まとめ
- NRS のこの件における役割は、アドボカシー、研究、キャンペーン、会合の開催、権限を与えられた会員代表である。運用行為は、権威ある RIR またはレジストリサービス運営者、独立証人、裁判所に属する。NRS の立場を引用しても、NRS がそれらを実行する証拠とはならず、BTW による推奨を意味するものでもない。
- レジストリ運営者は、管理する番号資源状態が秩序立てて完全かつ内部的に一貫した方法で変更されたことを証明する証拠を公開すべきであるが、変更を承認するために使用された顧客ファイルを公開すべきではない。契約、身元記録、プライベート連絡先、支払条件、保護された紛争は、目的に基づくアクセス制御の対象となる。
- 承認された各状態は、正準リソース記録と追加専用の変更ログに対する署名済みチェックポイントで表現できる。ホルダは、その変更がチェックポイントに含まれていることを示す包含領収書を受け取り、観察者はその後のチェックポイントが過去の履歴を黙って置き換えるものではなく、拡張していることを検証できる。
- 予測可能な顧客記録の単なるハッシュはプライベートではない。攻撃者は名前、リソース範囲、一般的な契約条件を推測し、ハッシュを比較できる。コミットメントにはドメイン分離、予測不可能なレコードごとの保護、慎重な公開メタデータ、および一括推測を可能にすることなく選択的検証を可能にする鍵ガバナンスが必要である。
- 公開証明にはいくつかのレベルがある。誰でもチェックポイントの署名、シーケンス、一貫性を検証できる。ホルダは包含と自身のレコードのコミットされた内容を検証できる。監査人は保護された全体の状態を調整できる。裁判所やレビュアーは、紛争に関連する証拠のみを調査し、それがコミットされたバージョンに存在したことを確認できる。
- 独立証人は不可欠である。レジストリが裁判所用と会員用に別々の履歴に署名した場合、暗号だけでは分割を明らかにできない。証人、ミラー、ホルダ領収書は、複数の構成員間でチェックポイントを比較し、二枚舌が検出可能かつ帰属可能になるようにする。
- 修正は削除ではなく追加で行わなければならない。公開ログは、記録が置き換えられた、制限された、訂正された、または取り消されたことを示すべきであり、その理由や以前の機密値を公開してはならない。保護された証拠が決定を説明し、影響を受けるホルダは通知、レビュー、救済の権利を保持する。
- 目的は、匿名管理ではなく、説明責任のある機密性である。公開コミットメントは単一の一貫した状態の管理を証明し、保護された記録は個別の決定の権限を証明し、RDAP は公開登録サービスに正当化されるフィールドを開示し続け、これらの層は互いに代替しない。
役割の境界は証拠の一部
NRS 自身の表明がこの分析の最初の境界を提供する。NRS は、分散化、出口、移植性、冗長性、裁量的なチョークポイントの削減を求める会員制アドボカシー組織である。Lu Heng による NRS の存在理由に関するメモは、NRS は製品を販売したり商業ソリューションを実装したりしないと直接述べており、その役割はガバナンスの方向性を変えることである。したがって、NRS は研究を公開し、キャンペーンを組織し、影響を受ける事業者と会合を持ち、会員を支援し、権限を与えた組織を代表することができる。その代表を、他者に対するレジストリ権限に転換することはできない。
実装層は別である。権威ある RIR またはレジストリサービス運営者、独立証人、裁判所は、権威あるレジストリ記録、割り当て、移転認識、RPKI または RDAP の運用、技術的フェイルオーバー、拘束力のあるレビュー、破産手続き、法的に強制された救済措置について責任を負う。NRO は 5 つの RIR を調整するが、NRS の別名ではない。IANA 番号サービスは定義された調整役割を果たすが、NRS の部門ではない。裁判所や合法的な公的機関は、その法制度が実際に与える権限を保持する。
BTW の役割もまた別である。BTW は観察可能な構造を報告し、一次情報源を確認し、提案を提案としてラベル付けする。NRS のアドボカシーを事実に変換したり、NRS に代わってキャンペーンを行ったり、整合性から権限を推測したりしない。この現実‐アドボカシーではないという規律が、本記事の機関名詞を重要にしている。NRS からの勧告、RIR による行為、裁判所の命令は、3 つの異なるものである。
公衆は管理の証明を必要としており、無制限の開示を必要としているわけではない
番号レジストリは、記録を変更する際に少なくとも 2 つの行為を行う。保護された証拠に基づいて変更が承認されていると判断する。また、ホルダ、サービスプロバイダ、研究者、公開登録サービスが依存する共有台帳を変更する。最初の行為には機密資料が必要となる場合がある。2 番目の行為には、黙示的または一貫性のない改訂がシステム全体の信頼に影響を与える可能性があるため、公的説明責任の側面がある。
現在の透明性の議論は、しばしばこの 2 つを混同している。完全な顧客ファイルを公開すれば、部外者は移転、合併、連絡先修正の根拠を調査できるが、限られた目的で収集された情報も明らかになる。すべてを非公開にすることで機密性は保護されるが、運営者に事後的に自らの行為を説明する独占的な権限を与えることになる。
公開変更証明はこれらの行為を分離する。すべての観察者に、名前の付いた会社がすべての契約条件を満たした理由を伝えるわけではない。定義された状態が定義された時点で存在していたこと、その後の承認された変更が順序付けられた履歴に含まれていたこと、現在の状態が以前に公開されたコミットメントを拡張していることを示す。影響を受けるホルダはさらに検証できる。合法的なアクセス権を持つレビュアーは証拠を検証できる。
この分離は、重要な機関では一般的である。裁判所は命令を公開するが、保護された展示物は封印する。監査人はすべての請求書を公開せずに意見を表明する。土地登記所は、法的状態と選択された公開詳細を公開する一方で、管理されたアクセス下で証書を保持する。類似は機能的であり、正確ではない。それぞれの場合において、説明責任は、配布が制限された証拠にリンクされた公の主張に依存する。
したがって、設計の疑問はプライバシーか透明性かの選択ではない。それは、各聴衆がどの主張を検証できなければならず、その主張に必要な最小限の情報は何か、ということである。
4 つの聴衆は 4 つの異なるビューを必要とする
一般の観察者は、レジストリ運営者が単一の一貫した追加専用履歴を維持しているという保証を必要とする。その観察者は、署名、チェックポイントのシーケンス、ログの一貫性、公開のタイミング、証人のサポートを検証する必要がある。顧客の身分証明書や商業条件は必要ない。
リソースホルダはより強力な証明を必要とする。ホルダは、自身の状態の正確なコミットされた表現、それを変更したイベント、包含パス、承認されたチェックポイント、運営者の署名、およびホルダに関連する制限や保留ステータスを受け取るべきである。公開コミットメントが承認された変更を省略または誤って表現している場合、それを検出できなければならない。
独立監査人は、調整のために完全な保護ビューを必要とする。監査人は、すべてのアクティブなリソースが互換性のある状態に 1 回出現し、すべてのイベントが権限証拠にリンクされ、公開 RDAP が認識された状態から導出され、承認された変更が省略されておらず、公開コミットメントが保護されたデータベースと一致していることを検証する。監査結果は、基礎となるファイルが公開されていなくても公開可能である。
裁判所、オンブズマン、またはレビューパネルは、選択的な証拠ビューを必要とする。1 つの紛争変更について、契約、身元証拠、通信、決定記録を調査し、関連するコミットメントを再計算し、資料が当時表現されたバージョンの一部であったことを検証できる。無関係な顧客ファイルを受け取る必要はない。
これらのビューは補完的である。公開検証は一貫性のない履歴を検出する。ホルダ検証は個別の記録の誤った記述を検出する。監査は体系的な省略または無効な構造を検出する。レビューは特定の決定が合法的であり裏付けられていたかを判断する。1 つの公開ハッシュが 4 つすべてを置き換えると主張するのはカテゴリエラーである。
基盤は正準な状態表現
暗号コミットメントは、コミットされた内容が 1 つの安定した表現を持つ場合にのみ意味を持つ。同等の記録をさまざまな方法でシリアル化できる場合、関係者は同じ見かけの事実から異なるダイジェストを計算する可能性がある。さらに悪いことに、運営者は省略されたフィールド、順序、正規化に関する曖昧さを悪用する可能性がある。
レジストリ運営者は、正準リソース状態オブジェクトを定義すべきである。これには、正確な IPv4、IPv6、自律システム番号範囲、認識されたホルダ参照、プロバイダ関係、ステータス、有効時間、適用される制限、公開サービス投影、以前の状態参照、証拠セットコミットメント、バージョンを作成したイベントの識別子が含まれる。オプションフィールドは黙示的な欠落ではなく、明示的な表現が必要である。
正規化は、文字エンコーディング、フィールド順序、数値と時刻の形式、null 値の扱い、配列の順序、リソース範囲の正規化を定義すべきである。保護されたホルダ ID は公開名ではなく、不透明な安定した参照で表現できる。公開 RDAP フィールドは個別にコミットされるため、観察者は提供された表現が承認された状態に対応していることを検証できる。
バージョン管理は不可欠である。正規定義が変更された場合、コミットメントは適用されるバージョンを明記しなければならない。古いチェックポイントは古い定義の下で検証可能のままである。移行は明確に識別された変換イベントを追加し、古いツリーと新しいツリーの間の調整を公開し、履歴が常に最新の形式を使用していたかのように装ってはならない。
正準オブジェクトは顧客ファイルではない。認識された状態と保護された証拠への参照の正確な記述である。その経済性はプライバシー制御であり、その決定性は説明責任制御である。
署名済みチェックポイントは全体の状態をコミットする
定期的な間隔で、または重大な変更の後、レジストリ運営者は署名済みチェックポイントを公開できる。チェックポイントは、コミットメント形式、状態ツリーのルート、変更ログのルート、ツリーサイズ、以前のチェックポイント、時刻、署名鍵、適用されるポリシーバージョン、宣言された例外を識別する。署名により、発行機関が主張に対して責任を負う。
マークルツリーは、1 つのルート値で多くのリーフをコミットできる。各リーフは、正準状態レコードまたはイベントを表す。包含証明により、ホルダは他のすべてのリーフをダウンロードせずに、自分のリーフが公開されたルートに貢献していることを検証できる。一貫性証明により、観察者は後続の追加専用ログが完全な以前のログを書き換えずにプレフィックスとして含んでいることを検証できる。
状態とイベントのコミットメントは異なる目的を果たす。状態ツリーは「レジストリ運営者はこのチェックポイントで何を認識したか」に答える。追加専用イベントログは「機関はどのように以前の状態からこの状態に移行したか」に答える。両方を維持することで、効率的な現在の証明と永続的な履歴が可能になる。状態ルートだけでは、以前の記録が消去されたかどうかを明らかにすることなく変更される可能性がある。イベントログだけでは、現在の真実を照会するのにコストがかかる。
チェックポイントは、広範なミラーリングに十分コンパクトであるべきである。会員、プロバイダ、研究者、公益監視機関は署名済みチェックポイントを保持し、比較できる。長期の可用性は重要である。古い領収書は、対応するチェックポイントと検証定義が取得可能である場合にのみ価値があるからである。
署名は帰属を生み出すが、真実を生み出さない。腐敗した機関は偽のルートに署名できる。独立した調整、ホルダ領収書、証人の比較が、偽りを検出可能にするものである。
追加専用は、誤った状態が現在のままであることを意味しない
批評家は、追加専用記録が修正、プライバシー、または裁判所命令と矛盾すると異議を唱えることがある。この異議は、履歴と現在の有効性を混同している。追加専用ログは、以前のコミットされた状態が存在したという事実を保持する。後のイベントは、それを現在の使用に対して置き換えられた、制限された、訂正された、または無効であるとマークできる。
現在の状態ツリーには、チェックポイントで認識されたバージョンのみが、それを理解するために必要なステータスとともに含まれる。イベントログは遷移を保持する。公開イベントリーフは、変更された機密値を公開する必要はない。変更クラス、有効時間、以前のコミットメント、新しいコミットメント、承認クラス、ステータスを識別できる。保護された記録が詳細を保持する。
個人情報を今後使用したり公開表示したりしてはならない場合、公開コミットメントにはそもそもその情報を含めてはならない。ランダムに見えるコミットメントは、公衆が内容を復元することを許可せずに、バージョンが存在したという証拠として残ることができる。保護されたレプリカは保持および削除法の対象であり、コミットメントはすべてのソース文書を永久に保存するライセンスではない。
エラーには明示的な修正セマンティクスが必要である。修正イベントは、影響を受けるコミットメント、修正の権限、効果的な処理、エラーに依存する以前の決定にレビューが必要かどうかを識別すべきである。黙示的な上書きは説明責任を破壊する。誤った個人価値の恒久的な公開露出も同様に受け入れられない。コミットメントと制御された証拠により、機関は両方の極端を回避できる。
したがって、追加専用履歴は機関の記憶に対する規律である。運営者が不便なバージョンは決して存在しなかったと主張することを防ぎつつ、現在の公開サービスが合法的に訂正された状態のみを提示できるようにする。
予測可能なデータの単純なダイジェストは機密ではない
「顧客レコードをハッシュする」と提案し、プライバシーの失敗を見落とすのは簡単である。多くのフィールドは推測可能である。攻撃者はリソース範囲、可能性のあるホルダ名、国、変更日を知っている可能性がある。一致するまで候補ダイジェストを計算できる。ステータスや契約タイプなどの小さなフィールドは特に脆弱である。ハッシュは文書を指紋に縮小する。必ずしも予測可能な内容を隠すわけではない。
コミットメント構築には、予測不可能な記録ごとの素材とドメイン分離を含めるべきである。ドメイン分離により、状態リーフに使用されるダイジェストがイベント、証拠ファイル、または別のシステムに使用されるものと混同されないようにする。予測不可能な保護により、部外者が公開値に対して推測をテストすることを防ぐ。保護された開口情報は、ホルダまたは承認されたレビュアーのみに与えられる。
1 つのオプションは、保護されたレコードに保持される十分に強力なランダム値によるソルテッドコミットメントである。より高度な設計では、鍵付きコミットメントまたは正式に指定されたコミットメントスキームを使用できる。選択は独立した暗号レビューを受けるべきである。単純に見えるからといってカスタムアルゴリズムを発明することは、回避可能なリスクである。
機関は開口値も保護しなければならない。すべてのソルトが公開領収書に保存されるか、予測可能なレコード番号から導出される場合、推測保護は消える。1 つのユニバーサルシークレットがすべてのレコードを保護する場合、妥協により一括テストが可能になる。レコードごとまたは区画化された保護により、結果が制限される。
プライバシーレビューでは、リーフコンテンツが隠されている場合でも、公開構造が何を明らかにするかを考慮すべきである。ツリーの成長、イベントのタイミング、変更クラスは、商業活動を開示する可能性がある。リーフでの暗号的不透明性はメタデータを消去しない。
メタデータの最小化はコンテンツ保護と同じくらい重要
公開ログは、名前を公開せずに機密パターンを明らかにする可能性がある。移転イベントのバーストは企業取引を示す可能性がある。正確なリソース範囲に関連付けられた制限イベントは訴訟を明らかにする可能性がある。頻繁なホルダ認証変更はインシデントを示す可能性がある。小規模プロバイダの活動は、その参照が不透明であってもタイミングから推測される可能性がある。
レジストリ運営者は、最小限の公開イベント語彙を定義すべきである。観察者はシーケンスと機関の行動を検証するのに十分な情報を必要とするが、すべての運用カテゴリを必要とするわけではない。一部のイベントは、管理訂正、ホルダ承認変更、法的制限、サービス更新などの広いクラスにグループ化できる。正確な保護された理由は証拠記録に残る。
公開頻度はタイミングリークを減らすことができる。定常的な低リスクイベントはリアルタイムで表示されるのではなく、固定間隔のチェックポイントに入る可能性がある。重大な変更は安全性のために迅速な領収書を必要とする可能性があるが、公開ログは不必要なローカルタイムスタンプを明らかにすることを回避できる。バッチ処理ポリシーは公開されるべきであり、遅延が物議を醸すイベントを隠すために選択的に使用できないようにする。
不透明な参照は、コンテキスト間の相関に抵抗すべきである。公開 RDAP で使用されるホルダ参照は適切に表示される可能性があるが、証拠セット参照は別にする必要がある。顧客アカウント番号、電子メール派生識別子、契約参照を再利用すると、コンテンツが暗号化されていてもリンケージが作成される。
集約透明性は、イベントレベルの開示よりも優れている場合がある。レジストリ運営者は、広範なクラス、遅延範囲、監査結果を暗号的一貫性とともに公開できる。正しい設計は、観察者が検出しなければならない不正行為を問い、その検出に必要なメタデータのみをリリースする。
ホルダ領収書は公開ルートを個別の権利に変える
承認された変更の後、ホルダは署名済み領収書を受け取るべきである。領収書は、ホルダの状態の正準バージョン、イベントコミットメント、有効ステータス、期待されるチェックポイント期限、検証手順を識別する。イベントがログに記録されると、レジストリ運営者は包含証明と署名済みチェックポイントを提供する。
領収書は、後のデータベース出力とは独立した証拠をホルダに与える。レジストリがイベントを省略したり、異なる状態を提示したり、後で受け入れを拒否したりした場合、ホルダは署名済み約束を示し、公開履歴と比較できる。領収書は別の資格のあるプロバイダに移植可能であり、レビュアーが理解できるべきである。
領収書は提出と受け入れを区別すべきである。書類が受領されたことを確認することは、リソース移転が有効になったことの証明ではない。ステータスフィールドは、保留中、承認済み、制限中、拒否済み、訂正済み、置き換え済みの状態を識別しなければならない。曖昧さは紛争を暗号形式で再現することになる。
ホルダは領収書に添付された公開資料を保護しなければならない。レジストリ運営者は、レジストリに領収書を一方的に書き換える能力を与えない安全な復元オプションを提供すべきである。ホルダは、弁護士、監査人、または受入プロバイダに、コミットされた内容を公に開示せずに検証する権限を与えることができる。
また、包含欠落に対する救済策があるべきである。約束されたチェックポイントがイベントなしで経過した場合、ホルダは署名済み領収書を独立監視機関に提出できる。監視機関は署名を検証し、ログを確認し、訂正を要求する。執行可能な包含義務のない領収書は単なる私的確認である。
一貫性証明は共通履歴の黙示的な書き換えを防ぐ
追加専用ログは、観察者がチェックポイント B がチェックポイント A を拡張していることを検証できるようにすべきである。マークル一貫性証明は、以前のツリーサイズでコミットされたリーフが後のリーフの同じプレフィックスであることを確立できる。観察者は、履歴の置き換えを検出するために保護されたリーフコンテンツを見る必要はない。
この特性はロールバックを制約する。運営者が以前の移転が政治的に不便であることを発見し、それが決して起こらなかった新しい履歴を作成したとする。古いチェックポイントを保持するホルダと証人は一貫性証明を要求できる。存在しない場合、機関はリビジョンを継続として提示するのではなく、フォークを説明しなければならない。
一貫性は現実との完全性を証明しない。運営者は、コミットする前にイベントを省略する可能性がある。ホルダ領収書、決済管理、プロバイダ報告、監査がそのリスクに対処する。また、一貫性は承認を証明しない。保護された証拠とレビューがその質問に対処する。各証明は限定的な主張を持つ。
チェックポイント頻度は検出に影響する。長い間隔は、承認された変更がコミットされないままになるより大きなウィンドウを作成する。非常に頻繁なチェックポイントは運用上およびメタデータ上の負担を増加させる。レジストリ運営者は、承認されたイベントの最大マージ遅延と、重大な変更に対する別の目標を公開すべきである。
監視機関は自動的にチェックポイントを保持し、すべての拡張を検証すべきである。障害は公開されるべきであり、公開遅延、不正な証明、署名停止、確認された不一致を区別する。証明を生成できるがそれをチェックする構成員がいないシステムは、主に理論上説明責任がある。
証人は分割ビューに対する防御である
レジストリは、個別に一貫した 2 つのログを維持できる。1 つは裁判所に示され、もう 1 つは会員に示される。各ビューは有効な署名と有効な内部一貫性を持つ可能性がある。この二枚舌は、観察者が何を示されたかを比較するときにのみ打ち負かされる。
レジストリ運営者は、独立証人を招待して、最後に受け入れられたビューとの一貫性を検証した後、チェックポイントに共同署名または承認することを推奨すべきである。証人には、会員選出の監視機関、資格のあるプロバイダ、独立監査人、公益技術団体、アーカイブミラーが含まれる可能性がある。制度的多様性は、1 つの構成員によって制御される多数よりも重要である。
ポリシーは、通常の最終性に期待される証人閾値を定義すべきである。チェックポイントはレジストリの署名の下ですぐに公開され、その後固定期間内に独立した確認を得る。重大な変更は、不可逆的になる前に強力な閾値を必要とする場合があるが、緊急の保護的制限はより狭い一時的なルールの下で発効できる。
証人はすべての変更が合法であることを証明しない。彼らは、チェックポイントを観察し、その拡張を検証し、定義された観察内で競合するビューを見なかったことを証明する。彼らの声明は正確であるべきであり、公的信頼が彼らの証拠を超えないようにする。
ホルダとミラー間のゴシップは回復力を追加する。領収書は受け入れ時に見られたチェックポイントを運ぶことができる。プロバイダは最近のルートを比較できる。アーカイブは観察されたシーケンスを公開できる。二枚舌を企てる者は、1 人のウェブサイト訪問者を欺くのではなく、構成員全体を隔離しなければならない。
証人の障害もガバナンスを必要とする。定足数は一時的に利用できない参加者を許容すべきであり、永続的な拒否または対立は交代と公の説明を引き起こす。単一の証人が真実の公開に対する永続的な拒否権を持つべきではない。
公開ミラーは歴史的説明責任を持続可能にする
署名済みログがそれを制約する機関からのみ利用可能である場合、消失に対して脆弱である。レジストリ運営者は、チェックポイント、一貫性資料、公開イベントエンベロープ、検証定義を独立ミラーに配布すべきである。データはコンパクトで、公開文書化され、特権アカウントなしで取得可能であるべきである。
ミラーは可用性を提供するが、そのより深い役割は記憶である。レジストリが後でチェックポイントを削除した場合、古いコピーと証人の承認は、それが発行されたという事実を保存する。裁判所、監査人、ホルダは、機関が特定の時点で公にコミットしたものを再構築できる。
アーカイブガバナンスは偶発的な開示を避けるべきである。ミラーは公開エンベロープとコミットメントのみを受け取り、保護された開口部や顧客ファイルは決して受け取らない。公開形式は、配布前にメタデータリークについてレビューされるべきである。訂正は現在のステータスを変更する可能性があるが、ミラーに機関のコミットメントの証拠を消去することを要求すべきではない。
長期検証はアルゴリズムと鍵の履歴を必要とする。アーカイブは署名証明書または公開鍵、失効および継承ステートメント、正規化バージョン、移行ルールを保存すべきである。暗号アルゴリズムが廃止された場合、レジストリ運営者は、元の署名が変更されたふりをせずに、新しい署名の下で古いアーカイブをコミットすることにより、証拠を定期的に更新できる。
ミラーは、最後に観察されたチェックポイントと検証失敗を公開すべきである。ホスティング、管轄、ガバナンスの多様性は、協調的な損失を減らす。目標は、登録データの制御不能なコピーではなく、コンパクトな制度的約束の耐久性のある公開保管である。
署名鍵は公開継承と緊急制限を必要とする
チェックポイント署名は、レジストリ運営者を発行者として識別する。鍵の妥協は、継承と失効が準備されていない限り、説得力のある偽の履歴を作成する可能性がある。署名鍵は、ハードウェア保護、分散運用制御、文書化されたセレモニーの下で保持されるべきである。定期的な署名は 1 人の従業員に依存すべきではない。
公開鍵の変更は、それ自体がコミットされ、証人される必要がある。新しい鍵ステートメントは、前任者、有効なチェックポイント、承認、理由クラスを識別すべきである。可能であれば、古い鍵と新しい鍵が移行に相互署名する。古い鍵が妥協された場合、緊急継続権限と証人閾値が、別の事前公開された信頼パスの下での交換を承認できる。
失効は歴史的な問題を生み出す。今日の妥協は、何年も前に署名されたすべてのチェックポイントへの信頼を自動的に消去すべきではない。インシデントレポートは、疑われる露出ウィンドウ、影響を受けるチェックポイント、検証処理を識別すべきである。独立タイムスタンプ、証人の観察、アーカイブされた領収書は、古い署名が妥協前に存在したことを確立できる。
鍵の使用は狭くすべきである。ログ署名鍵は、契約、電子メール、ルーティングセキュリティオブジェクトに署名すべきではない。ポリシーレベルと暗号レベルの両方でのドメイン分離は、混乱と結果を減らす。回復鍵は通常の署名鍵とは別であるべきである。
公衆は、セレモニー、役割分離、アルゴリズムポリシー、最新の成功した継続性テストに関する高レベルの保証を必要とする。デバイスのシリアル番号、場所、アクティベーションシークレットは必要ない。繰り返しになるが、説明責任のある制御は悪用可能な詳細の公開を必要としない。
証拠コミットメントは決定を保護された裏付けにリンクする
状態変更は、証拠セットコミットメントを参照すべきである。保護されたセットには、ホルダ承認、企業記録、合併証書、裁判所命令、プロバイダ証明、通信、レビューアの理由が含まれる可能性がある。各アイテムは正準保護表現とコミットメントを受け取る。セットルートは、決定に関連するコレクションをバインドする。
公開イベントは、セットコミットメントと広範な承認クラスのみを明らかにする。レビュー中、ホルダまたは決定者は、選択されたアイテムと開口値を開示できる。レビュアーは、開示された資料が決定が行われたときにコミットされたセットに属していることを検証する。これにより、後で異なる契約や新たに書かれた根拠を置き換えることが防止される。
完全性は依然としてガバナンスの問題である。セットルートは、開示されたアイテム X が含まれていたことを証明するが、無罪のアイテム Y が省略されていなかったことを証明しない。決定ルールは、証拠索引、責任あるレビュアーによる宣言、監査サンプリングを必要とするべきである。裁判所は、保護された索引を公に公開せずに開示を命じることができる。
証拠保持は目的と法律に従うべきである。一部の文書は、定義された期間後に削除される可能性がある一方で、コミットメントと決定記録は残る。公衆は、存続するコミットメントが基礎となる個人文書がまだ保持されていることを意味すると推測してはならない。保持ステータスは保護された監査記録で表現できる。
証拠コミットメントは理由を強化する。レビュアーは、変更が発生したことだけでなく、当時利用可能だった定義されたセットに依存していたことに署名する。制度的記憶は、公的ファイルになることなく、遡及的発明に対して耐性を持つようになる。
RDAP は監査台帳ではなく、開示サービスであり続ける
RDAP は、HTTP 上で構造化された登録データを提供し、差別化された応答、通知、リンク、ステータスをサポートする。これは、ポリシーと法律が開示を正当化するフィールドに適切な公開サービスである。変更証明ログは別の機能を果たす。承認された状態のシーケンス、包含、一貫性を証明する。
両者はリンクされるべきである。公開状態リーフは、チェックポイントでリソースに対して提供された RDAP 投影をコミットできる。監視機関は、サンプリングまたは完全な公開応答をコミットメントと比較できる。RDAP が黙って異なるホルダステータス、タイムスタンプ、リソース範囲を示した場合、不一致が検出可能である。
ログは RDAP の編集を回避するバックドアになるべきではない。コミットメントを公開しても、プライベート連絡先、未編集の注釈、保護された履歴を公開することは正当化されない。逆に、編集は説明責任のない公開サービスを正当化すべきではない。レジストリ運営者は、公開配布を受ける権利のないフィールドを差し控えつつ、応答が認識された状態から導出されたことを証明できる。
レガシー WHOIS 出力は、維持される場合、別の投影として扱われるべきである。形式とデータ機能の違いには明示的なマッピングが必要である。正準状態は、レガシーテキストサービスの制限に縮小されるべきではない。
説明責任はサービス説明も必要とする。レコードが編集された場合、公開応答は隠された値を明らかにせずに、適用可能なポリシークラスとレビュー経路を述べることができる。コミットメントは安定した適用を証明し、ポリシーは正当な隠蔽を説明する。
RPKI は関連証拠であるが、別の信頼システムである
Resource Public Key Infrastructure は、証明書と署名オブジェクトを使用して、リソース保持とルートオリジン認証を表現する。その公開検証可能性はレジストリ設計に情報を提供できるが、レジストリサービス運営者の変更証明は実際の BGP ルーティングを証明したり、RPKI 検証を置き換えたりすると主張してはならない。
レジストリ状態は、リソース証明書の関係とホルダの意図するルーティングセキュリティサービスの状態にコミットできる。イベントは、移転またはホルダ変更が必要な証明書移行を伴ったことを示すことができる。独立監視機関は、コミットされた参照を公開リポジトリ観察と比較できる。
しかし、主張は制限されたままである。有効な状態コミットメントは Route Origin Authorization が存在することを意味しない。有効な認証はルートがアナウンスされることを証明しない。有効なルートはトラフィックが意図された経路に従うことを証明しない。公開説明は、登録、認証、認可、ルーティング観察を別々に保つべきである。
鍵ガバナンスも異なる。レジストリログ署名はチェックポイントを証明する。RPKI 鍵はリソース信頼階層に参加する。鍵やセレモニーを再利用すると、権限が曖昧になり、妥協が拡大する。個別のルート、役割、アルゴリズム、復旧計画は、監視がその出力を相関させる場合でも好ましい。
リンケージの価値は時間的説明責任である。ホルダは、レジストリ運営者が何を認識し、どのルーティングセキュリティ状態を要求し、観察者がどの公開リポジトリ状態を見たかを示すことができる。証拠は、異なる機関を 1 つの主張に崩壊させることなく強くなる。
異なる変更クラスは異なる最終性ルールに値する
すべてのレジストリ編集が同じ結果を持つわけではない。公開電話フィールドの訂正、管理連絡先の変更、大規模アドレスブロックの移転、裁判所制限の適用、侵害された資格情報の失効は、同じ証人閾値やレビュー期間を待つべきではない。
レジストリ運営者は、変更を可逆性、外部依存性、希少性の結果、権利への影響によって分類すべきである。定常的な公開データ訂正は、通常のホルダ通知で次のチェックポイントに入ることができる。重大なホルダまたはプロバイダの変更は、二重承認、迅速な領収書、より強力な証人サポート、短い異議申立期間を必要とする場合がある。保護的セキュリティ制限は即時の一時的効果を持つことができるが、迅速な独立確認を必要とする。
最終性は正確な意味を持つべきである。レジストリ運営者は、新しい承認されたイベントなしに変更を管理的に取り消さないことを意味するかもしれない。有能な裁判所が訂正を永久に禁じられていることを意味することはできない。イベントレコードは、状態が暫定的、有効、異議申立中、制限中、または通常の制度的ルールの下で最終的であるかを識別すべきである。
遅延もリスクを生み出す。長い公開異議申立期間は取引を暴露したり、反対者が正当な変更を妨害することを可能にしたりする可能性がある。秘密の即時変更は、レビュー前にホルダに害を及ぼす可能性がある。段階的ルールは、通知、機密性、緊急性、依存性のバランスをとるべきである。
コミットメントアーキテクチャはこのニュアンスをサポートする。ステータスを記録するが、必ずしも保護された理由を明らかにする必要はない。公衆は、レジストリ運営者が宣言された最終性クラスに従ったことを見ることができる。ホルダとレビュアーは、選択されたクラスが正当化されたかどうかを検査できる。
紛争は選択的な証明と可視的な手続き状態を必要とする
ホルダが変更に異議を唱えた場合、公の観察者は申し立てや証拠を受け取る必要はない。彼らは、機関が状態を争いとして扱い、保護的ルールが適用されるかどうかを知る必要がある。紛争イベントは、関連するコミットメントをレビュー中としてマークし、レビューフォーラムクラスを識別し、現在の運用が凍結または保存されているかを述べることができる。
異議申立人は、コミットされた記録、関連するイベント領収書、法律で許可された証拠索引、事件に答えるのに十分な理由を受け取るべきである。一部の資料が開示できない場合、独立レビュアーがそれを検査し、保護された情報源を公開せずに結果を説明できる。
レビュー機関は、実質的権限とコミットメント履歴の両方を検証すべきである。証拠セットは決定時にコミットされたものか?イベントは約束された間隔内に含まれていたか?レジストリ運営者はすべての構成員に同じチェックポイントを提示したか?後の修正は適切に追加されたか?暗号検証は事実上の紛争を狭めるが、法的解釈を決定しない。
中間措置は釣り合いが取れているべきである。組織命名に関する紛争は、ルーティングセキュリティサービスを無効にすることを正当化しないかもしれない。無許可移転の信頼できる主張は、公開検索が続く間、さらなるホルダ変更を凍結することを正当化するかもしれない。可視的なステータスは、依存関係者が機関が何を決定し、何を決定していないかを理解するのに役立つ。
解決は新しいイベントを作成する。ログは異議申立てを削除すべきではない。元の決定が確認されたか、訂正されたか、取り消されたかを示すべきであり、保護された理由は適切な境界の下で利用可能なままである。説明責任は、訴訟を公開顧客ファイルに変えることなく維持される。
監査は保護された全体と公開コミットメントを調整する
公開暗号チェックは、すべての実際の顧客レコードがツリーに入ったことを確立できない。管理されたアクセス権を持つ監査人は、定期的に保護されたレコードから状態とイベントのルートを再構築し、公開されたチェックポイントと比較し、受け入れ周りの制度的制御をテストすべきである。
監査は、範囲内のすべての割り当ておよび割り当てられたリソースを調整し、互換性のない重複を検出し、すべてのアクティブな状態が承認されたイベントを持っていることを確認し、証拠コミットメントをサンプリングし、保留中および制限中の事項を検査し、RDAP 投影を比較し、ホルダ領収書を検証し、チェックポイント拡張をテストすべきである。また、コミットされたイベントパスの外で実行された変更を検索すべきである。
監査の独立にはアクセスと保護が必要である。監査人は、省略がテストされている同じ管理者によって作成された報告書のみに依存すべきではない。読み取り専用アクセス、エクスポートされたジャーナル、直接のチェックポイントアーカイブが役立つ。機密性義務は厳格なままである。監査人は公衆が持たない資料を見るからである。
公開意見は、範囲、日付、例外、結果を説明すべきである。「ログは監査された」という声明はあまりにも曖昧である。重要な省略、説明不能なフォーク、古いチェックポイント、ルートを再計算できないことは、是正ステータスとともに報告されるべきである。セキュリティの詳細と個別の記録は制限されたままにできる。
監査には敵対的演習を含めるべきである。チームは、ログから省略されたテストレコードを導入し、ロールバックを試み、2 つのチェックポイントを別々の監視機関に提示し、制御が各イベントを検出するかどうかをテストできる。機関が文書をレビューするだけでなく検出を示す場合、保証は高まる。
データ保護法は最初からアーキテクチャを形成すべきである
目的制限とデータ最小化は、透明性設計の後に追加される障害ではない。それらは、どの値が公開リーフに属し、どれが保護されたままであるか、開口部がどのくらい持続するか、誰が選択的証明を受け取ることができるかを決定する。コミットメントは、基礎となる決定が必要としない情報の収集を正当化するために決して使用されるべきではない。
レジストリ運営者は、各データ要素の目的を文書化すべきである。公開リソース範囲とステータスは登録説明責任をサポートできる。個人識別証拠は承認をサポートできるが、公開配布をサポートしない。契約価格は商業関係に関連する可能性があるが、認識されたリソース状態には無関係である。これらの目的を分離することで、よりクリーンな正準記録が生成される。
リスク評価には、辞書攻撃、リンケージ、ツリーサイズリーク、イベントタイミング、証人保持、ホルダ領収書の損失、管轄を越えた強制アクセスを含めるべきである。値がランダムに見えるという事実は、それが人にリンクできるか、推測をテストするために使用できる場合、プライバシー分析からそれを除外しない。
権利処理には慎重な設計が必要である。人は公開投影と保護されたソースの訂正を求めることができる。追加専用の制度的コミットメントは、適用される法律と必要性に従い、以前の行動の非可読証拠として残ることができる。レジストリ運営者はこの区別を説明し、すべての独立アーカイブからの不可能な消去を約束するのではなく、レビューを提供すべきである。
国境を越えたミラーは、最小限の公開データセットのみを受け取る。保護された証拠は、文書化された管理と転送ルール内に留まる。選択的開示はログに記録され、レビュー中の決定に限定されるべきである。アーキテクチャは、過剰開示を技術的および制度的に困難にすることで正当性を獲得する。
Certificate Transparency は方法を提供するが、完全なテンプレートではない
Certificate Transparency は、公開ログ、署名済みツリーヘッド、包含証明、一貫性証明、監視を使用して、誤って発行された公開信頼証明書を露出させる。その大きな制度的貢献は、すべての証明書が疑いなく有効になることではない。発行が観察可能になり、一貫性のないログ履歴に異議を唱えることができることである。
レジストリ運営者は、状態コミットメントにそのロジックを採用できる。チェックポイントは署名済みツリーヘッドに類似し、ホルダ領収書は約束と包含証拠に類似し、監視機関は履歴を保持し、証人は分割ビューを困難にする。モデルは、中央観察者がすべての保護されたソースファイルをダウンロードすることなく、コンパクトなルートが広範な説明責任をサポートできる方法を示している。
違いは決定的である。証明書はウェブトラストエコシステムにおいて意図的に公開された成果物であるのに対し、顧客契約や身元証拠はそうではない。番号リソースレコードは、長期にわたって訂正、制限、争われる可能性がある。公開メタデータは商業イベントを明らかにする可能性がある。したがって、レジストリ運営者は、証明書モデルを超えて、保護されたリーフ、階層化されたビュー、法的レビューを必要とする。
Certificate Transparency はまた、公開だけではガバナンスを解決しないことを示している。ログは適格な運用、マージ期限、監視、ブラウザまたは依存関係者のポリシー、誤発行への対応を必要とする。同様に、レジストリサービス運営者のログは、ホルダが領収書を受け取り、証人がビューを比較し、監査人が完全性を調整し、決定者が例外を救済する場合にのみ意味を持つ。
比較分析は、教訓と限界の両方を運ぶときに価値がある。教訓は公開追加専用コミットメントである。限界は、番号ガバナンスはすべてのレコードが公開証明書であるかのように顧客証拠を公開できないことである。
公開登録は証拠と公開状態が別個である理由を示す
土地と企業登録は、多くの場合、権威ある公開エントリと、それを裏付ける証書、身元確認、行政通信を区別する。正確な法的効果は管轄によって異なるが、制度的区別は持続可能である。公衆は信頼できる現在の状態を必要とし、管理された証拠は登録官がどのようにそれに到達したかを説明する。
そのモデルは 2 つの誤りに対して警告する。1 つは、公開エントリを非常にまばらにして依存をサポートできなくすることである。もう 1 つは、目的に関係なくすべての提出文書を公開することである。レジストリ運営者は、RDAP を通じて正当化された公開機能に十分なリソースとステータス情報を公開すべきであり、コミットメントログは履歴を証明し、保護された証拠はレビューをサポートする。
登録はまた、訂正ルールの重要性を示している。権威ある記録は間違っている可能性がある。正当性は、通知、訂正申請、影響を受ける当事者の保護、理由、何が変更されたかの理解可能な説明に依存する。暗号履歴はこれらの救済策を強化すべきであり、最初にコミットされた値が永久に挑戦不可能であるという主張を生み出すべきではない。
国家土地登録とは異なり、インターネット番号管理は管轄を越えて運用され、自発的な技術調整と相互作用する。単一の比較が法的所有権または公法上の地位を決定するわけではない。有用な教訓はより狭い。信頼できる登録は、公開状態、裏付け証拠、レビューを分離しつつ、検証可能に接続しておく。
レジストリ運営者は、ホルダ領収書と独立証人チェックポイントを通じてその接続を強化できる。商業契約をグローバルに検索可能にすることなくそれができる。
実装は権限の前に観察から始めるべき
慎重な導入は、既存の状態に現在の運用と並行してコミットすることから始まる。レジストリ運営者はチェックポイントを公開し、自発的なホルダ領収書を与え、独立監視機関に一貫性の検証を依頼することができる。ただし、初日からログを決定的にすることはない。最初のフェーズでは、正規化の欠陥、メタデータ漏洩、運用上の遅延が明らかになる。
第 2 フェーズでは、選択された低リスクの変更クラスをカバーできる。監査人はすべてのイベントを調整し、ホルダは領収書をテストし、証人は信頼できる観察を確立する。公開報告書は、約束されたマージ時間と達成されたマージ時間を比較する。セキュリティレビュアーは、コミットメント構築と鍵セレモニーを調査する。
第 3 フェーズでは、承認された重大な変更に対して包含を義務化できる。移転やホルダ交代は、そのイベントが必要なチェックポイントに指定された証人サポートとともに現れるまで、制度的に最終的とはみなされない。緊急保護行動は、限定された例外とそれに続く迅速な確認を受ける。
移行は初期ベースラインを保存すべきである。レジストリ運営者は既存の完全な状態にコミットし、独立監査人にそれを調整させ、重要な例外を公開できる。再構築できない歴史的イベントは捏造されるべきではない。ベースラインは、何が検証され、どの日付から追加専用保証が適用されるかを述べる。
実装の成功は、カバレッジ、領収書配信、包含遅延、証人多様性、調整例外、紛争ユーザビリティ、プライバシー調査結果によって測定されるべきである。ハッシュやログエントリの数を数えることは、機関がより説明責任を果たすようになったかどうかをほとんど語らない。
障害モードは予測可能であり、公然とテストされるべきである
最初の障害はコミットメント劇場である。レジストリ運営者はダイジェストを公開するが、正規定義、包含証明、独立監視機関はない。誰も有用な主張を検証できない。2 つ目はプライバシー劇場である。予測可能なレコードが直接ハッシュされ、辞書攻撃が可能になる。3 つ目は証人劇場である。複数の確認が 1 つの管理下にあるシステムから来る。
もう 1 つの弱点は完全性の盲目である。公開されたすべての証明は検証されるが、一部の承認された変更がログに入ることはない。領収書、マージ期限、監査がそのギャップを埋めなければならない。関連する弱点は証拠の置き換えである。公開イベントは存在するが、運営者は後で異なる契約を提示する。証拠セットコミットメントと署名された理由が遡及的置き換えを防ぐ。
過剰開示はメタデータを通じて発生する可能性がある。正確なイベント時刻、リソース範囲、変更クラスは、リーフコンテンツが隠されていても取引を露出する可能性がある。過少開示も、広範なバッチ処理によりレジストリが標的遅延を隠すことを可能にする場合に発生する可能性がある。公開頻度と独立統計が必要である。
運用上の鍵の妥協は偽のチェックポイントを作成する可能性がある。証人アーカイブ、独立タイムスタンプ、鍵継承、インシデントスコーピングが結果を減らす。アルゴリズムの陳腐化により古い証拠の検証が困難になる可能性がある。アーカイブ更新を計画すべきである。
最後に、暗号が機能していてもガバナンスは失敗する可能性がある。説明責任のないパネルが保護されたファイルを開く可能性があり、裁判所が過剰なデータセットを受け取る可能性があり、復旧プロバイダが領収書を商業化する可能性がある。目的制限、アクセスログ、制裁、レビューが引き続き不可欠である。数学はレコードをコミットメントにバインドできるが、制度的な美徳を供給することはできない。
作業例は、何が公開され、何が保護されたままかを示す
IPv4 ブロックを保持する企業が別の法人に合併されると想像する。顧客ファイルには、合併証書、権限のある代表者の身元証拠、契約条件、連絡先詳細、弁護士通信が含まれる。これらはすべて、説明責任のあるレジストリ行動を証明するために公開される必要はない。
プロバイダは、正準提案状態と証拠セットコミットメントを準備する。レビュアーは、適用されるルールの下で権限を確認し、そのセットにリンクされた理由に署名する。レジストリ運営者は、広範なクラスをホルダ継承として識別するイベント、以前の状態コミットメント、新しい状態コミットメント、有効ステータス、適用される最終性ルールを受け入れる。ホルダは署名済み受領承認を受け取る。
次のチェックポイントで、イベントが追加専用ログに現れ、新しい現在のレコードが状態ツリーに現れる。ホルダは包含パスを受け取る。証人はチェックポイントが以前の履歴を拡張していることを検証する。RDAP はポリシーが必要とする公開フィールドを更新し、個人連絡先は適切に編集されたままである。
元取締役が合併に異議を唱えた場合、レビュー機関は関連する保護証拠と開口値のみを受け取る。証書が決定時にコミットされたセットにあったことを検証する。公開ログは紛争ステータスと一時的な制限を示すが、申し立ては示さない。後の決定が確認または訂正を追加する。
観察者は、単一の一貫した履歴が存在し、機関がそれを黙って書き換えなかったことを証明できる。関係者は、どの証拠が変更をサポートしたかを証明できる。世界は契約を受け取らない。これが具体的な形での説明責任のある機密性である。
運営者の正当性は検証可能な抑制に依存できる
機関はしばしば透明性を開示の量として扱う。番号資源ガバナンスにとって、より重要な品質は検証可能な抑制である。機関は何をしたかを証明し、証拠を保存し、公開機能が必要とするものを開示し、公開する権利のないものを差し控える。
署名済み状態コミットメントは、レジストリ運営者を 1 つの認識された台帳に対して説明責任を負わせる。追加専用イベントログは改訂を可視化する。ホルダ領収書は影響を受ける組織に独立した証拠を与える。一貫性証明は部外者が継続性をテストすることを可能にする。証人は孤立した履歴を防ぐ。監査は保護された全体を公開約束に接続する。選択的レビューは個別の決定を当時存在した証拠に接続する。
各メカニズムには限界がある。コミットメントは真実を証明しない。署名は権限を証明しない。包含パスは完全性を証明しない。証人は合法性を決定しない。監査はホルダの救済を置き換えない。正当性は、これらの限られたメカニズムが互いに制約する方法から生じる。
結果は、公開顧客データベースでも私的機関の主張でもない。各聴衆が権利を持ち、調査する能力がある主張を検証できる層状の記録である。公開説明責任は、機密性が包括的例外として呼び出されるのではなく、設計されるためにまさに強くなる。
レジストリ運営者はその基準を目指すべきである。レジストリ運営者は、管理に記憶があることを証明するために、契約、個人詳細、商業ファイルを公開する必要はない。状態コミットメントを耐久性のあるものにし、変更を観察可能にし、保護された証拠をレビュー可能にし、自らの力で昨日を黙って書き換えられないようにする必要がある。
証拠と参考文献
- RFC 9162: Certificate Transparency Version 2.0— 公開追加専用説明責任に情報を提供する、Merkle ツリーログ、署名済みツリーヘッド、包含証明、一貫性証明、監視を定義する IETF 仕様。
- RFC 8785: JSON Canonicalization Scheme— 再現可能な暗号操作のための決定論的 JSON 表現を定義する IETF 標準。
- RFC 8032: Edwards-Curve Digital Signature Algorithm— EdDSA 署名スキームの IETF 仕様。帰属可能なチェックポイントと領収書に関連。
- RFC 3161: Internet X.509 Public Key Infrastructure Time-Stamp Protocol— 署名された証拠が存在した時を保存するのに有用な独立タイムスタンプ主張のための IETF プロトコル。
- NIST FIPS 180-4, Secure Hash Standard— 広く使用される安全なハッシュアルゴリズムとその意図されたセキュリティ役割を定義する公式米国標準。
- NIST Privacy Framework— システムおよび機関活動におけるプライバシーリスクを特定し管理するための公式リスク管理ガイダンス。
- Regulation (EU) 2016/679, General Data Protection Regulation— 目的制限、データ最小化、正確性、保存制限、セキュリティを含む原則を確立する公式法的テキスト。
- RFC 9082: Registration Data Access Protocol Query Format— インターネット登録データのための RDAP クエリの標準トラック定義。
- RFC 9083: JSON Responses for the Registration Data Access Protocol— RDAP 応答、通知、リンク、イベント、ステータス構造の標準トラック定義。
- RFC 6480: An Infrastructure to Support Secure Internet Routing— リソース証明とルートオリジン認証を登録状態および実際のルーティング動作から区別する IETF アーキテクチャ。
NRS と BTW の役割の情報源
- Number Resource Society— 世界的な非営利会員制組織としてキャンペーン、企業支援、RIR ガバナンスにおける会員代表を行う NRS 自身の公開ポジショニング。
- Lu Heng, 「NRS が存在する理由——そして分散化がもはや選択肢ではない理由」— NRS を製品ベンダーや商業実装機関ではなくアドボカシーグループとして定義するソースドクトリン。
- Lu Heng, 「BTW.Media が存在する理由——そして製品がアドボカシーではなく現実である理由」— BTW が観察可能な構造と提案を、それらを推進することなく説明することを要求する編集境界。

