Sommaire
- RPSL définit
source:comme le registre où un objet est enregistré. L'attribut identifie la provenance; il ne certifie pas, à lui seul, le titulaire actuel des ressources, n'authentifie pas l'AS d'origine, ne prouve pas l'actualité des données et ne garantit pas qu'un miroir est à jour. - Les registres de routage distribués (IRR) ont obligé les consommateurs à choisir où interroger. Les relations directes avec les clients permettaient de spécifier un registre préféré, mais les tiers manquaient souvent d'un renvoi vers la source faisant autorité. Les noms de registre sont donc devenus des indicateurs pratiques de confiance.
- Les logiciels rendent cette confiance opérationnelle. RADb et IRRd permettent la sélection et l'ordonnancement des sources;
bgpq4peut restreindre la génération de filtres à des sources nommées; IRRd peut attribuer des préférences au niveau de la source pour les objets de route. Un choix de configuration peut supprimer une déclaration et en admettre une autre avant même qu'un humain ne les voie. - La préférence fondée sur la marque n'est pas irrationnelle. Les IRR intégrés aux RIR peuvent authentifier par rapport aux enregistrements de ressources numériques, tandis que certaines bases de données indépendantes acceptent des communautés plus larges et conservent une couverture utile. L'erreur est de supposer que chaque objet sous une même étiquette possède une autorité, une ancienneté et un historique de maintenance identiques.
- La qualité d'une source doit être mesurée selon plusieurs dimensions: autorisation du titulaire d'adresses, participation de l'AS d'origine, robustesse des informations d'authentification, actualité, cohérence RPKI, pertinence BGP, intégrité des miroirs, droits de correction, performance de suppression, disponibilité et transparence sur les exceptions.
- Une note de source ne doit jamais remplacer les preuves au niveau de l'objet. Un objet de route valide RPKI dans une source bien contrôlée diffère d'un ancien objet NotFound sous un mainteneur abandonné, même si tous deux se terminent par la même valeur
source:. - Les opérateurs ont besoin d'une politique de source reproductible: sources et versions nommées, règles de conflit, raisons des préférences, dates de révision, comportement en mode ouvert ou fermé en cas d'échec, deltas de filtres et exceptions d'urgence. Les clients doivent être informés et disposer d'un recours lorsque un changement de politique de source affecte la connectivité.
- Une Société des ressources numériques peut publier des tests et des profils de preuves portables pour les registres et les fournisseurs de filtres, mais elle ne doit pas transformer l'accréditation en une nouvelle hiérarchie de marque permanente. La confiance doit expirer, être retestée et rester contestable.
La ligne la plus lourde de conséquences est souvent la moins descriptive
Un objet de route RPSL peut contenir un préfixe, un AS d'origine, des mainteneurs, des contacts, des remarques et des horodatages. La ligne en bas peut n'être quesource: RIPE,source: APNIC,source: ARINousource: RADB. Elle paraît modeste. Dans un registre de routage distribué, cependant, ce nom peut décider si un opérateur prend en compte l'objet, quelle copie l'emporte en cas de conflit et si le préfixe résultant entre dans un filtre de route.
Ce pouvoir n'est pas inhérent au texte. La RFC 2622 donne à l'attribut un sens étroit: il spécifie le registre où l'objet est enregistré. Le champ indique l'origine de l'assertion. Il ne dit pas que l'assertion est correcte, que le titulaire des adresses l'a approuvée, que l'AS d'origine l'utilise encore ou qu'un réseau de transit particulier devrait lui faire confiance. Ces jugements s'ajoutent via les règles du registre et la configuration de l'opérateur.
Cette distinction importe parce que des objets de route d'apparence identique peuvent avoir des historiques probants différents. L'un peut avoir été créé via un compte RIR lié au titulaire enregistré actuel. Un autre peut avoir été enregistré par procuration des années plus tôt par un fournisseur. Un troisième peut être un miroir fidèle du premier. Un quatrième peut partager le même préfixe et la même origine, mais avoir été accepté indépendamment par une base de données aux contrôles d'admission plus faibles. Les valeurssource:distinguent la provenance de la publication, mais elles n'exposent pas toute la preuve derrière l'acceptation.
Les opérateurs ont néanmoins besoin de trancher. Un générateur de filtres ne peut pas débattre de théorie institutionnelle à chaque fois qu'il développe un AS-SET. Il interroge des sources, résout ou combine les résultats et produit une configuration. Dans cet environnement, un nom de source devient une politique compressée: « utiliser ces registres », « préférer ces registres » ou « ignorer ce registre ». La compression est efficace sur le plan opérationnel. Elle est aussi facile à confondre avec un classement de confiance universel.
Le défi de gouvernance n'est pas d'abolir la préférence de source. C'est de rendre les raisons visibles, mesurables et révisables. Un nom de registre peut être un signal de départ utile. Il ne devrait pas être un titre héréditaire qui excuse une mauvaise autorisation, des données périmées ou des recours inefficaces.
La provenance était nécessaire parce que le registre était distribué
Le premier registre de routage a été conçu pour une coordination à l'échelle de l'Internet sans exiger qu'une seule organisation détienne chaque énoncé de politique. La RFC 1786 décrivait les objets de route dans la base de données RIPE en 1995. RPSL a généralisé le langage. En 2000, la RFC 2901 décrivait plusieurs registres servant différentes clientèles et conseillait à un réseau d'enregistrer ses routes dans une seule base de données de routage, logiquement le registre IRR le plus proche, même si les pratiques des fournisseurs variaient.
Un système distribué a besoin d'un espace de noms et de provenance. Si des objets sont mis en miroir dans un seul service d'interrogation, le consommateur doit savoir quelle source a accepté chacun d'eux. Le nom de source empêche un objet RIPE en miroir de se faire passer pour une assertion locale de RADb et permet à un client de demander des registres sélectionnés. Il permet également à deux objets au contenu par ailleurs identique de conserver des origines institutionnelles distinctes.
La distribution offrait des avantages pratiques. Les réseaux pouvaient s'enregistrer auprès d'une communauté régionale ou de fournisseur qui comprenait leurs ressources. Les miroirs pouvaient améliorer la disponibilité et fournir un point d'accès unique pour des recherches étendues. Différentes institutions pouvaient innover en matière d'interfaces et de politiques. Aucun organisme mondial de contrôle des modifications n'avait à approuver chaque déclaration de route.
Le coût était un problème de découverte de l'autorité. La RFC 7682 observait que, étant donné un préfixe, un tiers ne pouvait souvent pas déterminer à l'avance quel IRR contenait l'énoncé le plus autorisé et le plus à jour. Un fournisseur direct pouvait demander à son client sur un formulaire de commande BGP. Un serveur de routes, un chercheur ou un pair distant ne disposait pas de cette relation. Le fait de mettre en miroir toutes les sources connues renvoyait plus de données, mais n'expliquait pas quelle assertion méritait la priorité.
On a donc demandé à l'attribut source de répondre à une question plus large que la provenance: à quel processus institutionnel le consommateur devait-il croire? Les noms des RIR semblaient attrayants parce que la même organisation détenait la relation d'enregistrement des numéros. Les IRR de fournisseurs et indépendants restaient attrayants parce qu'ils couvraient des clients, des arrangements hérités ou des objets de politique absents ailleurs. Le choix de la source est devenu un moyen de gérer une autorité incomplète.
Cette évolution était compréhensible. Elle ne constituait pas un système formel de certification. Un nom de source décrit l'institution qui a admis un objet; la confiance dépend de ce que cette institution a effectivement vérifié, de la cohérence de ces vérifications et de ce qui s'est passé après la vérification initiale.
Lieu d'enregistrement et preuve faisant autorité sont des affirmations différentes
Le mot « source » invite à une surinterprétation. Dans le langage courant, une source peut être l'origine du savoir. En RPSL, c'est l'emplacement du registre attaché à l'objet. La base de données peut faire autorité pour l'espace d'adressage concerné, faire autorité uniquement pour sa propre collection d'objets locale, ou simplement accepter de publier la déclaration d'un client. Ce sont différentes formes d'autorité.
Un IRR intégré à un RIR peut lier la création de route aux enregistrements d'adresses et d'ASN sous son administration. APNIC indique que son registre de routage vérifie que les plages d'adresses et les numéros d'AS relèvent des plages de ressources d'APNIC et utilise les attributs de mainteneur dans les enregistrements de ressources pour contrôler les objets de routage. ARIN décrit sa source NRTM comme contenant des objets autorisés liés à une organisation de maintenance valide et à des ressources couvertes.
La base de données RIPE exige une autorisation de l'espace d'adressage pour la création de route dans la région RIPE et offre une reprise hiérarchique pour certains objets bloquants.
Ces contrôles justifient un poids probant. Ils ne rendent pas chaque détail intemporel. Un titulaire valide peut entrer la mauvaise origine. Une procuration peut être correctement autorisée et devenir obsolète par la suite. Un objet créé sous une ancienne interface peut avoir un historique de maintenance différent de celui créé aujourd'hui. Les contacts peuvent se périmer. Une route peut rester dans la base de données après la fin du service. L'autorité au moment de l'admission n'est pas une garantie automatique d'intention continue.
Un registre indépendant occupe une position différente. RADb peut accepter et servir la politique de routage pour des réseaux au-delà du système d'adhésion direct d'un seul RIR et offre une vue d'interrogation combinée avec des registres en miroir. Cette étendue a une réelle valeur opérationnelle, en particulier là où l'IRR du RIR approprié ne possède pas d'objet, là où un fournisseur gère la politique pour des clients, ou là où les outils existants attendent un point d'accès unique et large. Cela signifie aussi que le consommateur doit se demander quelles soumissions étaient liées à quelles preuves de ressources.
L'étiquette seule ne fournit pas cette réponse.source: RADBindique que RADb a enregistré l'objet. Elle ne dit pas si l'objet a été créé directement par le titulaire, par un fournisseur de services, par un mainteneur hérité ou dans le cadre d'une comparaison RPKI actuelle.source: ARINporte une intégration d'enregistrement régional plus forte, mais un consommateur a toujours besoin de l'âge de l'objet, de son statut et des preuves de conflit. La confiance s'attache à un acte vérifiable, pas à une typographie.
La hiérarchie correcte commence par l'autorité spécifique à l'affirmation. Pour une assertion adresse-origine, l'autorité de l'adresse certifiée actuelle mérite un poids particulier. Pour l'appartenance à un AS-SET, l'administrateur AS concerné et les contrôles de nommage hiérarchique comptent. Pour l'actualité du miroir, les numéros de série de transport et les horodatages comptent. Aucune marque de source unique n'est la meilleure pour toutes les affirmations simplement parce qu'elle est bien connue.
Les options d'interrogation sont discrètement devenues des règles constitutionnelles
La hiérarchie des sources est souvent mise en œuvre dans un paramètre de ligne de commande. L'interface d'interrogation de RADb permet à un client de définir les sources sélectionnées et indique que l'ordre de recherche par défaut suit la configuration du serveur. IRRd permet à un opérateur de définir des sources par défaut, des alias et un ordre.bgpq4, un générateur de configuration largement utilisé, accepte une liste-Set recommande un ensemble construit autour de RPKI et des IRR des RIR. Un opérateur de transit peut encoder la constitution de sa confiance dans une commande planifiée que peu de clients voient jamais.
Ce n'est pas une critique de l'automatisation. Le but des données de routage structurées est de soutenir une politique reproductible. Une liste de sources peut exclure les bases de données qui ne répondent pas aux normes de sécurité d'un opérateur. Un ordre explicite peut rendre les résultats déterministes. Une actualisation automatisée peut réduire le délai entre la mise à jour d'un titulaire et une route opérationnelle.
Mais une option de source est une décision politique qui a des conséquences. Supposons qu'un client ait un objet de route valide uniquement dans RADb et qu'un fournisseur de transit modifie son générateur de toutes les sources vers les seules sources RIR. L'objet n'est pas devenu faux; il est devenu invisible pour les preuves sélectionnées par ce fournisseur. À la prochaine reconstruction de la politique, le préfixe peut disparaître de la liste autorisée. Inversement, l'ajout d'une source large peut introduire une paire préfixe-origine ancienne ou non autorisée dans un filtre.
L'ordre des sources peut être plus subtil que l'inclusion. Une interrogation traditionnelle peut renvoyer tous les objets correspondants tandis qu'un client prend le premier. Un outil peut faire l'union des résultats. Une base de données locale peut appliquer une suppression avant de répondre. Un opérateur peut agréger les préfixes générés, masquant ainsi quel objet a admis un préfixe plus spécifique. La même liste de sources peut donc produire des politiques effectives différentes selon les logiciels et les options.
La gouvernance exige que les opérateurs documentent la décision complète, pas seulement le nom d'un hôte d'interrogation. Quelles sources ont été sélectionnées? Dans quel ordre? A-t-on utilisé des miroirs ou des points de terminaison faisant autorité? Les objets RPKI-invalides ont-ils été supprimés? Les objets chevauchants de moindre préférence étaient-ils masqués? Comment les AS-SET ont-ils été développés? Que s'est-il passé quand le résultat était vide? Quand la politique générée a-t-elle été déployée?
Ces questions équivalent à des droits procéduraux dans une institution publique. Elles déterminent quelles affirmations sont entendues et lesquelles sont exclues. Une étiquette de confiance ne devient légitime que lorsque les règles qui l'entourent sont inspectables et que les réseaux concernés peuvent contester une erreur conséquente.
La préférence d'objet de route rend la réputation exécutable
La fonction de préférence d'objet de route d'IRRd est une démonstration exceptionnellement claire de la réputation de source devenant du code. Un administrateur attribue une préférence numérique à chaque source configurée. Lorsque les objets de route se chevauchent, les objets d'une source de moindre préférence peuvent être supprimés au profit d'objets d'une source de préférence plus élevée. Le rang de la source modifie ce que les interrogations ordinaires exposent.
Le mécanisme est utile. Si une source faisant autorité au niveau d'un RIR contient des données de route à jour, un opérateur IRRd local peut raisonnablement vouloir supprimer les objets chevauchants d'une source tierce moins contrôlée. Le résultat peut réduire l'ambiguïté et empêcher une ancienne déclaration large d'influencer les filtres. La préférence peut être appliquée de manière cohérente sur un large ensemble de données plutôt que par des exceptions ponctuelles.
Ses limites sont tout aussi instructives. La documentation d'IRRd indique que le chevauchement peut être exact, plus spécifique ou moins spécifique, et que les AS d'origine ne sont pas pris en compte par cette comparaison de préférence. Un objet de préférence plus élevée pour un préfixe chevauchant peut affecter la visibilité d'un objet de préférence inférieure même lorsque leurs origines diffèrent. Un changement dans une source peut modifier le statut visible d'un objet dans une autre. Les sources sans préférence configurée peuvent rester visibles en dehors de la comparaison.
Ce n'est pas un défaut caché par le logiciel; c'est un modèle de politique que l'administrateur doit comprendre. La préférence de source répond à la question « quelle institution a la priorité pour les données de route chevauchantes? ». Elle n'évalue pas l'ensemble de la relation sémantique entre deux origines. Un opérateur qui suppose qu'elle effectue une réconciliation complète de l'intention du titulaire peut masquer une déclaration multi-origine ou de secours légitime.
La préférence importe également la qualité de la note. Si une source hautement classée souffre d'une maintenance périmée, son chevauchement peut supprimer un objet plus récent de rang inférieur. Si les contrôles d'admission d'une source s'améliorent, ses objets historiques n'acquièrent pas tous la nouvelle assurance rétroactivement. Si la portée régionale d'un registre change après un transfert, une étiquette précédemment faisant autorité peut cesser de l'être pour ce préfixe.
La fonctionnalité doit donc être gouvernée comme un ensemble de règles conséquentes. Les valeurs de préférence ont des raisons déclarées, des propriétaires, des dates d'effet et des dates de révision. Les modifications sont prévisualisées par rapport aux deltas réels des objets. La suppression inattendue est échantillonnée. Les clients peuvent découvrir si leurs objets sont masqués et pourquoi. Les dérogations d'urgence expirent. Un rang est un jugement administratif actuel, pas une propriété permanente du nom de source.
Une même étiquette peut couvrir plusieurs générations de contrôle
La réputation institutionnelle suppose souvent une uniformité interne qui n'existe pas. Les bases de données évoluent. Elles abandonnent les mises à jour par courriel, ajoutent l'authentification de compte, introduisent l'autorisation hiérarchique, migrent les anciens objets, intègrent RPKI, resserrent la portée régionale ou ajoutent des outils de contestation par le titulaire. La valeursource:peut rester stable à travers ces changements.
La documentation IRR d'ARIN, par exemple, distingue les objets simples et avancés et note les objets migrés depuis un ancien service de modèles par courriel. Les autorisations dépendent en partie de la manière dont un objet a été créé. Sa source NRTM autorisée a des liens actuels forts avec les organisations enregistrées, mais la provenance de l'objet inclut toujours l'interface et l'historique de migration. Un consommateur attentif peut reconnaître la force institutionnelle de la source sans prétendre que chaque ligne est née par une seule procédure.
La source RIPE a changé de frontières de manière visible. Les objets route et aut-num hors région qui ne pouvaient pas être authentifiés par rapport à l'espace d'adressage géré par RIPE ont été déplacés versRIPE-NONAUTH, et la création de nouvelles routes hors région a été arrêtée. Ce ré-étiquetage était de la gouvernance à son meilleur: l'institution retirait une implication d'autorité que son étiquetteRIPEordinaire ne pouvait plus soutenir pour ces ressources.
Le registre intégré d'APNIC vérifie les ressources régionales et autorise les objets de route importés sous des conditions spécifiées. Sa documentation explique qu'un objet pour un espace d'adressage géré par APNIC peut nommer un ASN externe et déclencher une notification même lorsque le demandeur ne dispose pas de l'autorisation du côté de l'ASN. C'est un équilibre politique délibéré entre le contrôle du titulaire d'adresses et la sensibilisation à l'AS d'origine. Un consommateur évaluantsource: APNICdevrait comprendre la vérification plutôt que de la réduire à « fiable » ou « non fiable ».
RADb a ajouté des évaluations des objets périmés utilisant BGP, la validation RIR, les relations de mainteneur, l'âge et d'autres données. Pourtant, il indique explicitement que la marque « périmé » ne modifie pas le comportement des interrogations. Un opérateur qui sélectionne RADb doit encore décider s'il utilise ce statut et comment. L'étiquette institutionnelle n'absorbe pas le signal au niveau de l'objet.
Une bonne gouvernance des sources expose ces générations. Les objets peuvent porter la méthode de création, la dernière revue authentifiée, le statut actuel et les résultats de validation pertinents sans révéler les identifiants secrets. Les consommateurs peuvent alors préférer des cohortes plus solides au sein d'une source. L'alternative est une réputation par moyenne: d'excellents nouveaux contrôles donnant autorité à chaque objet hérité, tandis qu'une poignée d'échecs hérités discréditent injustement les enregistrements actuels de haute qualité.
Le raccourci par la marque est rationnel jusqu'à ce qu'on cesse de le tester
Les opérateurs de réseau ne peuvent pas mener une enquête approfondie pour chaque préfixe dans un large cône de clients. Ils utilisent les marques parce que les institutions développent un comportement reproductible. Un registre qui authentifie les titulaires, maintient des miroirs fiables, répond aux contestations et publie des règles claires mérite plus de confiance qu'un registre qui accepte des déclarations invérifiables et ignore les litiges. La réputation est un mécanisme de passage à l'échelle légitime.
Le danger est l'autorité héritée. Une fois qu'un nom de RIR ou de registre commercial établi est inscrit dans les configurations standard, le coût de sa révision augmente. Les ingénieurs copient la liste de sources de leur prédécesseur. Les exemples des fournisseurs deviennent la valeur par défaut. Une source reste de confiance parce que de grands opérateurs lui font confiance, et les grands opérateurs lui font confiance parce qu'elle figure depuis longtemps sur la liste. La preuve originale de l'inclusion disparaît.
Cette circularité protège les performances médiocres de la discipline du marché. Une source peut avoir des mises à jour retardées, des mainteneurs injoignables ou des règles de suppression opaques tout en conservant son rang. Inversement, un registre plus petit ou plus récent peut mettre en œuvre une authentification forte des ressources et une correction rapide tout en restant exclu parce qu'il manque d'historique de marque. Aucune de ces issues ne sert la sécurité du routage.
La réputation doit être renouvelée par les observations. À quelle fréquence la source vérifie-t-elle le statut actuel du titulaire pour les modifications importantes? Dans quel délai les mises à jour acceptées sont-elles disponibles sur les miroirs? Comment les mainteneurs abandonnés sont-ils récupérés? Quelle proportion d'objets contestés reçoit une décision motivée dans les délais publiés? À quelle fréquence les objets de route entrent-ils en conflit avec RPKI actuel, et comment les cas NotFound sont-ils traités? À quelle fréquence un miroir perd-il sa séquence ou sert-il un ancien instantané?
Même ces mesures exigent de la prudence. Une source servant des cas difficiles hérités et multirégionaux peut montrer plus de litiges qu'une source à périmètre serré. Un taux d'alignement RPKI élevé peut refléter une forte qualité ou une couverture étroite des adoptants RPKI. La suppression rapide peut être efficace ou imprudente. Les scores ont besoin de dimensions, de dénominateurs et de mix de cas plutôt que d'un seul tableau de classement.
Le raccourci reste rationnel lorsqu'il est vérifiable: « nous préférons cette source pour ces affirmations parce que ces contrôles et résultats actuels le justifient ». Il devient une mythologie lorsque l'explication se résume à la célébrité de la source.
Autorité, exactitude et actualité ne devraient pas partager une seule note
Une note de confiance unique masque la nature des preuves. Un objet peut être autorisé mais inexact: le titulaire actuel s'est authentifié avec succès et a entré la mauvaise origine. Il peut être exact mais faiblement autorisé: un tiers a copié la paire préfixe-origine réelle depuis BGP sans le consentement du titulaire. Il peut être à la fois autorisé et exact au moment de la création, mais périmé après un déménagement de réseau. Il peut être à jour à la source faisant autorité mais ancien sur un miroir en retard.
Ces états appellent des remèdes différents. Une erreur autorisée doit être corrigée par le titulaire et propagée rapidement. Une copie non autorisée mais exacte ne doit pas être utilisée comme une autorisation du titulaire simplement parce qu'elle correspond à BGP. Un objet périmé a besoin de succession et de retrait. Un retard de miroir nécessite une réparation du transport, pas un litige avec le mainteneur de l'objet.
L'évaluation des sources devrait donc publier un vecteur.L'autoritédemande quelle relation a permis au déclarant de parler pour le préfixe et l'origine.L'authentificationdemande comment l'institution a établi l'identité du déclarant.L'exactitudecompare l'affirmation de l'objet avec des preuves indépendantes plus solides.L'actualitémesure le temps écoulé depuis une confirmation significative, pas seulement la modification des horodatages.La disponibilitémesure si les consommateurs peuvent obtenir les données actuelles.La capacité de correctionmesure si les titulaires et mainteneurs concernés peuvent corriger les erreurs par une procédure équitable.
Ce vecteur doit être spécifique à l'affirmation. RPKI peut fortement soutenir l'autorité préfixe-origine mais ne valide pas chaque appartenance à un AS-SET ou chaque politique d'importation. Un registre de numéros peut établir le titulaire enregistré actuel mais peut ne pas connaître l'arrangement de transit privé d'un client. BGP peut montrer qu'une route est utilisée mais ne peut prouver l'autorisation. Un contrat de fournisseur peut montrer une délégation mais il peut être confidentiel et temporaire.
Les opérateurs peuvent alors énoncer des seuils. Les filtres d'entrée client peuvent exiger une forte autorité d'adresse ou une exception contractuelle examinée. La découverte de peering peut accepter des preuves plus larges mais marquer l'incertitude. Un serveur de routes peut combiner la validité RPKI avec des enregistrements IRR sélectionnés pour les routes NotFound. Les recherches peuvent inclure des objets supprimés et historiques précisément parce qu'elles étudient l'incohérence plutôt que de générer une autorisation.
Cela représente plus de travail qu'un badge or, argent ou bronze. C'est aussi plus honnête. La confiance n'est pas une substance unique. C'est un ensemble de raisons de s'appuyer sur une affirmation dans une décision particulière.
La qualité de l'authentification doit être mesurée au bord conséquent
Une source peut annoncer une sécurité de compte forte tout en laissant l'autorisation décisive faible. L'authentification multifacteur établit que l'utilisateur du compte contrôle un identifiant. Elle n'établit pas que le compte représente le titulaire actuel du préfixe, qu'il peut nommer l'AS d'origine, ou que la délégation d'un ancien fournisseur reste active. Le test de qualité doit suivre l'affirmation jusqu'à la ressource.
La RFC 2725 présentait un modèle plus riche. L'authentification identifie qui tente un changement; l'autorisation détermine si cet acteur authentifié peut l'effectuer. La création de route pouvait consulter les mainteneurs associés à l'espace d'adressage et à l'AS d'origine, avec une délégation hiérarchique viamnt-routeset les attributs associés. La conception reconnaissait que l'autorité de route joint deux domaines.
Les mises en œuvre ont fait des choix différents. Le modèle RIPE actuel authentifie le côté espace d'adressage pour la création de route et notifie un contact existant de l'AS d'origine plutôt que d'exiger l'authentification de l'AS d'origine. La documentation d'APNIC décrit des contrôles utilisant des objets de ressources d'adresses et d'AS tout en autorisant également certains cas d'origine externe avec notification. ARIN lie les objets route et aut-num autorisés à la même organisation de maintenance pour son flux validé. Chaque choix a des raisons opérationnelles et un profil d'assurance différent.
La mesure devrait demander: quelle proportion des modifications de route acceptées avait une autorisation actuelle du titulaire d'adresses? Lorsque l'approbation du côté origine n'était pas requise, le contact d'origine a-t-il été notifié et pouvait-il contester? Les enregistrements par procuration étaient-ils explicitement délégués? Le titulaire actuel pouvait-il récupérer un objet d'un mainteneur abandonné? Les anciennes méthodes d'authentification étaient-elles toujours acceptées? Les reprises à haut risque recevaient-elles un examen indépendant?
Les pourcentages bruts ne suffisent pas. Le dénominateur distingue les nouveaux objets, les modifications, les suppressions, les enregistrements migrés et les reprises administratives. Une source peut avoir une authentification forte parfaite pour les nouvelles entrées alors que la plupart des objets interrogés sont antérieurs à ce contrôle. Une autre peut délibérément conserver des objets historiques non modifiés mais marquer leur statut de révision. Les consommateurs ont besoin à la fois de la performance sur les entrées courantes et de la qualité du stock existant.
La meilleure source n'est pas nécessairement celle qui exige le plus de signatures. Des exigences excessives peuvent empêcher des mises à jour légitimes et rendre les données périmées. La qualité consiste à attribuer correctement l'autorité, à rendre la délégation utilisable, à fournir une notification et à permettre la récupération. Une sécurité qui fige l'opérateur d'hier en place n'est pas une maintenance digne de confiance.
L'actualité est une question d'événements, pas un seuil d'âge
L'âge d'un objet est attrayant parce qu'il est facile à calculer. Un objet de route modifié pour la dernière fois il y a dix ans semble suspect. Pourtant, des réseaux stables peuvent annoncer le même préfixe depuis le même ASN pendant des décennies. Exiger des modifications textuelles périodiques créerait du bruit et récompenserait les mises à jour cosmétiques. Un horodatage récent peut masquer une assertion copiée ou confirmée de manière incorrecte.
Une actualité significative demande si l'affirmation a survécu à des événements pertinents. Le titulaire enregistré a-t-il changé? La ressource a-t-elle changé d'organisation ou de région RIR? L'AS d'origine a-t-il changé de statut? Un ROA est-il apparu qui contredit l'objet? Le mainteneur a-t-il perdu tous les contacts joignables? La relation avec le fournisseur a-t-elle pris fin? La source a-t-elle changé sa politique d'admission?
Une source peut surveiller ces déclencheurs sans prétendre connaître chaque arrangement privé. Les événements d'enregistrement au sein d'un RIR sont des déclencheurs forts pour son IRR intégré. Le conflit RPKI est un déclencheur fort pour tout objet de route. Une discordance BGP répétée est un signal de révision, pas un verdict. Les notifications échouées et les identifiants inactifs augmentent le besoin de revalidation. Les événements de résiliation de client peuvent déclencher un nettoyage géré par le fournisseur.
Le bilan d'actualité devrait donc distinguer la dernière modification, la dernière authentification, la dernière corroboration et la dernière revue d'événement. Un objet ancien non modifié peut rester de haute confiance si le titulaire actuel l'a confirmé récemment via un compte solide et qu'aucun événement contradictoire n'existe. Un objet jeune peut être immédiatement dégradé lorsqu'un ROA de couverture valide contredit son origine.
L'évaluation du caractère périmé de RADb démontre la valeur et les limites des signaux composites. Les correspondances BGP directes, les mainteneurs partagés, les liaisons AS observées, le statut RIR, l'âge et d'autres sources peuvent identifier des objets méritant attention. Le badge ne supprime pas lui-même l'objet, laissant de manière appropriée la décision opérationnelle à la politique. L'étape suivante est de fournir un chemin de confirmation ou de retrait responsable.
Les niveaux de service d'actualité devraient être énoncés par classe d'événement. Un conflit de sécurité exige un examen rapide. Un transfert de ressource devrait déclencher une réconciliation avant et après transfert. Une sauvegarde dormante peut avoir une période de confirmation plus longue. Une seule date d'expiration universelle supprimerait soit une politique stable utile, soit tolérerait un changement dangereux trop longtemps.
RPKI est un signal d'autorité plus fort, pas une étiquette de remplacement universelle
Le développement de RPKI a changé la hiérarchie des preuves. Une partie utilisatrice peut valider qu'un ROA a été émis sous une chaîne de certificats couvrant la ressource d'adresse. Pour les affirmations d'origine, cela est plus fort que de simplement savoir quel IRR a accepté un objet texte. L'IRRd moderne peut supprimer les objets de route RPKI-invalides et peut créer des pseudo-objets IRR à partir de ROA validés afin que les outils existants puissent les consommer.
Cela a encouragé des configurations oùRPKIapparaît aux côtés des noms de source RIR. Le manuel debgpq4recommande une liste de sources commençant par RPKI et suivie des cinq IRR des RIR. L'ordre communique une préférence raisonnable pour une autorité d'origine fondée cryptographiquement et des données d'enregistrement intégrées régionalement.
Cependant,source: RPKIdans un pseudo-objet généré n'est pas le même fait institutionnel quesource: RIPEdans un enregistrement RPSL soumis. Le premier est une représentation transformée d'un objet signé validé. Le second est une entrée IRR acceptée et maintenue selon les règles de la base de données. Ils peuvent exprimer des informations préfixe-origine similaires, mais leurs sémantiques de mise à jour, de portée et d'échec diffèrent.
RPKI ne certifie pas non plus toutes les classes d'objets IRR. RPSL inclut des ensembles AS et des politiques plus riches utilisées pour générer des cônes de clients et des filtres. Un ROA autorise une origine et une longueur; il ne déclare pas la relation de transit complète ni ne garantit que la route est actuellement annoncée. Un titulaire légitime peut faire une erreur de configuration. Une route NotFound n'a pas de charge utile validée de couverture et n'est pas de ce fait non autorisée.
La conception la plus solide utilise RPKI comme preuve spécifique à une affirmation. Les objets de route RPKI-invalides font face à une suppression ou à un examen urgent, avec notification et un chemin de correction. L'alignement RPKI-valide élève la confiance. Les objets NotFound restent soumis à l'autorisation IRR, à l'actualité et aux preuves BGP plutôt qu'à un rejet automatique. Les AS-SET reçoivent leurs propres contrôles hiérarchiques et d'adhésion.
Cela évite de remplacer une hiérarchie de marque par une autre. La cryptographie prouve qu'une clé autorisée a fait une déclaration étroite sous une chaîne valide. Elle devrait recevoir un poids élevé pour cette déclaration. Elle ne devrait pas être utilisée pour impliquer que toutes les autres questions de politique ont été résolues.
L'accord BGP est utile et dangereusement séduisant
Lorsque aucun IRR faisant autorité ni ROA ne règle un conflit, les opérateurs comparent souvent les objets de route avec la table de routage de la zone libre par défaut. Une correspondance de préfixe et d'origine semble confirmer la réalité. Les études de mesure utilisent cette comparaison pour classer les objets comme routés, en conflit ou inactifs. La méthode est indispensable pour évaluer la pertinence opérationnelle.
Ce n'est pas une preuve d'autorité. Une route détournée peut correspondre à elle-même. Un réseau peut annoncer via une origine sans mettre à jour un ancien enregistrement contrôlé par le titulaire. Un objet de secours légitime peut n'avoir aucune annonce globale actuelle. Les interconnexions privées, la visibilité régionale, l'agrégation et l'atténuation temporaire peuvent échapper aux collecteurs sélectionnés. BGP décrit la joignabilité observée, pas le consentement.
Des recherches récentes présentées par des chercheurs d'AMS-IX et DE-CIX et résumées sur RIPE Labs ont trouvé des différences directionnelles entre les données IRR faisant autorité au niveau du RIR et celles de tierces parties, en utilisant RPKI, des enregistrements IRR faisant autorité et la visibilité BGP comme indicateurs de qualité. Le travail soutient la mesure de la performance des sources plutôt que de supposer l'égalité. Il fait également des choix de classification: un objet non vu dans la zone libre par défaut peut être périmé, privé, de secours ou autrement en dehors de la mesure.
Les notes de source doivent préserver ces mises en garde. Un registre ne devrait pas améliorer son score en supprimant chaque objet absent des collecteurs. Un opérateur ne devrait pas accepter un objet de route tiers uniquement parce qu'une annonce existe déjà. Les chercheurs devraient publier les points de vue, les dates de collecte, le traitement des préfixes, la préséance des conflits et les exclusions. Les comptages d'une période d'étude ne sont pas des propriétés permanentes d'une marque.
L'accord BGP est mieux utilisé comme un axe. Une autorité forte plus un accord BGP actuel soutient à la fois l'autorisation et l'utilisation. Une autorité forte sans BGP peut soutenir une politique préparée ou de secours. Une autorité faible avec un accord BGP exige une confirmation du titulaire. Un conflit avec une preuve RPKI forte exige un examen urgent quelle que soit la visibilité BGP.
Cette matrice est plus lente à expliquer que « la source X est fiable ». Elle produit de meilleurs filtres parce qu'elle distingue la raison de la confiance et le remède au doute.
La qualité du miroir fait partie de la confiance même si ce n'est pas l'autorité de l'objet
Une source faisant autorité peut maintenir d'excellents enregistrements alors que le consommateur reçoit un vieux miroir. La lignesource:reste inchangée parce que l'origine institutionnelle de l'objet n'a pas changé. Rien dans cette ligne ne révèle si la copie locale est actuelle, si une rupture de journal est survenue ou si le miroir est silencieusement revenu à un instantané plus ancien.
La RFC 7682 documentait les faiblesses de l'ancienne réplication NRTM, y compris l'absence de validation forte et les problèmes de synchronisation. Les logiciels modernes offrent de meilleurs contrôles. IRRd peut conserver des journaux spécifiques à la source, récupérer les informations de série, appliquer des imports complets et des mises à jour NRTM, et exposer le statut. La conception de réplication plus récente de RIPE utilise des sessions spécifiques à la source, des instantanés versionnés et des deltas avec hachages. Ces mécanismes rendent l'actualité et l'intégrité plus observables.
Ils doivent apparaître dans la politique de source. Un opérateur qui dit faire confiance àARINmais interroge un miroir mis à jour pour la dernière fois il y a deux jours ne reçoit pas la preuve actuelle d'ARIN. Un système de filtrage devrait enregistrer la version ou le numéro de série de la source faisant autorité, l'heure de récupération du miroir, le résultat de validation et l'âge à la compilation. Si le miroir est en mauvaise santé, l'opérateur décide s'il conserve la dernière politique connue, interroge un autre point de terminaison ou suspend les modifications.
Les choix de basculement ont des conséquences. Conserver un ancien filtre préserve la continuité mais peut conserver une autorisation révoquée. Reconstruire à partir d'un ensemble de sources incomplet peut supprimer des routes légitimes. S'ouvrir en cas d'échec peut admettre des annonces non enregistrées; se fermer en cas d'échec peut déconnecter des clients. L'action appropriée dépend du type de session, de l'état du dernier connu, des preuves RPKI et du contexte de l'incident.
La disponibilité mérite donc sa propre note de source. Mesurez le succès de la récupération des mises à jour, la distribution des retards, la récupération après rupture de séquence, l'intégrité des instantanés, la transparence du statut et le délai de résolution des incidents. Ne mélangez pas ces résultats avec l'autorisation du titulaire. Un registre peut faire autorité mais être temporairement indisponible; un miroir peut être hautement disponible tout en servant des données faiblement autorisées.
Cette séparation crée la responsabilité. Les opérateurs de registre peuvent améliorer la publication. Les opérateurs de miroir peuvent améliorer le transport. Les fournisseurs de filtres peuvent améliorer la gestion de l'état périmé. Les clients peuvent savoir quelle couche a échoué. L'étiquette de source continue d'identifier la provenance sans être forcée de dissimuler toutes les conditions en aval.
Les droits de correction sont un meilleur signal que le prestige
Les erreurs sont inévitables dans un registre opérationnel public. La confiance dépend moins de revendiquer la perfection que de rendre la correction des erreurs efficace. Un titulaire actuel doit pouvoir découvrir les objets couvrant ses ressources, authentifier sa qualité, soumettre des preuves et recevoir une réponse motivée. Un mainteneur répertorié et un AS d'origine ont besoin d'être informés et d'avoir la possibilité d'expliquer une autorité continue. Les consommateurs ont besoin d'un statut et d'exceptions sûres pendant que le litige est examiné.
Le mécanisme de suppression forcée (force-delete) de RIPE donne aux titulaires actuels un moyen limité de supprimer les objets bloquants dans le cadre de la hiérarchie d'adresses faisant autorité. Sa politique de nettoyage non autorisé utilisait le conflit RPKI, la notification et une période soutenue avant suppression. RADb invite les mainteneurs à examiner les classifications périmées et à fournir BGP ou d'autres preuves à l'appui. Ce sont des remèdes différents façonnés par des positions institutionnelles différentes.
Les questions mesurables sont pratiques. Le chemin de contestation est-il clair? Quelles preuves sont acceptées? Le décideur est-il indépendant du déclarant original? Les notifications sont-elles délivrées via les canaux de ressources actuels ainsi que via les contacts de l'objet? Une suppression urgente peut-elle être examinée rapidement? Les preuves historiques sont-elles préservées? Une suppression erronée peut-elle être annulée sans prétendre qu'elle n'a jamais eu lieu?
Des sources prestigieuses peuvent échouer à ces tests, et des sources moins célèbres peuvent les réussir. Une marque construite sur l'histoire technique n'excuse pas une file d'attente de support qui ne répond pas. Un service client rapide ne devrait pas non plus remplacer une procédure régulière; un registre qui supprime à la demande du réseau le plus bruyant n'est pas digne de confiance.
Les données sur les recours devraient être publiées de manière agrégée avec des populations définies: contestations reçues, classes d'autorité, résultats, délais de décision, actions d'urgence, annulations et cas non résolus. Les preuves commerciales et d'identité sensibles peuvent rester protégées. Des audits indépendants par échantillonnage peuvent tester si les règles publiées ont été suivies.
Un opérateur qui décide de la préférence de source devrait peser lourdement ces preuves. Un objet erroné dans une source avec une correction crédible est un risque limité. Un objet erroné dans une source sans qualité pour agir, sans notification ni appel peut devenir une autorisation opérationnelle permanente. La légitimité institutionnelle se révèle lorsqu'un plaignant dit que l'institution a tort.
Un profil de source mesurable peut remplacer le classement populaire
Un profil utile commence par la portée. Quelles ressources d'adresses et d'AS le registre peut-il authentifier directement? Quels objets sont acceptés pour des ressources hors région? Quelles classes sont autoritaires, en miroir ou dérivées? Quelles sont les méthodes de soumission actuelles et héritées? Sans la portée, une performance élevée sur une population étroite peut être confondue avec une qualité universelle.
La deuxième section couvre l'admission. Elle enregistre l'autorisation du titulaire d'adresse, l'autorisation ou la notification de l'AS d'origine, les contrôles de délégation, les méthodes d'identification, les vérifications de récupération et le traitement des enregistrements par procuration. Les résultats distinguent les objets nouvellement créés, modifiés, migrés et hérités non touchés.
La troisième couvre la qualité continue: dernière confirmation authentifiée, examen déclenché par événement, traitement RPKI-valide, Invalide et NotFound, comparaison BGP, contacts inactifs, réconciliation de transfert et détection de doublons. Elle rapporte chaque signal séparément plutôt que de déclarer chaque discordance fausse.
La quatrième couvre la distribution: heure de publication faisant autorité, disponibilité du miroir, continuité de version, retard, validation d'intégrité et visibilité du statut. La cinquième couvre les recours: découverte, qualité pour agir, notification, suspension, suppression, appel, annulation et historique. La sixième couvre l'utilisation opérationnelle: comment les fournisseurs de filtres sélectionnés incluent la source, quelles règles de conflit ils appliquent et comment les clients reçoivent notification des changements de politique.
Les scores peuvent alors être contextualisés. Un opérateur de transit peut exiger une note élevée d'autorité d'adresse et de recours pour l'entrée client tout en acceptant une couverture BGP modérée. Un chercheur peut valoriser l'historique et une large couverture plus que la suppression. Un serveur de routes peut prioriser l'intégration RPKI et la maintenance actuelle des AS-SET. Une institution peut avoir des notes différentes pour différentes classes d'objets.
Les mesures doivent être reproductibles. Publiez la période, l'ensemble de données, les tests, les exclusions, les dénominateurs et l'évaluateur responsable. Préservez les échantillons échoués et contestés. Faites expirer le résultat. Une source qui change de logiciel ou de politique d'admission reçoit une nouvelle évaluation. Une marque d'accréditation est liée à des preuves plutôt que de devenir un logo intemporel.
Le profil ne supprimera pas le jugement. Il l'améliorera. Les opérateurs pourront expliquer pourquoi ils ont sélectionné une source. Les registres pourront voir quels contrôles ont besoin d'investissement. Les titulaires pourront comparer les services. Les nouveaux entrants pourront gagner la confiance par la performance plutôt que d'attendre des décennies pour une marque.
Les opérateurs doivent à leurs clients une politique de source inspectable
Le filtre d'un réseau de transit est une configuration privée, mais la règle de preuve qui détermine la joignabilité du client ne devrait pas être un secret. Lors de l'intégration, l'opérateur devrait indiquer les sources IRR acceptées, s'il utilise RPKI, les conventions AS-SET requises, la fréquence d'actualisation, la préséance des conflits et la procédure de mise à jour d'urgence. Les clients peuvent alors s'enregistrer au bon endroit et comprendre comment les modifications atteignent la périphérie.
La politique de source devrait être versionnée. Lorsque l'opérateur supprime ou rétrograde une source, il prévisualise l'effet sur les clients actuels et identifie les préfixes qui disparaîtraient ou changeraient d'autorisation d'origine. Les clients affectés reçoivent une notification et un délai pour créer des enregistrements plus solides faisant autorité. Les conflits critiques pour la sécurité peuvent toujours déclencher une action rapide, mais une migration de politique ordinaire ne devrait pas surprendre les personnes dont les routes en dépendent.
Les filtres générés ont besoin de provenance. Pour chaque déploiement, conservez la version de l'outil, le point de terminaison de la requête, les sources sélectionnées, les versions des sources, les paramètres de suppression, les racines AS-SET, le hachage de sortie, le delta examiné et les cibles du routeur. Ces preuves permettent à un centre d'opérations réseau de répondre pourquoi un préfixe a été accepté hier et rejeté aujourd'hui.
Les exceptions exigent la même discipline. Un client avec un espace hérité légitime peut ne pas pouvoir satisfaire immédiatement la règle de source par défaut. Une autorisation manuelle de préfixe peut préserver le service pendant que l'enregistrement est réparé. L'exception enregistre la preuve d'autorité, l'approbateur, la portée et l'expiration. Elle ne devient pas une dérogation permanente invisible.
Les opérateurs devraient tester les états vides et dégradés. Si la source RIR préférée est injoignable, le système utilise-t-il le dernier filtre connu, élargit-il à toutes les sources ou supprime-t-il les préfixes clients? Si les données RPKI sont périmées, comment les résultats Invalides sont-ils traités? Si l'expansion d'un AS-SET augmente soudainement, le déploiement est-il suspendu? La confiance dans la source inclut le comportement autour de la défaillance, pas seulement les résultats des requêtes normales.
Cette transparence n'exige pas de publier la topologie client ou les identifiants du routeur. Elle exige de publier la règle par laquelle la preuve institutionnelle devient une autorisation. Un client qui paie pour le transit a un intérêt légitime dans cette règle et un recours lorsqu'elle est appliquée incorrectement.
Les classements peuvent être truqués si le dénominateur n'est pas visible
Une fois que la qualité de la source affecte la réputation et l'approvisionnement, les institutions optimiseront pour la métrique. Cela peut être bénéfique si la métrique suit l'autorité réelle et la correction. Cela peut aussi produire une amélioration cosmétique. Un registre peut exclure les objets hérités difficiles de sa population déclarée, actualiser les horodatages en masse, supprimer les conflits plutôt que de les résoudre ou compter les notifications sans réponse comme des examens terminés.
Chaque indicateur a donc besoin d'un dénominateur et d'une disposition. Les taux de conflit RPKI précisent s'ils couvrent tous les objets de route, uniquement les objets routés ou uniquement les préfixes avec des ROA de couverture. Les taux d'actualité distinguent la confirmation significative du titulaire de la modification automatisée. La performance de contestation inclut les cas retirés, maintenus, rejetés, annulés et encore ouverts. La disponibilité du miroir distingue la publication faisant autorité de la récupération par un tiers.
Le mix de cas doit être visible. Les IRR des RIR peuvent authentifier leurs propres ressources régionales plus directement qu'un registre indépendant mondial. Une source indépendante peut porter plus d'enregistrements hérités, multirégionaux et par procuration précisément parce qu'elle comble des lacunes. Comparer leurs taux de conflit bruts sans la portée récompenserait l'étroitesse. Le profil devrait évaluer si chaque source applique des contrôles appropriés aux affirmations qu'elle choisit d'héberger.
La suppression ne doit pas effacer la population d'audit. Si IRRd masque les objets RPKI-invalides ou de moindre préférence dans les requêtes ordinaires, le rapport de qualité devrait toujours les compter et montrer pourquoi ils ont été supprimés. Sinon, une source peut paraître propre parce que les problèmes sont invisibles. Les copies historiques devraient être séparées des vues de politique active mais rester disponibles pour l'examen autorisé et la recherche.
L'échantillonnage indépendant peut décourager le jeu. Les évaluateurs sélectionnent des objets en fonction de l'âge, de la classe d'autorité et du résultat, rejouent les preuves d'admission et de contestation, et comparent les états faisant autorité et en miroir. Les registres peuvent protéger les identifiants et les données personnelles tout en prouvant que les vérifications ont eu lieu. Les cas contestés devraient être publiés dans des catégories de raisons anonymisées.
L'objectif n'est pas un gagnant permanent. C'est l'amélioration continue et une sélection honnête des sources. Un classement qui ne peut pas baisser devient une autorité de marque par une autre voie. Une mesure qui expose ses limites peut soutenir la confiance sans prétendre abolir l'incertitude.
La légitimité institutionnelle vient d'un pouvoir contraint sur la visibilité
La préférence de source contrôle la visibilité. Un registre décide ce qu'il accepte et supprime. Un miroir décide quelles sources il transporte. Un opérateur de filtre décide quelles étiquettes il fait confiance. IRRd peut supprimer les objets chevauchants de moindre préférence. Ensemble, ces choix peuvent rendre la déclaration d'un réseau opérationnellement lisible ou pratiquement absente.
Un tel pouvoir a besoin de contraintes même lorsqu'il est exercé par des organisations techniques privées. Les règles sont publiées à l'avance. Les décisions utilisent des preuves pertinentes. Les cas similaires reçoivent un traitement similaire. Les titulaires et mainteneurs concernés reçoivent une notification. L'action d'urgence est étroite et examinée. Les raisons peuvent être inspectées. Les erreurs peuvent être corrigées. Les métriques révèlent les exceptions.
La marque institutionnelle peut soutenir la légitimité seulement comme un résumé de ce comportement. Le rôle d'un RIR dans l'enregistrement des numéros lui donne une position probante spéciale, mais pas une exemption de correction équitable. Le service étendu d'un registre commercial peut créer une couverture précieuse, mais le paiement du client n'établit pas l'autorité sur les ressources par lui-même. Une implémentation en logiciel libre peut rendre la politique transparente, mais l'administrateur local choisit toujours la configuration.
L'attribut source devrait rester une provenance stable. Le réécrire simplement pour conférer du prestige peut induire en erreur les consommateurs sur l'endroit et les règles selon lesquelles un objet a été enregistré. La création deRIPE-NONAUTHpar RIPE était défendable parce qu'elle distinguait explicitement une collection pour laquelle l'autorité régionale ordinaire ne s'appliquait pas. Tout ré-étiquetage similaire devrait préserver l'historique et notifier les mainteneurs.
Les consommateurs devraient pouvoir voir à la fois l'origine et le traitement: source originale, statut faisant autorité ou en miroir, états de validation, préférence locale, raison de la suppression et heure d'observation. Cela garde l'acte de la base de données séparé du jugement de l'opérateur de filtre. Cela rend également le désaccord possible sans corrompre l'objet.
La légitimité n'est pas atteinte lorsque tout le monde utilise le même classement. Elle est atteinte lorsque différents opérateurs peuvent faire des choix fondés sur des preuves, les expliquer aux réseaux concernés et les réviser lorsque la performance change.
La Société des ressources numériques peut tester la confiance sans frapper un autre insigne de foi
La NRS présente l'enregistrement précis des numéros, les droits des opérateurs et la responsabilité institutionnelle comme des préoccupations centrales. Ces objectifs correspondent à un programme de qualité des sources si le programme reste technique, limité et pluraliste. La NRS pourrait définir un profil ouvert pour les autorités IRR, les miroirs et les fournisseurs de filtres et commander des tests de conformité reproductibles.
Pour les registres, les tests examineraient l'autorisation du titulaire des ressources, la notification d'origine, la maintenance déléguée, le marquage des objets hérités, l'examen déclenché par événement, la qualité pour contester, la suppression réversible, les preuves de suppression et le statut de publication. Pour les miroirs, ils examineraient la fidélité à la source, la continuité de version, le retard et le rapport d'incident. Pour les fournisseurs de filtres, ils examineraient la sélection explicite des sources, la gestion des conflits, la génération reproductible, la notification au client et l'expiration des exceptions.
Les résultats devraient être des enregistrements de preuves, pas des approbations de chaque objet. Un registre peut réussir un test d'admission alors qu'un titulaire fait une erreur. Un miroir peut réussir des tests d'intégrité alors que sa source contient une politique périmée. Un fournisseur peut mettre en œuvre correctement sa règle de source déclarée alors que la règle reste ouverte à la contestation. La portée et les limites accompagnent le résultat.
L'accréditation doit expirer. La version du logiciel, la version de la politique, la période et l'échantillon testés sont visibles. Les changements matériels déclenchent une réévaluation. Les plaintes peuvent ouvrir un examen ciblé. Les membres de la NRS et les non-membres reçoivent les mêmes critères techniques. Aucune source ne reçoit un rang permanent plus élevé parce qu'elle a aidé à concevoir le test.
La NRS ne devrait pas devenir le registre IRR universel, choisir le filtre de chaque opérateur ou revendiquer une autorité légale sur les ressources numériques. Ses propres déclarations publiques sont des preuves de plaidoyer, pas la preuve qu'un système de qualité des sources fonctionne déjà. Un rôle constructif est de rendre les affirmations institutionnelles comparables et d'aider les titulaires à exercer leurs droits de correction à travers des services fragmentés.
C'est une forme positive de décentralisation. Les RIR conservent leurs responsabilités d'enregistrement des ressources. Les registres indépendants conservent leurs modèles de service. Les opérateurs conservent la politique de routage. Un profil de preuve commun permet à la confiance de se déplacer lorsque la performance se déplace, plutôt que de rester attachée aux noms qui dominaient les fichiers de configuration à une époque antérieure.
Le champ source devrait revenir à la provenance et la confiance devrait montrer son travail
L'attribut source a bien fait son travail d'origine. Dans un registre distribué et mis en miroir, il indique au lecteur où un objet a été enregistré. Les problèmes commencent lorsque ce petit élément de provenance est traité comme un certificat complet d'autorité, d'actualité et d'adéquation opérationnelle.
Les opérateurs continueront à préférer certaines sources. C'est normal. Une source intégrée à l'enregistrement actuel des numéros et avec une authentification forte du titulaire mérite normalement plus de poids pour l'autorité de préfixe qu'une déclaration tierce non authentifiée. Une source avec une publication et une correction fiables mérite plus de confiance opérationnelle qu'une autre avec des retards opaques. Ce sont des distinctions fondées sur des preuves, pas un argument selon lequel toutes les bases de données sont égales.
La distinction doit rester conditionnelle. La confiance est attachée à une affirmation, à une cohorte d'objets, à une politique actuelle et à un service mesuré. Elle peut monter lorsque l'authentification s'améliore et que les anciens objets sont examinés. Elle peut baisser lorsque les miroirs sont en retard, que les contestations restent sans réponse ou que la portée institutionnelle ne correspond plus à la ressource. Elle peut différer pour les objets de route et les ensembles AS. Elle peut être annulée par des preuves plus fortes au niveau de l'objet.
Un enregistrement de filtre mature devrait pouvoir dire: ce préfixe est entré parce qu'une assertion contrôlée par le titulaire actuel dans une source nommée a passé des vérifications déclarées à une version déclarée; cet objet en conflit a été exclu pour une raison documentée; ce miroir était à jour; ce client a été notifié; cette exception expire. Cette explication est plus longue qu'un nom de source et bien plus utile après une panne ou un litige.
Depuis 1995, les registres de routage ont converti la confiance sociale entre opérateurs de réseau en déclarations structurées. L'étiquette de source a préservé l'emplacement institutionnel de ces déclarations. Trois décennies d'automatisation ont transformé l'emplacement en rang. La prochaine étape n'est pas d'abandonner la réputation, mais de la discipliner.
Les noms de source devraient identifier d'où viennent les affirmations. Les notes de confiance devraient identifier pourquoi les affirmations méritent de s'y fier maintenant. Lorsque les deux sont séparés, les marques peuvent encore gagner la confiance, les petites institutions peuvent prouver leur qualité, les enregistrements hérités peuvent être traités selon leurs preuves réelles, et les opérateurs peuvent défendre les politiques qu'ils déploient. L'autorité devient alors une performance mesurable plutôt qu'un lettrage hérité au bas d'un objet.
Sources
- RFC 1786: Représentation des politiques de routage IP dans un registre de routage
- RFC 2622: Langage de spécification des politiques de routage (RPSL)
- RFC 2650: Utiliser RPSL en pratique
- RFC 2725: Sécurité du système de politique de routage
- RFC 2901: Guide des procédures administratives de l'infrastructure Internet
- RFC 7682: Considérations pour les registres de routage Internet et la configuration des politiques de routage
- Base de données RIPE: Autorisation
- Base de données RIPE: Protection de l'espace des objets de route
- RIPE NCC: Modifications concernant les objets hors région dans la base de données RIPE
- RIPE-731: Nettoyage des objets de route non autorisés dans la base de données IRR du RIPE NCC
- RADb: Interroger RADb via WHOIS
- RADb: Objets périmés
- ARIN: Registre de routage Internet
- ARIN: Autorisations d'origine de route et gestionnaire automatique IRR
- APNIC: Objets de routage
- APNIC: des objets de route depuis un autre IRR
- IRRd: Configuration
- IRRd: Préférence d'objet de route
- IRRd: Présentation de la suppression d'objets
- Base de données RIPE: Mise en miroir quasi temps réel v4
- Manuel de bgpq4
- RIPE Labs: Le paysage IRR - Qualité des données, le bon, le mauvais et le périmé
- Société des ressources numériques: À propos
- Charte de la Société des ressources numériques

