ROA nutzbar wurde. Wenn dringendes Routing erwartet wird, sollte ein Registry-Ingenieur die externe Validierung bestätigen, anstatt sich auf einen Portalstatus zu verlassen.
Der Übergang ist verfassungsmäßig, weil er offenbart, wessen Rechte wann Vorrang haben. Erhaltung ist legitim, solange kein Inhaber Autorität hat. Sobald Autorität gewährt wird, muss die Institution die Verweigerung unverzüglich und sichtbar aufgeben. Eine Registry, die AS0 automatisch hinzufügen kann, es aber nicht unter einer messbaren Zielvorgabe entfernen kann, hat eine einseitige Macht aufgebaut.
Eine falsche AS0-Klassifikation hat ein charakteristisches Fehlerbild
Angenommen, ein /16 wird als nicht delegiert klassifiziert und von einer AS0-ROA abgedeckt, obwohl ein legitimer Inhaber ein /24 daraus routet. Vor AS0 war die Route möglicherweise NotFound und wurde akzeptiert. Nachdem Validatoren das Objekt aufnehmen, wird das /24 Invalid, da das AS0-Präfix seine spezifischeren Präfixe abdeckt und keine positive ROA passt. Netzwerke, die Invalid-Routen verwerfen, können die Erreichbarkeit zu unterschiedlichen Zeiten aufheben.
Das sichtbare Muster kann einer Hijack-Reaktion ähneln: Ausgewählte Netzwerke stellen das Routen der Route ein, während andere fortfahren. Der Inhaber kann zuerst den Transit beschuldigen, der Transitprovider kann auf seinen Validator verweisen, und der Validator kann korrekt die signierte AS0-Nutzlast anzeigen. Jeder Akteur kann innerhalb seiner eigenen Grenzen technisch korrekt sein, während die zugrunde liegende Registry-Klassifikation falsch ist.
Die Abhilfe muss auf der Autoritätsebene beginnen. Eine lokale Betreiberausnahme kann einen Pfad wiederherstellen, aber sie kann das von anderen Netzwerken gesehene AS0-Objekt nicht entfernen. Die Registry muss den Anspruchsteller authentifizieren, die Ressourcenbelege prüfen, das Objekt zurücknehmen oder eingrenzen und eine begründete Korrektur veröffentlichen. Validatoren müssen dann den geänderten Repository-Zustand verarbeiten, und Router müssen neu bewerten.
Der Fehler kann nach der Rücknahme fortbestehen, wenn die Beweislage dünn ist. Ein Validator holt möglicherweise nicht den neuen Zustand ab. Ein Cache kann veraltet sein. Ein Router hat die Route möglicherweise verworfen und benötigt einen sicheren Wiederherstellungsmechanismus. Einige Betreiber pflegen möglicherweise separat Bogon-Listen, die aus demselben fehlerhaften Status abgeleitet sind. Die Korrektur allein in RPKI beseitigt möglicherweise nicht jede Verweigerung.
Dieses Bild spricht für eine koordinierte Vorfallsaufzeichnung. Sie sollte die fehlerhafte Klassifikation, die erste AS0-Veröffentlichung, die betroffenen Präfixe, die beobachteten BGP-Ursprünge, die Korrekturautorisierung, die Repository-Rücknahme, die Konvergenz unabhängiger Validatoren, die Cache- und Router-Wiederherstellung sowie verbleibende nicht-RPKI-Filter identifizieren. Die Aufzeichnung sollte bestätigte Auswirkungen von abgeleiteten unterscheiden.
Entschädigung und Verschulden sollten den Belegen folgen. Eine Registry, die eindeutige Datensätze falsch klassifiziert hat, trägt eine stärkere Pflicht als eine, die mit einem gutgläubigen Titelstreit konfrontiert ist. Ein Betreiber, der eine dokumentierte strenge Richtlinie anwendete, hat die Klassifikation nicht geschaffen, kann aber dafür verantwortlich sein, wenn es an einem Eskalationsweg für den Kunden mangelt oder er die Korrektur nicht verarbeitet. Ein Inhaber, der Routen ohne Aufrechterhaltung von Kontakt- oder Autorisierungsdatensätzen ankündigte, hat möglicherweise zur Verzögerung beigetragen, ohne jeden Anspruch zu verlieren.
Ziel ist es nicht, AS0 risikofrei zu machen. Es geht darum sicherzustellen, dass die Kontrolle einen umkehrbaren Fehlermodus hat und dass keine Institution für immer auf das nächste Glied in der Kette verweisen kann.
Getrennte Vertrauensquellen können den Explosionsradius nur begrenzen, wenn Betreiber sie bemerken
Die öffentlichen Hinweise von APNIC zu seiner AS0-ROA sind ungewöhnlich offen. Sie warnen, dass Fehler je nach Router-Konfiguration zu unbeabsichtigten Routing-Unterbrechungen führen könnten, empfehlen die Nutzung zu Beratungs- oder Alarmierungszwecken anstelle automatischer Filterung und beschreiben einen anderen Trust Anchor Locator, der unbeabsichtigte Nutzung verhindern soll. Das Material deckt nur Adressraum ab, für den APNIC autoritativ ist.
Dieses Design trennt die Entscheidung, gewöhnliches positives RPKI-Material zu vertrauen, von der Entscheidung, eine breite, von der Registry generierte Verweigerung zu konsumieren. Ein Betreiber kann die AS0-Menge in der Überwachung validieren, sie mit BGP- und Registrierungsbelegen vergleichen und wählen, ob oder wo er durchsetzt. Ein Fehler muss nicht automatisch jedes Netzwerk betreffen, das den Standard-Trust-Anchor von APNIC verwendet.
Trennung ist keine Magie. Wenn Software die zusätzliche Vertrauensquelle als stillen Standard einbindet, verschwindet die Wahl. Wenn ein verwalteter Validator den Feed generisch beschriftet, weiß ein Router-Betreiber möglicherweise nicht, dass AS0 aus einer separaten Quelle stammt. Wenn ein Betreiber Nutzdaten aus mehreren Caches ohne Herkunftsnachweis zusammenführt, kann er möglicherweise nicht identifizieren, welche Vertrauensquelle die Route Invalid gemacht hat.
Die Kontrolle benötigt daher Schnittstellensichtbarkeit. Validatoren sollten AS0-Vertrauensquellen separat anzeigen, die Anzahl und den Umfang der Nutzdaten auflisten, ohne universelle Abdeckung zu implizieren, und die Herkunft in der Diagnose kennzeichnen. Betreiber sollten explizite Genehmigung, beabsichtigten Modus, abgedeckte Router und Richtlinien aufzeichnen. Änderungen an der Vertrauensquelle sollten eine Überprüfung erfordern, die mit einer Richtlinienänderung für das Routing vergleichbar ist.
Die zuerst auf Überwachung setzende Nutzung hat substanziellen Wert. Ein Betreiber kann alarmieren, wenn ein AS0-abgedecktes Präfix in BGP erscheint, den scheinbaren Ursprung oder Upstream kontaktieren und unabhängige Registrierungsdatensätze vor der Ablehnung vergleichen. Dies ist besonders während der frühen Einführung oder bei komplexer Klassifikationshistorie ratsam. Es erzeugt auch Belege über falsch-positive Meldungen und die Verbreitung, ohne das Risiko einer sofortigen Trennung einzugehen.
Die Schwäche ist, dass Überwachung Routen nicht von selbst erhält. Ein entschlossener Missbraucher kann weiterhin ankündigen. Erfahrene Betreiber können vernünftigerweise zur Ablehnung übergehen, nachdem sie Datenqualität und Korrekturfähigkeit nachgewiesen haben. Die Governance-Anforderung ist keine dauerhafte Vorsicht, sondern eine bewusste Eskalation: messen, benachrichtigen, Ausnahmen testen, einen Termin veröffentlichen und dann unter einer dokumentierten Richtlinie durchsetzen.
Unterschiedliche regionale Entscheidungen sind legitim, wenn sie sichtbar sind. Nach den gesichteten Belegen haben APNIC und LACNIC AS0-Regelungen implementiert, wobei die offizielle NRO-Leitlinie von 2025 separate AS0-Trust-Anchor beschreibt und aufgrund des Risikos Alarmierung oder Überwachung anstelle automatischer Filterung empfiehlt. Dies sollte nicht zu der Behauptung verallgemeinert werden, dass jede RIR AS0 identisch veröffentlicht oder handhabt.
Die lokale Richtlinie bleibt die letzte Durchsetzungsentscheidung
Eine AS0-ROA umgeht RFC 8481 nicht. Validatoren setzen den Origin-Validierungszustand; die Konfiguration des Betreibers bestimmt die Richtlinie. Dies ist wichtig, weil die Institutionen, die AS0 signieren, und diejenigen, die das Konnektivitätsrisiko tragen, unterschiedlich sind.
Ein Netzwerk kann jede Route verwerfen, die allein aufgrund einer akzeptierten AS0-Nutzlast Invalid ist. Dies gibt der Erhaltung eine direkte Wirkung und vereinfacht die Richtlinie. Es erfordert auch Vertrauen, dass Klassifikations-, Rücknahme- und Ausnahmeverfahren robust sind. Das Netzwerk sollte wissen, ob der Invalid-Zustand von standardmäßigen, vom Inhaber ausgestellten ROAs, einem AS0-Feed der Registry oder lokalen Zusicherungen stammt, selbst wenn derselbe Routenkarten-Term letztendlich alle drei verwirft.
Ein anderes Netzwerk kann bei AS0 separat alarmieren. Es kann einen Kunden vor der Durchsetzung kontaktieren, auf Peer- und Transitsitzungen verwerfen, aber eine vorübergehende authentifizierte Kundenausnahme zulassen oder die Durchsetzung erst nach unabhängiger Bestätigung anwenden. Solche Unterscheidungen können legitim sein, weil Beziehung und Belege unterschiedlich sind. Sie sollten nicht zu dauerhaften Schlupflöchern werden, durch die Kunden jeden nicht delegierten Adressraum ankündigen können.
Herabstufung ist ein unvollkommener Kompromiss. Eine spezifischere Invalid-Route kann Verkehr über eine weniger spezifische Valid-Route ziehen, weil die Weiterleitung das längste Präfix verwendet, bevor die BGP-Präferenz unter Routen zum gleichen Präfix wirkt. Das Beibehalten eines Invalid-Pfades allein zur schnellen Neubewertung ist etwas anderes, als ihn in die Weiterleitung zu lassen. Richtlinienbeschreibungen müssen diese Zustände unterscheiden.
Betreiber benötigen auch eine Reaktion, wenn Validierungsdaten verschwinden. Cache-Ablauf kann das AS0-Signal entfernen oder seine Behandlung ändern. Das Scheitern im geöffneten Zustand kann die unerwünschte Route zulassen; das Scheitern im geschlossenen Zustand bei allen unbekannten Daten kann zu breiteren Erreichbarkeitsschäden führen. Redundante Caches und explizite Ablaufrichtlinien reduzieren die Wahl, aber beseitigen sie nicht.
Keine Registry kann diese lokalen Risiken für jedes Netzwerk bewerten. Ein öffentlicher Anbieter, der Notdienste betreibt, kann nach Authentifizierung eines neu zugewiesenen Präfixes eine gestufte Ausnahme wählen. Ein Backbone mit breiter Beobachtung und ausgereifter Eskalation kann sofort ablehnen. Ein kleines Unternehmen kann sich vollständig auf seinen Upstream verlassen. Institutionelle Legitimität ergibt sich aus klaren Rollen, nicht aus identischer Konfiguration.
Die Entscheidung des Betreibers sollte dennoch erklärbar sein. Wenn eine Route verworfen wird, sollte das Netzwerk in der Lage sein, die AS0-Nutzlast, die Vertrauensquelle, den Validierungszeitpunkt und die getroffene Richtlinie zu identifizieren. Wenn eine Ausnahme gewährt wird, sollte es den Geltungsbereich, die Belege, den Genehmiger und das Ablaufdatum identifizieren. Lokale Autonomie ohne Aufzeichnung ist für die betroffene Partei nicht von willkürlicher Behandlung zu unterscheiden.
Externe Messungen sind Teil des Sicherheitsnachweises
Ein AS0-Veröffentlicher kann seine eigenen Objekte überprüfen und dennoch die wichtigste Diskrepanz übersehen: Ein Präfix, das er als ungenutzt bezeichnet, wird sichtbar in BGP originert. Die Route mag nicht autorisiert sein, aber sie kann auch ein Beleg dafür sein, dass die Klassifikation vor einer breiten Durchsetzung überprüft werden sollte. Externe Messungen sollten daher vor der Veröffentlichung, während des Betriebs und nach der Rücknahme durchgeführt werden.
Der erste Vergleich ist zwischen der vorgeschlagenen AS0-Abdeckung und aktuellen BGP-Beobachtungen. RIPE RIS und RouteViews sammeln Routen von teilnehmenden Netzwerken an mehreren Standorten und archivieren Routing-Tabellen und Updates. Ein Veröffentlicher kann jedes vorgeschlagene Präfix oder spezifischere markieren, das an einem ausgewählten Collector erscheint. Das Ergebnis ist eine Überprüfungswarteschlange, keine automatische Ausnahme. Die Sichtbarkeit der Collectors ist partiell, und das Nicht-Beobachten beweist nicht, dass eine Route nicht existiert.
Der zweite Vergleich ist zwischen dem autoritativen Ressourcenstatus und dem validierten Nutzdatenbestand. Unabhängige Validatoren sollten die gleichen beabsichtigten AS0-Einträge aus den veröffentlichten Objekten ableiten. Unterschiede können Repository-Verzögerungen, Zertifikatsfehler oder Software-Interpretationen aufdecken. Der Bericht sollte Vertrauensquellen und Beobachtungszeiten angeben, anstatt Validatoren als Stimmen zu zählen.
Der dritte Vergleich betrifft die Wirkung. Kontrollierte Beobachtung kann zeigen, ob AS0-abgedeckte Ankündigungen von ausgewählten Aussichtspunkten aus sichtbar bleiben, ob sich die Sichtbarkeit nach der Übernahme durch Betreiber ändert und ob ein korrigiertes Präfix zurückkehrt. Sie kann keine exakte globale Ablehnungsrate feststellen. BGP-Collectors sampeln willige Peers, und Pfadänderungen können Richtlinien verbergen. Aktive Tests erfordern ethische und Routing-Schutzmaßnahmen und messen dennoch nur ausgewählte Pfade.
Der vierte Vergleich betrifft falsch-positive Meldungen. Jede authentifizierte Anfechtung sollte klassifiziert werden: Fehler in den Registry-Daten, ausstehende Delegierung, veraltete Route, Fehler des Inhabers, umstrittener Anspruch, lokale private Nutzung oder unerklärte Ankündigung. Die Zeit bis zur ersten Antwort, die Autoritätskorrektur, die Validatorkonvergenz und die beobachtete Wiederherstellung sollten in Verteilungen mit klaren Nennern berichtet werden. Ein Zeitraum ohne Anfechtungen ist kein Beweis für perfekte Genauigkeit, wenn betroffene Parteien den Kontakt nicht finden konnten.
Öffentliche Messungen verleihen dem Erhaltungsanspruch Glaubwürdigkeit. Sie zeigen, ob abgedeckter Adressraum tatsächlich im Routing beobachtet wurde, ob Missbrauch zurückging und ob legitime Übergänge sich erholten. Sie disziplinieren auch die Expansion. Ein Veröffentlicher sollte nicht weitere Kategorien hinzufügen, nur weil die Generierung technisch einfach ist; er sollte zeigen, dass der aktuelle Satz genau, umkehrbar und nützlich ist.
Der stärkste Beleg ist ereignisbezogen und reproduzierbar. Eine monatliche Behauptung, dass „AS0 Millionen von Adressen schützt“, sagt wenig über den operativen Wert aus und kann irreführen, weil Adresszählungen große Blöcke stark gewichten. Eine Aufzeichnung von erkannten Ankündigungen, überprüften Konflikten, Korrekturen und gemessener Konvergenz sagt Institutionen, was die Kontrolle tatsächlich bewirkt hat.
Schnelle Rücknahme ist ein Recht, nicht nur ein technisches Ziel
Wenn AS0 falsch ist, benötigt die betroffene Partei mehr als ein Support-Ticket. Die signierte Erklärung der Registry kann entfernte Betreiber beeinflussen, mit denen der Inhaber keinen Vertrag hat. Ein glaubwürdiges Anfechtungsverfahren ist daher Teil der Veröffentlichungsautorität.
Der Einstiegspunkt sollte öffentlich sein, kontinuierlich überwacht werden und in der Lage sein, dringende Antragsteller zu authentifizieren. Der Antragsteller sollte Präfix, beanspruchte Autorität, Ursprungs-AS, Routing-Belege und Kontakt angeben. Die Registry sollte sofort eine Fallkennung zurückgeben und anzeigen, ob das Präfix derzeit in AS0 enthalten ist, unter welcher Richtlinie und aus welchem Statusdatensatz.
Die Triage sollte offensichtliche administrative Fehler von umstrittenen Rechten trennen. Wenn ein neu zugewiesenes Präfix aufgrund fehlgeschlagener Änderungsbearbeitung abgedeckt blieb, sollte die Rücknahme nicht auf ein Richtlinienkomitee warten. Wenn der Anspruch einen zurückgegebenen oder Legacy-Block mit widersprüchlichen Datensätzen betrifft, kann die Registry eine rechtliche und dokumentarische Prüfung benötigen. Selbst dann sollte sie eine zeitlich begrenzte Risikomaßnahme in Betracht ziehen, die Zwischenentscheidung erläutern und eine Berufung ermöglichen.
Rücknahmeziele sollten an kontrollierten Prüfpunkten definiert werden: Genehmigung, Repository-Veröffentlichung und Bestätigung durch bestimmte unabhängige Validatoren. Die durchgängige Routenwiederherstellung sollte gemessen und berichtet, aber nicht universell garantiert werden, da Betreiber ihre eigenen Abfrage- und Richtlinien steuern. Die Registry sollte weiterhin helfen, bis repräsentative externe Beobachtungen zeigen, dass die Korrektur sich verbreitet hat oder die verbleibende Blockade woanders liegt.
Die historische Aufzeichnung muss die Korrektur überdauern. Ein großes Aggregat stillschweigend ohne detailliertes Änderungsprotokoll neu zu generieren, macht es schwer zu wissen, dass das Präfix jemals abgedeckt war. Ein Transparenzeintrag sollte den alten und neuen Umfang, die Grundkategorie, die Autorisierung und Zeitstempel aufzeichnen. Er kann private Antragstellerdetails schützen, während institutionelles Handeln offengelegt wird.
Eine Berufung sollte verfügbar sein, wenn die Registry die Rücknahme verweigert. Das Überprüfungsgremium benötigt Zugang zu Registrierungs- und Richtlinienbelegen, muss unabhängig genug sein, um die Klassifikation des Personals zu hinterfragen, und sollte ein begründetes Ergebnis mit notwendigen Schwärzungen veröffentlichen. Gerichtsrechte und vertragliche Rechtsmittel bleiben bestehen, wo anwendbar; die technische Überprüfung sollte nicht vorgeben, jede rechtliche Titelfrage zu klären.
Schnelle Rücknahme ist ein Recht, weil Umkehrbarkeit präventive Macht rechtfertigt. Die Institution bittet Betreiber, sich auf eine Klassifikation zu verlassen, bevor ein Schaden eintritt. Im Gegenzug muss sie der fälschlich klassifizierten Partei einen schnellen, belegten Ausweg bieten. Ohne diese Symmetrie wird Erhaltung zu präventiver Verweigerung ohne ordnungsgemäßes Verfahren.
Präventive Macht erfordert stärkere Änderungskontrolle als gewöhnliche Listen
Eine statische Bogon-Liste kann falsch sein, aber ein RPKI-AS0-Objekt trägt kryptografische Autorität und kann in automatisierte Router-Richtlinien eingehen. Seine Änderungskontrolle sollte diesem höheren Hebel entsprechen.
Die Generierung sollte deterministisch aus den deklarierten Eingaben sein, aber nicht blind. Die Kandidatenmenge kann aus dem Ressourcenstatus berechnet und dann gegen Zertifikatsbestände, positive ROAs, ausstehende Zuweisungen, Transferdatensätze, Streitigkeitskennzeichen und beobachtetes BGP geprüft werden. Jeder Ausschluss und Konflikt sollte protokolliert werden. Eine zweite Person oder eine unabhängige Kontrolle sollte risikoreiche Hinzufügungen wie zurückgeforderte, zurückgewonnene oder Legacy-Bereiche genehmigen.
Objekte sollten so zugeschnitten sein, dass sie das gemeinsame Schicksal reduzieren. RFC 9455 warnt allgemeiner, dass ROAs, die mehrere Präfixe enthalten, die Gültigkeit als ein signiertes Objekt teilen. Für AS0-Operationen kann eine übermäßig breite Paketierung die Untersuchung und Korrektur erschweren, selbst wenn die Routenvalidierungssemantik präfixspezifisch bleibt. Kleinere, logisch gruppierte Objekte können klarere Änderungsaufzeichnungen unterstützen, vorausgesetzt, die operative Skalierung und die Repository-Leistung werden respektiert.
Die Simulation vor der Veröffentlichung sollte berechnen, welche beobachteten BGP-Ankündigungen in unabhängigen Validatoren von NotFound oder Valid zu Invalid wechseln würden. Die Überprüfung sollte spezifischere Präfixe einschließen, da AS0 diese abdecken soll. Ein Konflikt mit einer positiven Autorisierung sollte erklärt, nicht ignoriert werden. Das Ergebnis wird zu einem Genehmigungsartefakt und einer Basislinie für die Beobachtung nach der Veröffentlichung.
Die Einführung sollte gestuft erfolgen. Veröffentlichen für eine Überwachungs-Vertrauensquelle, Betreiber zur Überprüfung einladen, Beobachtungen vergleichen, Klassifikationen korrigieren und dann Durchsetzungsleitlinien in Betracht ziehen. Eine Registry kann dennoch schnell auf offensichtlichen Missbrauch reagieren; die gestufte Einführung betrifft das Vertrauen der vertrauenden Parteien, nicht eine Verzögerung der Signierung jedes Objekts.
Die Rücknahme verdient die gleiche technische Sorgfalt. Zuteilungssysteme sollten nicht in der Lage sein, eine Delegierung abzuschließen, ohne ein verknüpftes AS0-Rücknahmeereignis zu erstellen. Der Dienst sollte die Repository-Veröffentlichung und die Ansichten unabhängiger Validatoren überprüfen. Eine fehlgeschlagene Rücknahme sollte ein verantwortliches Team alarmieren, anstatt darauf zu warten, dass der Empfänger eine Invalid-Route entdeckt.
Schließlich sollten Governance-Gremien Änderungen des Geltungsbereichs öffentlich überprüfen. Das Hinzufügen von „unter Quarantäne“ oder „zurückgewonnenem“ Adressraum kann Rechte verändern und sollte keine unbemerkte Software-Veröffentlichung sein. Die Richtlinie sollte Aufnahme, Übergang und Berufung definieren. Das technische Personal sollte eine Auswirkungsanalyse mit Konflikten und Einschränkungen veröffentlichen. Die Zustimmung der Community kann Genauigkeit nicht garantieren, macht aber das behauptete Erhaltungsmandat anfechtbar, bevor es zu Code wird.
Der Fall für AS0 ist am stärksten, wenn seine Grenzen explizit sind
Die stärkste Verteidigung von AS0 behauptet keine perfekten Datensätze, universelle Einführung oder automatische Beseitigung von Missbrauch. Sie sagt etwas Bescheideneres und Dauerhafteres: Institutionen, die derzeit Adressraum verwalten, haben die Pflicht, unbefugte Nutzung vor der Delegierung zu verhindern, und RPKI bietet eine authentifizierte Möglichkeit, diesen Standard gegenüber willigen Betreibern auszudrücken.
Die Verteidigung hat Bedingungen. Die Institution muss die aktuelle Verwaltungsautorität für das genaue Präfix innehaben. Der Ressourcenstatus muss bedeuten, dass die öffentliche Origination nicht beabsichtigt ist. Spezielle Ressourcen, von denen Routing erwartet wird, müssen ausgeschlossen sein. Bestehende Inhaber, ausstehende Delegierungen, positive ROAs und sichtbare Ankündigungen müssen überprüft werden. Die regionale Richtlinie muss die Handlung autorisieren, wo die Top-Level-Standardregel der IANA sie nicht direkt regelt.
Die Wirkung muss auch ehrlich dargestellt werden. AS0 erzeugt ein Origin-Validierungsergebnis; Betreiber wählen die Durchsetzung. Eine als Invalid klassifizierte Route kann böswillige Nutzung, einen Betriebsfehler oder eine schlechte Klassifikation widerspiegeln. Eine passende positive ROA kann eine Route Valid machen. Unterschiedliche Vertrauensquellen können Netzwerke zu unterschiedlichen Ansichten führen. BGP-Beobachtungen sind stichprobenartig, nicht universell.
Am wichtigsten ist, dass die Kontrolle umkehrbar sein muss. Der Veröffentlicher benötigt eine gemessene Rücknahme, einen Anfechtungsdienst, eine erhaltene Historie und eine unabhängige Bestätigung. Neue Inhaber benötigen Übergangsbelege, bevor sie ankündigen. Betreiber benötigen Herkunftsnachweise und eine sichere Neubewertung. Eine Kontrolle, die eine Verweigerung in Minuten hinzufügen kann, aber Tage zur Korrektur eines offensichtlichen Fehlers benötigt, mangelt es an institutioneller Ausgewogenheit, selbst wenn ihre Kryptografie fehlerlos ist.
Diese Grenzen schwächen die Erhaltung nicht. Sie machen die Übernahme durch Betreiber besser vertretbar. Netzwerke setzen ein Signal eher durch, wenn sie wissen, wie es erzeugt wurde und wie Fehler behoben werden. Inhaber akzeptieren eher eine präventive Abdeckung, wenn die Zuteilung sie zuverlässig entfernt. Forscher können die Wirkung messen, wenn Umfang und Historie öffentlich sind.
Ein AS0-Regime sollte daher eine kompakte Zusicherungserklärung veröffentlichen: Autorität, enthaltene Status, Ausschlüsse, Datenquellen, Aktualisierungsplan, Vertrauensquelle, Übernahmeleitlinien, Konfliktprüfungen, Anfechtungskontakt, Rücknahmeziele, externe Validatoren und Messgrenzen. Diese Erklärung verwandelt eine breite negative Behauptung in einen rechenschaftspflichtigen Dienst.
Eine Number Resource Society kann prüfen, ohne selbst Zuteiler zu werden
Eine Number Resource Society hat eine nützliche Rolle, gerade weil AS0 institutionelle Grenzen überschreitet. Die Registry kontrolliert Klassifikation und Signierung. Betreiber kontrollieren die Routing-Richtlinie. Inhaber tragen die Konsequenzen. Forscher beobachten nur Teile des Routingsystems. Kein einzelner Akteur stellt natürlicherweise den gesamten Sicherheitsnachweis zusammen.
Die Gesellschaft kann ein vergleichendes Register der AS0-Richtlinien führen: welche Institution veröffentlicht, unter welcher Vertrauensquelle, für welche Status, mit welcher Übergangsreihenfolge, welchem Anfechtungskanal und welchem Transparenzdatensatz. Sie kann prüfen, ob der veröffentlichte Umfang mit den deklarierten Ressourcendaten übereinstimmt und ob unabhängige Validatoren konvergieren. Sie kann Ereignisstudien zu Hinzufügungen, Rücknahmen und neu delegierten Präfixen in Auftrag geben.
Sie kann auch kleinere Inhaber bei der Korrektur vertreten. Ein gemeinsames Belegformular und ein Eskalationsverzeichnis würden die Zeit verkürzen, die benötigt wird, um nachzuweisen, dass eine Invalid-Route mit AS0 zusammenhängt. Die Gesellschaft könnte Antwort und Wiederherstellung verfolgen, ohne die Offenlegung geschützten Kontomaterials zu verlangen. Wiederholte Ausfälle könnten mit konkreten Belegen in RIR-Community-Prozessen angesprochen werden, anstatt mit allgemeinem Misstrauen.
Die Abgrenzung ist wesentlich. Die Gesellschaft sollte keine AS0-ROAs für Adressraum ausstellen, den sie nicht verwaltet, nicht über umstrittene Ressourcentitel entscheiden, eine RIR nicht zur Zuteilung zwingen oder Netzwerke nicht anweisen, Routen zu transportieren. Sie sollte nicht jede regionale Richtlinie in einen universellen Feed zusammenführen. Diese Handlungen würden die Konzentration reproduzieren, die die unabhängige Überprüfung kontrollieren soll.
Ihre Autorität wäre reputationsbezogen und verfahrenstechnisch. Veröffentlichte Methoden, reproduzierbare Vergleiche, ausgewogene Mitgliedschaft und deklarierte Konflikte können ihre Erkenntnisse nützlich machen. Eine RIR könnte eine Empfehlung ablehnen, müsste aber erklären, warum. Ein Betreiber könnte eine strengere oder lockerere Richtlinie wählen, könnte aber die Belege hinter jeder Vertrauensquelle vergleichen.
Die Gesellschaft sollte Kontrollen bewerten, nicht Institutionen im Abstrakten. Hat die AS0-Menge eine klare Autoritätsgrundlage? Kann eine neue Delegierung sicher verlassen werden? Werden beobachtete Konflikte überprüft? Ist die Rücknahme in unabhängigen Validatoren sichtbar? Kann ein betroffener Inhaber eine Begründung erhalten? Sind Richtlinien- und technische Änderungen öffentlich? Diese Fragen führen zu umsetzbaren Verbesserungen.
Eine solche Rolle unterstützt eine positive Agenda der Number Resource Society: Erhaltung ohne Konfiszierung, Routing-Sicherheit ohne verstecktes zentrales Kommando und regionale Autonomie mit gemeinsamer Evidenz. Sie verwandelt Legitimität von einer Behauptung über wohlwollende Absichten in einen Test umkehrbarer Macht.
Erhaltung und Verweigerung sind durch Verfahren getrennt
AS0-ROAs sind sowohl Erhaltungsinstrumente als auch präventive Verweigerungen. Die beiden Beschreibungen schließen sich nicht gegenseitig aus. Der Mechanismus verweigert die öffentliche Origination, bevor ein legitimer Inhaber voraussichtlich routen wird. Diese Verweigerung erhält Ressourcen nur dann, wenn Autorität, Klassifikation und Übergang solide sind.
Die Standards liefern eine abgegrenzte Grundlage. AS 0 ist als öffentlicher BGP-Ursprung unbrauchbar. RFC 6483 definiert die Verweigerung und erlaubt, dass passende positive ROAs vorherrschen. RFC 6491 autorisiert die Behandlung von nicht zugewiesenem und nicht geroutetem reserviertem oder speziellem Adressraum durch die IANA, während Adressraum geschützt wird, der routen soll. RFC 8481 belässt die endgültige Aktion in der Betreiberrichtlinie.
Regionale Richtlinien fügen eine zweite Grundlage hinzu. APNIC und LACNIC haben AS0 an Adressraum unter ihrer eigenen Verwaltung gebunden und die Entfernung beschrieben, wenn Ressourcen delegiert werden. Ihre Entscheidungen zeigen, dass die Community-Richtlinie, nicht allein die technische Fähigkeit, den Umfang der RIR definieren sollte. Die separate Vertrauensquelle von APNIC und die Vorsicht vor automatischer Filterung anerkennen ebenfalls die Kosten von Fehlern.
Die verbleibende Arbeit ist institutionell. Jedes enthaltene Präfix sollte eine sichtbare Autoritäts- und Statusgrundlage haben. Jeder Übergang sollte Rücknahme, positive Autorisierung und externe Validierung koordinieren. Jede Anfechtung sollte eine authentifizierte Antwort und messbare Korrektur erhalten. Jede behauptete Wirkung sollte ihre BGP-Aussichtspunkte und Grenzen angeben. Jeder Betreiber sollte wissen, dass er, nicht die Registry, letztendlich entscheidet, ob Invalid Ablehnung bedeutet.
Mit diesen Kontrollen ist AS0 ein legitimes Erhaltungsinstrument: stark genug, um Fehlrouten zu verhindern, eng genug, um die Autorität der Inhaber zu respektieren, und umkehrbar, wenn sich Fakten ändern. Ohne sie kann dieselbe signierte Null zu einer undurchsichtigen Verweigerung werden, die verhängt wird, bevor die betroffene Partei eine wirksame Anhörung hat.
Der Governance-Test ist daher praktisch und nicht rhetorisch. Fragen Sie, wer signiert hat, welcher genaue Status die Signatur rechtfertigte, wer die bestehende Nutzung überprüft hat, wann die Verweigerung aufgehoben wird, wie ein Anspruchsteller sie anfechten kann, welche Validatoren die Änderung bestätigen und was stichprobenartige Routen danach zeigen. Wenn diese Fragen gute Antworten haben, kann Null eine gemeinsame Ressource schützen. Wenn nicht, beweist die kryptografische Gültigkeit nur, dass die falsche, institutionell nicht gestützte Aussage korrekt signiert wurde.
Quellen
- RFC 7607: Kodifizierung der AS-0-Verarbeitung— Verlangt, dass BGP-Sprecher keine Routen originieren oder weiterleiten, die AS 0 in bestimmten Pfadattributen enthalten. Er erklärt, warum AS0 als nicht routingfähiges Subjekt dienen kann, autorisiert aber keine Institution, ein bestimmtes Präfix zu klassifizieren.
- RFC 6483: Validierung der Routen-Origination mittels RPKI und ROAs— Definiert die AS0-Verweigerung, die Behandlung spezifischerer Präfixe und die Fähigkeit einer passenden positiven ROA, ein Valid-Ergebnis zu erzeugen. Er datiert vor den hier bewerteten regionalen Richtlinien.
- RFC 6491: Von IANA ausgestellte Resource Public Key Infrastructure-Objekte— Bietet die Standardgrundlage für IANA-AS0-Objekte, die nicht zugewiesene und nicht geroutete reservierte oder spezielle Ressourcen abdecken, mit expliziten Ausschlüssen für Ressourcen, die routen sollen.
- RFC 6811: BGP Prefix Origin Validation— Definiert die Routenzustände Valid, Invalid und NotFound. Ein Zustand stellt nicht fest, warum eine Ankündigung mit der Autorisierung in Konflikt steht.
- RFC 8481: Klarstellungen zur BGP Origin Validation— Verlangt, dass die Aktion der Origin-Validierungsrichtlinie unter expliziter Betreiberkonfiguration bleibt. Er empfiehlt keine einzigartige AS0-Richtlinie.
- RFC 8416: Vereinfachtes lokales Internet Number Resource Management mit RPKI— Beschreibt lokale Filter und Zusicherungen, einschließlich Fällen mit reserviertem oder nicht zugewiesenem Adressraum. Lokale Ausnahmen ändern nicht die globalen Ansichten anderer Betreiber.
- RFC 8210: The RPKI to Router Protocol, Version 1— Definiert Nutzdaten-Rücknahmen, Cache-Seriennummern und Zeitabläufe zwischen Validatoren und Routern. Seine Timer garantieren keine universelle Ende-zu-Ende-Korrekturzeit.
- RFC 9455: Avoiding ROAs Containing Multiple IP Prefixes— Erklärt das gemeinsame Gültigkeitsschicksal innerhalb von ROA-Objekten mit mehreren Präfixen. Die Anwendung seiner Objektgestaltungslehre auf AS0 ist eine Governance-Empfehlung, kein AS0-spezifisches Mandat in diesem RFC.
- APNIC prop-132: RPKI ROAs for Unallocated and Unassigned APNIC Address Space— Dokumentiert den regionalen Vorschlag, die Begründung und den Implementierungsstatus für von APNIC verwalteten Adressraum. Er erteilt APNIC keine Autorität über andere Regionen.
- APNIC Internet Number Resource Policies, Abschnitt 5.1.4— Gibt an, welche APNIC-Status AS0-Abdeckung erhalten und dass APNIC ein Präfix entfernt, wenn es die Ressource delegiert. Der öffentliche Richtlinientext allein beweist nicht, dass jeder operative Übergang fehlerfrei ist.
- APNIC: Wichtige Hinweise zur AS0-ROA— Warnt vor Unterbrechungsrisiko, empfiehlt Beratungs- oder Alarmierungsnutzung und beschreibt eine separate Vertrauensquelle. Es handelt sich um die eigene operative Erklärung von APNIC, nicht um eine unabhängige Wirksamkeitsstudie.
- LACNIC policy LAC-2019-12— Dokumentiert die implementierte regionale Autorität, den Geltungsbereich und die Rücknahmeanforderungen für von LACNIC verwaltete Ressourcen. Die Richtlinie regelt keine unabhängigen Legacy- oder regionsübergreifenden Ansprüche.
- RIPE NCC 2019-08 Auswirkungsanalyse— Untersuchte operative Zeitabläufe, Umfang und Übergangsrisiken für einen vorgeschlagenen AS0- oder Local-Assertion-Ansatz. Sie ist ein Beleg für Designbedenken, kein Beweis, dass das analysierte Design zur aktuellen Praxis des RIPE NCC wurde.
- RIR Statistics Exchange Format— Definiert öffentliche Momentaufnahmen von Zuteilungen und Zuweisungen und erklärt deren Mangel an Transaktionshistorie. Statusdateien sind Belege für die Klassifikation, kein Ersatz für die Entscheidung über umstrittene Autorität.
- RIPE RIS-Dokumentation— Beschreibt verteilte BGP-Collectors und Archive, die für Vorher-Nachher-Beobachtungen geeignet sind. Die Abdeckung ist stichprobenartig und kann keine universelle Ablehnung feststellen.
- RouteViews API-Dokumentation— Dokumentiert aktuelle und historische Routing-Beobachtungen von teilnehmenden Collectors. Die Nichtbeobachtung an einem Collector ist kein Beweis, dass keine Route anderswo existiert.
- LACNIC/NRO RPKI-Best-Practice-Hinweis— Beschreibt die operative Leitlinie von 2025 für AS0-Vertrauensquellen, Überwachung und gestufte ROV-Einführung. Es handelt sich um eine Leitlinie und sollte nicht in einen exakten Übernahmenenner umgewandelt werden.
- NRS Charter— Unterstützt verteilte Beteiligung und Grenzen konzentrierter Autorität über Nummernressourcen. Die in diesem Artikel vorgeschlagenen Prüf- und Anfechtungsfunktionen bleiben prospektiv und verleihen NRS keine Zuteilungs- oder Routing-Macht.

