要約

  • 登録の正確性は、番号資源保有者に関する網羅的な調査書類を必要としない。必要なのは、曖昧さのない資源、説明責任を負う保有者または委任された役割、権限の根拠と有効期間、到達可能な役割連絡先、そしてあらゆる重要な行為の保存記録である。
  • 薄い公開台帳と豊富な保護履歴は、異なる層として設計されるべきである。前者は現在の運用を支え、後者はリクエスト、承認、証拠参照、前後の状態を保存する。公開暗号コミットメントが、基礎となるすべての資料を露出させることなく両者を結びつける。
  • 署名付きツリーヘッド、包含証明、一貫性証明は、削除、順序変更、そして曖昧化を検出可能にする有用なモデルを提供する。それらはコミットされたデータに関する限定的な事実を証明するのであって、保有者が資源に対する権利を有していたことや、担当者がポリシーを正しく適用したことを証明するものではない。
  • 余分な個人情報フィールドを収集することよりも、役割分離の方が重要である。要求者、検証者、承認者、実行者、署名鍵管理者、監査人は、特に移転、停止、復旧、管理権変更の際に、単一の特権アカウントに集約されるべきではない。
  • 保有者には強制力のある手続的権利が必要である。署名付き受領証、可能な場合の事前通知、紛争後の保存、自身の記録に関する証拠へのアクセス、理由を付した決定、独立審査、訂正、復旧である。救済手段のない公開証明は、失敗を露呈するだけで治癒しない。
  • 訂正は新たな状態を追記し、誤った状態にリンクすべきである。エラーを黙って上書きするレジストリは、今日の表示を改善するかもしれないが、責任、依存関係、救済手段を判断するために必要な証拠を破壊する。
  • NRS は、IANA や地域インターネットレジストリに取って代わると主張することなく、このアーキテクチャを信頼性をもって提唱し実証できる。その有用な役割は、最小限の記録を定義し、イベント語彙を公開し、ポータブルな保有者レシートを発行し、独立した監視者を運用または委託し、自らの会員資格の主張が同じ基準を満たすことを証明することである。
  • 中心的な取引は、単に暗号的ではなく制度的なものである。収集を減らし、説明を増やし、あらゆる重要な行為を保存し、管理を分散させ、影響を受ける当事者に証明から修復への道筋を与える。

一見矛盾しているだけである

月曜日にある企業名で表示されていたアドレスブロックが、火曜日には別の企業名で表示されている保有者を想像してみてほしい。結果として生じる紛争に対する従来の対応は、より多くのデータを求めることである。より多くの身分証明書、より多くの連絡先、より多くの企業記録、より多くの通信、そしてすべての長期保存。蓄積することは保証されているかのように感じられる。より大きなファイルを作成し、それゆえにより真面目な組織のように見える。

しかし、追加のフィールドは決定的な疑問に答えるのにほとんど役立たないかもしれない。どの認証された役割が変更を要求したのか?その役割は当時どのような権限を持っていたのか?検証者はどの証拠を精査したのか?誰が決定を承認したのか?どの正確な記録が変更されたのか?第二の担当者が高リスク行為を確認したのか?新しい状態がいつ公的に有効になったのか?紛争が始まった後に、以前の状態が消去されなかったことを機関は証明できるのか?

レジストリは、パスポートのスキャン、3 つの電話番号、多数の企業提出書類を保持しながら、自らの決定を再構築できないままでいることができる。また、それらの資料を侵害によって露出させたり、目的が果たされた後も保持し続けたり、管理者が無関係な調査のために使用したりすることもできる。豊富な個人データは、貧弱な組織的履歴を補うことはない。

逆の設計の方が有望である。公開登録記録は狭く保つ。機密性の高い証拠は、定義された命題を裏付ける場合にのみ保持する。行為、権限、決定、効果を並外れた精度で記録する。履歴を外部から監視された証明にコミットする。保有者にレシートと異議申立権を与える。組織は私生活について学ぶことを減らしながら、自らが行ったことを否定する能力を低下させる。

これがシンレジャーの提案である。それは空のアドレス一覧や、希少資源に対する匿名の主張を求めるものではない。それは、保証を無差別な収集から離れ、検証可能な組織行動へと向かわせることを求めるものである。

薄さは十分であり、回避的であってはならない

ミニマリズムは便利なアリバイになり得る。レジストリは、責任ある運用者に連絡したり、二人の請求者を区別するために必要な情報を単に欠いているときに、自らをプライバシー保護的と呼ぶかもしれない。誰が移転を許可したかを記録できなかった後に、抑制を呼び起こすかもしれない。薄い台帳が弁護できるのは、そのフィールドが明示的な目的から導き出され、実際の紛争に対してテストされた場合のみである。

目的は一意性と正確な登録から始まる。RFC 7020は、インターネット番号レジストリシステムの中核的要件として登録の正確性を説明している。割り当ては、世界的に一意な番号が同時に複数の当事者に割り当てられないように、そして正確な情報が運用上のニーズを支えるように記録されなければならない。それは普遍的な身分証明ファイルを規定するものではない。登録された当事者と記録の管理上の根拠を特定するのに十分な情報を必要とする。

公開番号資源エントリにとって、削減不可能なフィールドは、おそらく次のものを含む。資源範囲または自律システム番号、登録された組織または個人保有者の正式な識別子、登録関係と状態、記録の由来となる権限、有効期間と現在のバージョン、ポリシーが要求する場合の役割ベースの運用または不正行為連絡先、そして保有者がその状態を作成したイベントの証明を取得できる参照。

管轄区域、資源タイプ、関係によって、さらなるフィールドが正当化される場合がある。委任されたネットワークは親の参照を必要とするかもしれない。レガシー登録は歴史的根拠ラベルを必要とするかもしれない。紛争中の記録は、目に見える係争状態を必要とする。制裁保留は、保護された詳細を公開することなく法的権限の参照を必要とするかもしれない。テストは常に同じである。このフィールドはどの決定または運用上のニーズをサポートするのか?誰がそれを見ることができるのか?どのように修正されるのか?そしていつ不要になるのか?

このテストを通過しないものは、ストレージが安価だからといって単に入力されるべきではない。命題なしに収集されたフィールドは、将来のプライバシーリスクとなり、より良い制御の代用となる誘惑となる。

登録状態は行為の結果である

レジストリはしばしば、きれいな現在のオブジェクトを提示する。それは静的で、プレフィックス、組織、連絡先、日付、状態を持つように見える。しかし、すべての行は組織的行為の残滓である。誰かが記録を作成し、申し立てを受け入れ、権限を委任し、役割を更新し、移転を実行し、保留を課し、エラーを訂正し、または以前の状態を復元した。

監査可能性は、組織がこれらの行為をデータベース周辺の付随的なログではなく、第一級の記録として扱うときに向上する。重要なイベントはそれぞれ、以前のバージョン、提案された変更、認証された要求者、主張された役割、証拠参照、検証者、ポリシーと手順のバージョン、承認結果、実行者、コミット時間、公開時間、結果のバージョンを特定すべきである。また、通知、異議、後の審査も記録すべきである。

このイベント履歴は公開状態よりも豊かであるが、無関係な個人情報においてより豊かである必要はない。検証者は、名前付きの方法の下で企業権限テストが合格したことを記録し、保護された証拠を目的限定のストアに保持することができる。イベントは、取締役の身分証明書の別のコピーではなく、ダイジェストと安定した参照を含むことができる。監査人は後日、文書を公開することなく、検証者が何を見たか、そして方法が守られたかどうかを立証できる。

この区別はまた、削除をよりインテリジェントにする。もはや不要な連絡先アドレスは、適用される保持ルールの下で消去またはトークン化される一方で、イベントの制度的骨格は残る。指名された役割がリクエストを行い、検証者 417 が手順 6.2 を適用し、承認者 091 がそれを受け入れ、トランザクション 8af がバージョン 48 を 49 に変更し、保有者レシートが発行された。権力の歴史は、すべての私的な入力を永久に保存することなく存続する。

現在の状態のみをモデル化するレジストリは、散在するシステムトレースから行為を再構築しなければならない。行為をモデル化するレジストリは、どの事実が存続しなければならないか、どれが期限切れになる可能性があるか、どれが開示なく証明できるかを意図的に決定できる。

NRS には鍛錬すべき有用な前提がある

NRS は、番号資源機関を、その正当性がネットワークを統治する一般的な権力ではなく、正確な登録に基づく簿記係として提示する。その憲章はまた、自発的な認知、自由企業、規制的野心の制限を重要なものとして扱っている。これらの主張は提唱であり、提案された NRS サービスが権威的であるとか技術的に準備ができているという証明ではない。しかし、簿記係の前提は真剣な設計規律を生み出すことができる。

簿記係は、ある意味では平凡であり、別の意味では厳格でなければならない。登録を、保有者のビジネスを調査するためのライセンス、合法的なルーティング選択を指示するためのライセンス、またはアドレスに関するあらゆる論争を裁定するためのライセンスに変えるべきではない。それにもかかわらず、なぜエントリが存在するのか、誰がそれを変更したのか、そして自らのルールが守られたかどうかを示すことができなければならない。狭い委任は低い保証ではない。

したがって、肯定的な NRS の事例は、新たなグローバルレジストリの主張から始めるべきではない。それは自らの主張から始めるべきである。NRS がある組織が検証済みの資源保有会員であると述べる場合、その声明を裏付ける最小限の証拠は何か?レジストリデータが古くなった場合、親プロバイダが割り当てを保持している場合、企業が合併した場合、または 2 人の役員が意見を異にした場合はどうなるのか?会員はその主張を撤回または訂正できるか?監査人は、会員の完全な申請ファイルを入手することなく履歴を検証できるか?

これらの疑問を公に解決することによって、NRS は最小限の収集と強力な証明が両立可能であることを実証できる。その後、イベントモデル、レシート形式、監査テストを保有者や既存のレジストリに提供できる。採用は、NRS が認知された権威を置き換えたという宣言ではなく、有用性と相互運用性に基づくであろう。

標準は、ミニマリストの信条が恣意的な裁量を隠し得るため、特に厳格であるべきである。NRS の公開会員規約は、入会委員会に申請に対する裁量を与え、さらなる情報の要求を許可している。シンレジャー設計は、その裁量の周りに理由、審査、監査を配置しなければならない。さもなければ、組織はより少なく収集しながらも、内部関係者が依然としてより多くを決定する。

三層が二つのよくある間違いを防ぐ

アーキテクチャは、公開状態、保護された証拠、公開証明を分離すべきである。それらを曖昧にすると、おなじみの二つの失敗を生み出す。透明性の名の下に機密資料を公開すること、またはすべての完全性の主張を疑問視されている組織の内部に留めること。

公開状態層は、現在の運用上の問い合わせに答える。それは意図的にコンパクトで、機械可読で、バージョン管理されている。資源、登録当事者、関係、状態、権限、有効期間、および公的使用に適した役割連絡先を示す。プライベートユーザーを特定したりセキュリティ管理を明らかにすることなく、選択されたイベントラベル(移転、訂正、一時停止、復旧など)を公開できる。

保護された証拠層は、状態を説明する。認証されたリクエスト、役割バインディング、承認、ポリシースナップショット、証拠参照、前後の値、特権的行為、システム確認、審査結果を保持する。アクセスは目的に基づく。保有者は、他の個人やセキュリティの保護の下で、自身の記録に関する資料を見る。独立監査人は、より広範な管理されたビューを受け取る。裁判所または合法的な当局は、適用されるルールの下で資料を受け取る。一般の公衆は生の認証トレースを受け取らない。

公開証明層は、保護された履歴にコミットする。定義された間隔で、サービスは順序付けられたイベントセットの署名付き暗号サマリーを公開する。開示されたイベントは、後で包含証明を伴うことができる。連続するサマリーは一貫性をチェックできる。独立した証人はサマリーを保持し、受け取ったものを比較する。集計された公開レポートは、イベント数、ギャップ、異議、訂正を調整する。

これらの層は選択的開示を可能にする。レジストリは、ある日付より前にイベントがコミットされ、順序付けられた履歴内の位置を占め、後の履歴にも残っていることを証明できる。隣接するすべてのイベントを公開することなく、認可されたレビュワーにイベントを開示できる。公衆は台帳の連続性をテストできる一方、保有者のプライベートな証拠は保護されたままである。

この設計は判断を取り除くものではない。それは組織の判断を追跡可能にし、後の改変を隠蔽するのをより難しくする。

イベント語彙は退屈で完全であるべきである

信頼は、壮大な憲法声明よりも、日常的なイベントが安定した意味を持つかどうかに依存する。NRS は、レジストリと保有者がすべてのトランザクションを地元の散文に翻訳することなく実装できる、小さく拡張可能な語彙を公開すべきである。

最低限、作成、割り当てまたはアサインメント、委任、連絡先変更、権威役割変更、移転、合併または承継、分割、集約、返却、該当する場合の期限切れ、保留、一時停止、取消、復旧、訂正、紛争開始、紛争終了、開示を区別すべきである。状態変更が移転を装ってはならない。訂正が元の割り当てのように見えてはならない。一時的なセキュリティ保留が、惰性で永久的な不利な決定になってはならない。

各イベントタイプは必須の命題を必要とする。移転は、移転元保有者、移転先保有者、資源セット、権限テスト、有効期間、継続性の扱いを必要とする。連絡先変更は、役割、古いエンドポイント、新しいエンドポイント、確認経路を必要とする。一時停止は、ルールまたは法的根拠、範囲、決定者、開始、レビュー日、公開サービスへの影響を必要とする。訂正は、誤ったイベントを特定し、どの事実的または手続き上の欠陥が治癒されているかを説明する。

理由コードは、決定を比較するのに十分公開されるべきであるが、すべてのケースが「管理上の」になるほど広範であってはならない。自由記述テキストは、保護された記録で文脈を提供できる。公開されるコードセットは、バージョン管理されレビューされた決定を通じて変更されるべきである。古いイベントは、当時使用されていた語彙バージョンを保持する。

完全性には失敗も含まれなければならない。却下されたリクエスト、期限切れの承認、失敗した実行、部分的な復旧、放棄された紛争は、現在の状態を変更しない場合でも、イベントシーケンスに属する。そうでなければ、台帳は成功した組織的行為のみを記録し、繰り返される試み、説明のつかない遅延、選択的な取り扱いを明らかにできない。

退屈な語彙は、修辞的な誇張に抵抗するため貴重である。レジストリは、受信、検証、承認、コミット、公開、訂正のいずれかを行ったか、行わなかったかである。監査人はこれらの動詞をテストできる。

ページ上の署名は署名付き履歴ではない

デジタル署名はしばしば間違ったレベルで追加される。組織が日次のエクスポートや PDF 証明書に署名し、その記録を検証可能と呼ぶ。その署名は、ファイルが鍵の下で作成されたことを証明するかもしれない。それは、すべての以前のイベントが含まれていたこと、二つの聴衆が同じ履歴を受け取ったこと、またはファイルが署名される前に以前のイベントが削除されなかったことを示さない。

署名付き履歴には、順序と連続性が必要である。各イベントは、標準的な表現と、黙って再割り当てできない識別子を持つべきである。サービスは、バッチまたは追加専用ツリーにコミットすべきである。各署名付きチェックポイントは、ツリーサイズ、ルート、時間、アルゴリズム、鍵を特定する。後のチェックポイントは、前のものに対してテストできる。保有者レシートは、現在の画面が真正であると主張するだけでなく、関連するイベントをチェックポイントに結びつける。

RFC 9162は、サーティフィケートトランスペアレンシーを通じて、有用で限定的なモデルを提供する。それは、マークルツリーログのための署名付きツリーヘッド、包含証明、一貫性証明を定義する。モニターは興味のあるエントリを監視し、正しいログの振る舞いをチェックできる。署名は、他者が保持している矛盾した構造をログがもっともらしく否定することを防ぐ。

番号資源イベントは証明書ではなく、分析なしに標準を移植すべきではない。レジストリイベントは、個人的、商業的、セキュリティ上微妙な事実を含み得る。受け入れルール、訂正セマンティクス、保持、救済は異なる。教訓は構造的である。外部検証を可能にするコンパクトなコミットメントを公開し、提出者レシートを後の包含から分離し、一貫性のない履歴を検出可能にする。

レジストリはまた、署名付きチェックポイントが何を確立しないかを定義しなければならない。それは、基礎となる契約が本物であったこと、役員が企業権限を持っていたこと、ポリシーが公正であったこと、または停止が合法であったことを証明しない。それは、特定の表現がある段階までにコミットされた履歴に入ったことを証明する。それは、正直に述べられた場合にのみ強力な事実である。

公開証明は今日の公開記録よりも明らかにし得る情報が少なくて済む

透明性はしばしば、完全な公開と運営者への信頼の間の選択として扱われる。暗号コミットメントは第三の選択肢を生み出す。公衆は、すべてのイベントの内容を受信することなく、連続性と選択されたメンバーシップを観察できる。

保護された移転イベントが、資源識別子、新旧の保有者識別子、決定参照、有効期間、保護された証拠のダイジェストを含む標準的な記録によって表現されるとする。完全なイベントはコミットされたツリーの葉となる。公開チェックポイントは、ルート、サイズ、時間、署名のみを公開する。保有者は、そのイベントと包含を証明するために必要な経路を受け取る。認可されたアクセスを持つ監査人は、葉を再計算し証拠を検査できる。通常の観察者は、すべての移転の当事者を知ることなく、チェックポイント間の一貫性を検証できる。

選択された公開事実は、別の証明を受け取ることができる。レジストリは、現在の公開エントリがコミットされたイベントから派生していることを証明できる。適切に設計された開示方法を使用して、移転の日次カウントと、そのカウントがラベル付けされたイベントと調整されることの証明を公開できる。保有者が、無関係なアカウント記録を明らかにすることなく、ある時点で登録が存在していたことを取引相手に証明できるようにする。

注意が必要である。予測可能な個人データをハッシュすることは匿名化ではない。攻撃者は入力を推測し、ダイジェストを比較するかもしれない。小さなイベントクラスは、タイミングとカウントを通じて事実を漏洩し得る。直接の証明リクエストは、リクエスタがどの資源に関心があるかを明らかにし得る。システムは、脅威モデルに適したソルトまたはコミットメントを使用し、タイミング漏洩を制限するためにイベントをバッチ化し、公開メタデータを最小化し、可能な場合には保有者を通じて証明配送を許可すべきである。

目的は暗号のスペクタクルではない。従来の公開履歴が必要とするよりも少なく開示しながら、狭い事実の約束を検証可能にすることである。

曖昧化は制度的な違反である

削除だけが脅威ではない。レジストリは、保有者には一貫したように見える一つの履歴を提示し、監査人には別の履歴を提示できる。厄介なイベントを一方のビューから遅延させたり、友好的な証人にはチェックポイントを発行し、批評家には別のチェックポイントを発行したり、技術的障害を主張した後にログをリセットしたりできる。

独立した証人がこのリスクに対処する。NRS は、チェックポイントが、管理、ホスティング、鍵保管を共有しない複数の組織に送信されることを要求すべきである。保有者は、自分のレシートに添付されたチェックポイントをゴシップできる。監査人は、ツリーサイズ、ルート、時間を比較する。公開アーカイブがシーケンスを保存する。有効に署名されたが互換性のない二つのチェックポイントは、曖昧化の証拠となる。

証人の多様性は、名目上の数よりも重要である。一つの契約の下で一つのサプライヤーによって運用される五人の証人は、一つの制度的依存である。有用なセットには、保有者協会、学術ネットワーク、監査法人、公共利益アーカイブ、別のレジストリが含まれるかもしれない。彼らの義務は控えめであるべきである。受信、タイムスタンプ、保持、比較、そして一貫性が確立できない場合のアラート発行。彼らはプライベートなイベント内容を受信する必要はない。

可用性の障害は、完全性の障害とは別のシグナルを必要とする。チェックポイントの未受信は、停止、ネットワーク分断、または証人の問題から生じ得る。公開記録は、発行の遅延、配信の失敗、検証不能な一貫性、鍵失効、確認された曖昧化を区別すべきである。期限とエスカレーションは、「一時的な」ギャップが永続的な曖昧さになるのを防ぐ。

曖昧化に対する制裁は、単に評判によるものであってはならない。契約とガバナンスルールは、保存、独立調査、保有者通知、一方的な高リスク変更の停止、鍵交換、再構築、そして権限が認識に依存する場合にはその認識の見直しを規定すべきである。暗号は分岐を露呈できる。組織はその後に何が続くかを決定しなければならない。

フィールドを追加する前に役割を分離せよ

小規模レジストリにとって利用可能な最も強力な改善は、数学的ではなく組織的かもしれない。いかなる単一の特権的運用者も、申し立てを作成し、それを承認し、コミットし、監査記録を変更し、公開証明に署名できるべきではない。

リクエスタは変更を主張する。アイデンティティサービスは技術的プリンシパルを認証し、保有者の役割に結びつける。検証者は証拠を評価する。承認者はポリシーの下で決定する。実行者は承認されたトランザクションを適用する。証明サービスはイベントをコミットする。鍵管理者は署名操作を制御する。監視者は一貫性をチェックする。監査人は選択されたケースを再構築する。これらの役割は、コンパクトなチームと自動化によって実行できるが、それらの権限は区別されたままでなければならない。

低リスクの連絡先変更については、一人が確立されたチャネルを通じて開始し確認できる。完全な移転、合併、不利な停止、または侵害後の復旧については、二重管理が正当化される。第二の承認者は、「レビュー済み」とラベル付けされた承認ボタンをクリックするだけでなく、完全な命題と証拠結果を受け取るべきである。緊急権限は迅速に失効し、理由を必要とし、自動外部通知をトリガーすべきである。

技術的分離は組織的分離と一致しなければならない。一人の管理者アカウント内の異なる画面名は表面的である。アクセスポリシー、サービス資格情報、鍵、ログ、デプロイメント権限は、同一のプリンシパルが検出可能な例外を残さずに境界を越えるのを防ぐべきである。監査管理者は保有者の状態を変更できるべきではない。本番管理者は監査記録を削除できるべきではない。署名鍵はアプリケーションデータベースから利用可能であってはならない。

NIST のSP 800-53 Revision 5は、職務分離、最小権限、監査保護、暗号的完全性を関連する管理策として扱っている。それは一般的なセキュリティカタログであり、番号レジストリの義務ではない。その有用な教訓は、保証は対象について収集される情報の量からではなく、権限の配置から生じるということである。

保有者レシートが主体を証人に変える

ほとんどの登録システムは、保有者が現在のデータをダウンロードすることを許可する。そのデータを作成した行為に対する耐久性があり、独立してチェック可能なレシートを与えるものは少ない。レシートは各保有者を制度的履歴の分散された証人にするだろう。

重要なイベントの後、保有者は、標準的なイベントステートメント、以前と結果のバージョン識別子、受入時間、予想される公開期限、ポリシー参照、チェックポイントコミットメント、およびレシートを検証するために必要な署名を受け取るべきである。イベントが包含されると、サービスは包含証明を提供するか利用可能にする。保有者が後で異なる公開状態を見た場合、どの受け入れた行為がそれと矛盾するかを正確に示すことができる。

レシートはポータブルであるべきである。検証は、誤りで告発されたのと同じ機関でのライブアカウントを必要としてはならない。公開鍵履歴、アルゴリズム、正規化ルール、証明形式は利用可能でなければならない。後継レジストリまたは裁判所が任命した管理者は、古いレシートを検証できるべきである。担当者が何が受け入れられたかを理解できるように、機械形式に加えて人間可読な表現が付随すべきである。

保有者の署名は価値を追加できるが、誤って記述されるべきではない。自発的な移転の場合、新旧の保有者はイベントステートメントに副署するかもしれない。それは表明された条件への同意を裏付ける。法的能力を証明したり、詐欺を排除したりするものではない。不利な保留の場合、保有者の署名を要求することは、機関の行為の記録に対する拒否権を生み出すだろう。代わりに、レシートは通知を証明し、異議があればそれを保存すべきである。

レシートの紛失が権利を消去してはならない。レジストリはコミットされたイベントを保持し、認可された保有者は認証後に別の証明を要求できる。逆に、レシートの所持だけで資源を変更する権限を与えるべきではない。過去の行為の証拠は将来の管理のための無記名証憑ではない。

この設計は、保有者を受動的なデータベース主体から、共有された履歴の一部の管理者に変える。

アイデンティティは公開された経歴ではなく役割に付随すべきである

番号資源管理には説明責任を負う人々が必要であるが、公衆が彼らの完全な身分証明ファイルを必要とすることは稀である。レジストリは、法的または組織的な保有者、行為を許可された役割、その役割を使用する技術的プリンシパル、プリンシパルの背後にいる自然人またはサービスを区別すべきである。

公開エントリは通常、保有者の正式なアイデンティティと到達可能な機能連絡先を必要とする。セキュリティまたは不正行為の役割は、従業員の自宅住所ではなく、維持されたエンドポイントとして表現できる。保護された記録は、役割を認可された個人に結びつけ、保証方法を記録し、開始日と終了日を保存する。過去のイベントは、スタッフが退職した後でも、当時存在していた役割と人物に解決され続ける。

検証は比例的であるべきである。定期的なエンドポイント確認は、広範な企業調査を正当化しない。貴重なアドレスブロックの移転は、企業の存在、役員の権限、同意のより強力な証拠を正当化するかもしれない。イベントは方法と結果を記録する。機密文書は分離され、暗号化され、期限切れまたは法的保持ルールの対象となる。

欧州連合の一般データ保護規則は、すべてのレジストリ関係に対する普遍的な法令ではない。その目的制限、データ最小化、正確性、保存制限、セキュリティ、説明責任の原則は、それにもかかわらず一貫した設計課題を表現している。すなわち、機関は各カテゴリがなぜ存在するのかを説明でき、責任ある取り扱いを実証できるべきである。

ミニマリズムは説明責任への経路を消去してはならない。内部の疑似識別子は、制御されたアクセスの下で実際の過去のプリンシパルにマッピングされるべきである。重要な行為に対しては共有アカウントを禁止すべきである。自動化されたサービスは、指名された所有者と狭いスコープを持つべきである。公開役割アドレスは個人データを保護できる一方、保護された役割履歴は監査人が誰が行動したかを判断することを可能にする。

正しい問いは、アイデンティティが公開か秘密かではない。各オーディエンスがどのアイデンティティ命題を必要とし、その命題がどのように証明され得るかである。

訂正は履歴を削除することなく真実を追加しなければならない

すべてのレジストリは間違いを犯すだろう。正当性のテストは完全性の主張ではなく、証拠を保存し、継続的な害を制限し、責任を割り当てる訂正設計である。

エラーが確認された場合、サービスは欠陥のあるイベントにリンクされた訂正イベントを追記すべきである。現在の公開状態は速やかに変更される。以前のイベントは保護された履歴に残り、適切な場合には、公開バージョン履歴が訂正が行われたことを示す。訂正は、欠陥が入力、アイデンティティバインディング、ポリシー解釈、承認、実行、表示、または後の発見に関するものかを述べる。

この区別は救済にとって重要である。保有者が誤った連絡先を提供した場合、訂正で十分かもしれない。スタッフが必要な権限なしに移転を承認した場合、復旧、保存、独立審査が続くかもしれない。公開ビューは間違っていたが権威ある状態は正しいままであった場合、機関は資源自体が動いたことを示唆するのではなく、露出期間と影響を受けたサービスを特定すべきである。

黙って上書きすることは、きれいな現在を生み出すため魅力的である。それはまた、機関がエラーの期間と原因を隠し、古い状態に依存した当事者を挫折させ、外部の証明を破壊することを可能にする。署名付きチェックポイントは、訂正されたイベントが追加専用シーケンスに残り、公衆が明示的な置き換えを通じて現在の状態を導出する場合にのみ、説明のつかない書き換えを露呈するだろう。

訂正自体が間違っている可能性がある。それらは元の行為と同じリクエスト、承認、レシート、証明管理を必要とする。したがって、シーケンスはイベント、訂正、逆転、最終決定を示すかもしれない。それは整然としていないが正直である。監査可能性は美的な整頓ではない。

公開通知は比例的であるべきである。プライベートな連絡先の訂正は古いアドレスを明らかにする必要はない。登録管理に影響する訂正は、調査の詳細を保護しながら、資源、影響を受けたバージョン、時間、状態を示すべきである。保有者はより完全な説明と、それに異議を唱える経路を受け取る。

紛争中の記録は独自の状態を必要とする

二者択一のデータベースは、機関を二つの危険な表示の間で選択させる。争われているエントリを疑いなく権威あるものとして提示するか、紛争が終わるまで削除するかである。シンレジャーは、公衆に法的な通信を解読させることなく、明示的な紛争状態をサポートすべきである。

その状態は、何が争われているか(保有者のアイデンティティ、行為の権限、承継、範囲、有効期間、連絡先、またはレジストリ手続き)を特定すべきである。紛争がいつ開始されたか、現在のどの運用状態が効力を維持しているか、変更が制限されているかどうか、次のレビューポイント、影響を受ける当事者がどのように証拠を提出できるかを示すべきである。非難や保護された証拠を公開すべきではない。

紛争の開始が自動的に申立人に管理を移してはならない。また、現職者が審査に対する絶対的な拒否権を受け取るべきでもない。機関は、可逆性と運用リスクに基づいて、事前に公開された保存ルールを適用する。それは、高リスクの移転を凍結する一方で、強化された承認を通じて、不可欠な連絡先またはルーティングセキュリティの維持を許可するかもしれない。緊急措置は期限付きでレビューされるべきである。

イベント履歴は競合する主張と機関の決定を保存する。各当事者は提出に対するレシートを受け取る。監査人は、同じ証拠基準とスケジュールが適用されたかどうかをテストできる。公開チェックポイントは、詳細が制限されたままであっても、紛争と決定が主張された時点で履歴に入ったことを証明する。

終了には、状態トグルではなく、理由を付したイベントが必要である。それは、受け入れられた権威、却下されたまたは未解決の命題、現在の状態、有効期間、公開データの訂正、利用可能な審査を特定する。裁判所または認知された権威が問題を決定した場合、記録はその外部の決定をレジストリの実装と区別すべきである。

これは、より少ない公開文章がより多くの説明責任を生み出し得るもう一つの方法である。正確な状態と検証可能なシーケンスは、当事者を不利に扱いながら組織的行動を説明できない大きな公開ファイルよりも優れている。

修復する権利のない証明は芝居である

完璧な追加専用ログは、機関が記録どおりに誰かに損害を与えたことを証明できる。それは、影響を受ける当事者が当事者適格、アクセス、審査、救済手段を持たない限り、説明責任ではない。

保有者は、重要なイベントに対するレシート、速やかな通知、理由の明白な陳述、信頼できる異議申立て時の保存、自身の記録に関連する証拠へのアクセスを受ける契約上または憲法上の権利を持つべきである。アクセスは他者の保護されたデータやセキュリティの詳細を墨消しできるが、機関はすべての非開示カテゴリを特定し、独立した検査のための経路を提供すべきである。

審査は元の承認者から構造的に独立しているべきである。審査者は、保護された証拠を検査し、署名とチェックポイントをテストし、可逆的な変更を停止し、訂正を命じ、機関の管理下での復旧を要求し、より広範な改善を勧告する権限を必要とする。時間制限は運用リスクを反映すべきである。権限のない管理変更は年次委員会を待つことができない。

救済手段は欠陥に対応すべきである。それらは、訂正、復旧、資格情報の更新、不当な保留の解除、期限の延長、不当に請求された料金の返金、訂正の公表、影響を受けたサービスへの通知、法的手続きのための保存、または契約と法律が提供する場合の補償を含み得る。暗号的証明は損害賠償や財産権を決定しない。

繰り返される管理の失敗にはガバナンス上の救済が必要である。一人の検証者が欠陥のある権限を繰り返し受け入れる場合、レビューが終わるまで役割を外す。コミットメントが守られない場合は、外部の監督を要求する。レジストリがあるクラスのイベントについて包含証明を生成できない場合は、連続性が再確立されるまでそのクラスの非緊急行為を一時停止する。集計された所見は理事会と会員に届くべきである。

NRS は、他で規定する前に、これらの権利を自らの入会と会員資格の決定に適用すべきである。無料の会員費は、主張する支持基盤からの排除の効果を減らすものではない。最小限のフィールド、理由を付した決定、イベントレシート、独立した控訴が簿記係の原則を具体的にするだろう。

暗号は熱狂者が約束するよりも少ないことを証明する

シンレジャーは洗練された図表を引き寄せるだろう。制度分析は、各証明が何を立証するのかを問い続けなければならない。

デジタル署名は、アルゴリズム、鍵、検証コンテキストが信頼できるままであると仮定して、秘密鍵の保有者が定義されたバイトに署名したことを証明する。それは、鍵保有者が認可された役員であったこと、行為を理解していたこと、または強制から自由であったことを証明しない。タイムスタンプは、データがある時点より前に存在したという命題を裏付けることができる。それはデータが真実であったことを証明しない。包含証明は、葉がコミットされたツリーに属することを示す。それは、関連するイベントがツリーの外に保持されなかったことを示さない。

一貫性証明は、一つのコミットされたツリーが構造の下で別のものを拡張することを示す。証人がチェックポイントを比較しない限り、第二の履歴を露呈することはできない。保有者レシートは、サービスが鍵の下で表現を受け入れたことを証明する。後の包含と一貫性は依然としてチェックされなければならない。暗号化は、鍵とエンドポイントが管理されている間のみ機密性を保護する。ハッシュ化は予測可能な個人情報を匿名にしない。

これらの制限はツールを弱くするものではない。それらは残りの負担を割り当てる。アイデンティティシステムは人々を役割に結びつけなければならない。ポリシーは権限を定義する。役割分離は共謀を制約する。完全なイベント調整は、関連する行為がログに入ったかどうかをテストする。証人は分岐を検出する。監査人は保護された証拠を検査する。審査者は手続きと実体が正当化されたかどうかを決定する。裁判所は法律を適用する。

公開仕様は、すべてのアーティファクトに対して「証明命題」を含むべきである。サービスによって受け入れられた、チェックポイントによって包含された、チェックポイント以来一貫している、役割によって署名された、組織によって証人された、またはアーカイブされた鍵素材の下で有効である。ユーザーインターフェースは、すべての緑の検証マークを「所有権確認済み」に変えるべきではない。

信頼は、機関がその暗号に可能以上のことを言わせることを拒むときに成長する。

長命の権利は短命の鍵よりも長生きする

番号資源紛争はイベントの数年後に発生する可能性がある。アルゴリズムは弱まり、証明書は失効し、署名装置は故障し、組織は合併し、鍵管理者は去る。今日の鍵だけのために設計された証明アーキテクチャは、古い履歴を決定不能にする可能性がある。

鍵のアイデンティティ、目的、アクティベーション、ローテーション、失効、破壊は、独自の公開履歴を必要とする。チェックポイントは正確な鍵とアルゴリズムを特定すべきである。計画されたローテーションは発表され、適切な場合にはクロス署名される。侵害された鍵は、限定されたインシデントイベント、証人されたチェックポイントの保存、文書化された再構築をトリガーする。それは、黙って新しい履歴を開始することを正当化すべきではない。

RFC 3161は、データが特定の時間より前に存在したことの証明をサポートするタイムスタンプトークンを記述している。RFC 4998は、アルゴリズムと証明書が変化するにつれて、長期間にわたり存在と完全性を保存することを意図した証拠記録と更新構造を定義している。これらの標準はレジストリポリシーや法的許容性を決定するものではない。それらは、長期の証明が古い署名への無期限の信仰ではなく、計画された更新を必要とすることを示している。

NRS は暗号の連続性カレンダーを定義すべきである。それはアルゴリズムの強度、タイムスタンプの信頼、証明書の状態、証人の可用性をレビューし、依存関係が信頼できなくなる前に証拠を更新し、古いコミットメントと新しいコミットメントの関係を公開するだろう。アーカイブは、過去のアーティファクトを検証するために必要なソフトウェア仕様とテストベクタを保持する。

管理は機関の失敗も生き延びなければならない。エスクローされたチェックポイント、公開鍵、仕様、暗号化された保護記録、アクセスルールのセットは、定義されたトリガーの下で後継者に移転可能であるべきである。後継者は、時代遅れのすべての個人フィールドを取得しないかもしれない。レシートを尊重し、現在の権限を解決し、追加専用シーケンスを継続するのに十分な制度的履歴を取得しなければならない。

したがって、薄い記録は耐久性があり得る。耐久性は、かつて提出されたすべてのものを永久にコピーして収集することからではなく、保存設計から生じる。

可用性と完全性は異なる方法で失敗すべきである

完全に不変であるが頻繁に到達不能な証明サービスは、運用上の依存を支えることができない。逆に、履歴を書き換えられる可用性の高いサービスは信頼できない。NRS は、可用性、完全性、新鮮さについて別個の目標とインシデント状態を公開すべきである。

現在の登録データは、冗長システムから提供され、署名付き状態から再現可能であるべきである。チェックポイントは複数のチャネルを通じて配信されるべきである。保有者レシートはオフラインで検証可能でなければならない。独立したミラーは、変更を承認する権限を得ることなく、公開状態と証明資料を提供できる。保護された証拠は、暗号化され、地理的および管理的に分離されたコピーと、テスト済みの復旧を必要とする。

復旧演習は、既知のチェックポイントから開始し、コミットされたイベントを再生して現在の状態を再構築すべきである。その後、運営者はイベント数、結果の状態、公開エントリ、保留中の紛争、保有者レシートを調整する。テーブルを復元するがイベントシーケンスを調整できないバックアップは、適切な継続性テストではない。

停止中、機関は通常の履歴の外で不可逆的な行為を即興で行うことを避けるべきである。緊急変更は、別途制約されたキューに入り、二重承認を使用し、レシートを受け取る。復旧時に、それらは通常の高リスク変更が再開される前に調整される。公開レポートは、受入、コミットメント、公開の間のギャップを特定する。

サービスメトリクスは、これらの状態を一般的な稼働時間に崩壊させるべきではない。現在のデータ可用性、証明の可用性、チェックポイントの遅延、コミットされていない受け入れ済みイベント、失敗した一貫性チェック、復旧テスト結果、保有者証明の発行までの時間を報告する。分母と観測ウィンドウが重要である。独立した監視者がチェックポイントを比較しなかった場合、「完全性インシデントゼロ」は無意味である。

継続性は、ミニマリスト設計が報われる場所である。コンパクトな状態と正確なイベントシーケンスは、文書化されていない可変レコードの塊よりも、エクスポート、検証、復旧が容易である。アーキテクチャは、どの事実が不可欠かを知っているため、回復力を持つようになる。

相互運用性が台帳がライバルの真実になるのを防ぐ

インターネット番号資源は、既に RFC 7020 によって記述された IANA、RIR、ローカルインターネットレジストリ、保有者の関係の中に存在する。NRS は、認知された登録の隣に第二の主張を置き、その対立を競争と呼ぶことによって運用上の正当性を生み出すことはできない。

すべての NRS レコードは、その権限クラスを特定すべきである。公開 RIR データの直接観察は派生した主張である。保有者から提出された文書は保有者の申し立てである。会員資格の検証は、会員資格に関する NRS の決定である。将来の委任レジストリ行為には、特定可能な法的および制度的根拠が必要となるだろう。公開インターフェースは、これらのカテゴリを一つの権威あるラベルに平坦化してはならない。

ポータブルなイベントとレシート形式は、資源を改名するのではなく、既存の識別子にマッピングすべきである。プレフィックス、ASN、組織ハンドル、ソースレジストリは、所有権を主張することなく表現できる。認知されたレコードが変更された場合、NRS の主張は証明されたイベントを通じて更新されるか、目に見えて古くなる。保有者が認知されたレコードに異議を唱える場合、NRS はその好ましい請求者を運用上の真実として提示することなく、異議と証拠を保存できる。

相互運用性には出口も必要である。保有者は、現在の主張、イベントレシート、役割履歴、保留中の異議を文書化された形式でエクスポートできるべきである。別のサービスは署名を検証し、自身の権限の下で継続できる。NRS は適合性テストを公開し、独立した実装を許可すべきである。プロプライエタリな証明クライアントは、暗号的保証をサプライヤー依存に変えるだろう。

NRO RIR Governance Document Version 2のテキストは、包括的な記録、透明性、緊急時の運用者に十分な継続性を強調している。このアーキテクチャを規定したり、NRS に役割を与えたりするものではない。それは、記録がコミュニティを一人の管理者に永久に縛り付けるのではなく、不可欠なサービスの移転を支えなければならないという原則を強化する。

シンレジャーは、認知された事実をよりポータブルで争いやすくするときに成功するのであり、競合する権限のルートを作り出すときではない。

監査人は管理策を称賛するのではなく、事例を再構築すべきである

監査報告書は、暗号化、アクセス制御、保持ポリシーを列挙しながら、中心的な問いを見逃すことがある。すなわち、部外者がなぜこのレコードが変更されたのかを再構築し、履歴が完全であることを証明できるか?

監査サンプルは、リスクイベントから始めるべきである。移転、不利な保留、訂正、復旧、緊急措置、鍵ローテーション、却下された異議を選択する。それぞれについて、公開状態から開始し、コミットされたイベントを導出する。保有者レシート、包含、一貫性を検証する。リクエスタを過去の役割まで追跡し、権限テストを検査し、検証者と承認者を特定し、実行が承認と一致したことを確認し、公開を調整し、後の変更をレビューする。

監査人はまた、不在をサンプリングすべきである。アプリケーション、サポート、認証、決定、データベースシステムをコミットされたシーケンスと比較する。イベントのない受け入れられたリクエスト、承認のない特権的変更、最大遅延後にコミットされたイベント、重複した識別子、シーケンスの欠落、孤立した証拠、ある証人には見られたが別の証人には見られなかったチェックポイントを探す。管理者が却下されたり失敗したリクエストを抑制できるかどうかをテストする。

プライバシー管理も同じ監査に属する。保持された各フィールドに目的と有効期限があるかどうか、証明リーフが個人的な事実を漏洩しているかどうか、監査人のアクセスがログ記録されているかどうか、古い役割バインディングが正確だが保護されたままであるかどうか、消去された資料が管理されていないバックアップに残っているかどうかを問う。強力な証拠管理は静かな監視アーカイブになるべきではない。

監査人の独立性は実際的である。誰が会社を任命し支払うのか?経営陣はサンプルを狭めることができるか?監査人はレジストリからだけでなく証人からチェックポイントを受け取っているか?所見と経営陣の回答は公開されているか?保有者は矛盾するレシートを直接報告できるか?ローテーションは精通を減らすかもしれないが専門知識を失う。ピアレビューと公開方法はどちらのリスクも相殺できる。

最終意見は命題特化型であるべきである。サンプリングされたイベントが包含され、役割が分離され、状態が再現可能であったと報告できる。限られたサンプルを、すべての登録が実質的に正しいという主張に変換すべきではない。

公開報告には正直な分母が必要である

信頼ダッシュボードは、その上のすべての数字が正確である一方で、誤解を招く可能性がある。「99 パーセント検証済み」は、読者が何が対象であったか、どのチェックがカウントされたか、どの期間が測定されたか、未解決のケースが分母から消えたかどうかを知らない限り、ほとんど意味をなさない。

台帳は、開始状態、受信、受け入れ、却下、保留中、コミット済み、公開済み、異議申立済み、訂正済み、逆転済みのイベントを報告すべきである。終了状態を調整すべきである。高リスククラスは定常的な連絡先更新から分離すべきである。チェックポイントの定時性は、すべての予定されたチェックポイントを使用すべきである。包含パフォーマンスは、期限が切れたすべての受け入れられたイベントを使用すべきである。異議の結果には、取り下げとまだ開いているケースを含めるべきである。

プライバシーは、集約、小セルの抑制、または遅延報告を必要とするかもしれない。これらの保護は明記されるべきであり、抑制されたクラスは保護された監査人の合計と依然として調整されるべきである。機関は、一人の指名された保有者が稀な不利な措置の唯一の対象であったことを明らかにすべきではない。また、分母を公開しない理由としてプライバシーを使用すべきではない。

証明の健全性は独自の系列に値する。証人のカバレッジ、試行され完了した一貫性チェック、無効な署名、鍵インシデント、証明リクエスト、再構築の成功、復旧テスト。曖昧化ゼロの主張は、それを裏付ける独立した比較を特定すべきである。完全な履歴の主張は、調整されたシステムと既知の除外を特定すべきである。

NRS の会員報告も同じ規律に従うべきである。申請、受け入れられた会員、却下された申請、一時停止、終了、控訴、逆転を、申請者の証拠を公開することなく述べることができる。個人会員、組織、検証済みの資源保有関係を区別すべきである。一人、一社、一つの委任ネットワークは、支援の互換可能な単位ではない。

規律は単純である。すべてのパーセンテージは、名詞、分母、期間、除外ルール、責任ある検証者を得る。

権利が変わらなければ、インセンティブは沈黙を好む

誰が完全な記録から利益を得るかを問うことなく技術を評価することはできない。保有者はレジストリが誤ったときに証明を求めるが、自身の権限が弱いときは曖昧さを好むかもしれない。スタッフは迅速な解決を望み、詳細なイベント捕捉を管理上の摩擦と見なすかもしれない。経営陣はきれいなインシデント数値を望む。監査人は検査する機関から報酬を受け取る。証人は静かなサービスを無視するかもしれない。攻撃者は不正な変更か証拠の破壊のいずれかを望む。

設計は、異常な美徳を期待するのではなく、インセンティブを整合させるべきである。自動レシートは保有者にチェックポイントを保持する理由を与える。公開包含期限はコミットされていないイベントを可視化する。追加専用の訂正は、厄介な履歴をきれいにしようとする誘惑を減らす。独立した証人は抑制に共謀を必要とする。レビュワーの権限は証明に運用上の結果を与える。理事会への報告は、繰り返される例外を技術スタッフ内に封じ込めるのを難しくする。

コストも配分が必要である。中核的な登録料は、もしあるなら、イベント捕捉、証明、レシート、訂正、審査、継続性を含むべきである。機関自身の行為の証拠を得るためだけに保有者に高額の料金を請求することは、説明責任を弱めるだろう。オプションの強化されたアイデンティティサービスは分離できるが、支払いがより低い証拠基準やより速い実質的な控訴を購入してはならない。

監査人の調達は、きれいな意見ではなく、検出と再構築に報いるべきである。契約は、方法の公開、外部証人データへのアクセス、以前の所見のフォローアップを要求できる。証人は、アラート量から独立した控えめな固定支援を受け取ることができる。有効な不整合証拠に対する報奨金は、開示ルールが進行中のインシデントを保護するならば、助けになるかもしれない。

機関はまた、インセンティブが設計を打ち負かした場所を公開すべきである。スタッフが期限に間に合わせるために緊急経路を使用した場合、保有者が副署を拒否した場合、または証人が三ヶ月間チェックを停止した場合、例外を記録し是正する。信頼は、圧力が消えたと主張することからではなく、予測可能な圧力に対する目に見える抵抗から生じる。

ミニマリズムは悪用に対してテストされるべきである

シンレジャーは、「最小限」が弱い認証や容易な匿名性になった場合、攻撃の機会を生み出す。なりすましは疎なアイデンティティフィールドを悪用するかもしれない。内部関係者は捏造された証拠のためにもっともらしいイベント記録を作成するかもしれない。観察者は証明のタイミングから商業取引を推測するかもしれない。悪意のある保有者は移転を遅らせるために異議を殺到させるかもしれない。レジストリはすべてのイベントを正しくコミットしながら、シーケンスから完全なシャドウチャネルを除外するかもしれない。

答えは可能なすべてのフィールドを収集することではない。名前付きの脅威に対してアーキテクチャをテストすることである。強力な認証と過去の役割バインディングはなりすましに対処する。二重承認、証拠ダイジェスト、独立審査はインサイダーに対処する。バッチングと限定的な公開メタデータはタイミング漏洩を減らす。レート制御と重要性テストは、緊急の審査を保存しながら虐待的な異議に対処する。システム間の調整はシャドウチャネルを露呈する。

共謀は依然として可能である。リクエスタ、検証者、承認者は共謀できる。証人は失敗できる。鍵管理者は侵害され得る。設計はコストを上げ、より多くの証拠を残す。それは制度的信頼を不要にすることはできない。ガバナンスは依然として任命、利益相反ルール、制裁、外部管轄権を決定する。

誤った自信も別の脅威である。ユーザーは検証された包含証明を所有権の証明として、または現在の NRS 会員資格の主張をルーティングの権限として扱うかもしれない。インターフェースは命題、権限ソース、有効期限を述べるべきである。高価値の取引相手は、取引に適した法的文書と基礎となる登録関係を検査すべきである。

データ最小化自体が政治的に攻撃される可能性がある。機関は、「将来の紛争」の広範な文言の下でプライベートデータを保持したり、プライバシースローガンの下で係争中の申し立てに必要な証拠を消去したりするかもしれない。目的スケジュール、法的保留、独立審査、公開保持クラスが防御である。保有者は、どの証拠が存在し、なぜそれが残っているのか、いつ削除または保存が再検討されるのかを知るべきである。

ミニマリストシステムは、その脅威モデルが公開記録よりも豊かである場合にのみ信頼できる。

段階的な NRS のデモンストレーションは可逆的であり得る

最も説得力のある将来のプログラムは、NRS が既に管理している主張から始め、独立したテストの後にのみ拡大するだろう。初日からインターネットに新しい権威あるサービスを信頼するよう求める必要はない。

第一段階は会員イベントをカバーできる。最小限の会員資格の主張、イベント語彙、標準形式、鍵履歴、チェックポイントを公開する。申請者に提出、受入、却下、一時停止、終了のレシートを与える。目的と保持クラスを備えた保護された証拠ストアを作成する。独立した証人とレビュワーを任命する。集計された調整と例外を公開する。

第二段階は、認知されたレジストリデータにリンクされた自発的な保有者の認証を追加できる。認証は、保有者が何を主張するか、どの公開記録が参照されたか、いつ主張が失効するかを正確に述べる。それは認知された記録を上書きしない。保有者はポータブルな証明を受け取る。監査人は権限テストをサンプリングする。公衆は出所と陳腐化を見る。

第三段階は、参加する保有者と特定された権限を持つ、閉じた非本番環境で委任サービスをテストできる。演習は移転、紛争、訂正、鍵侵害、証人障害、復旧、後継者へのエクスポートをカバーする。結果は、普遍的な準備完了の宣言ではなく、失敗したテストと変更された前提を公開すべきである。

いかなる権威ある拡大も、法的根拠、認識、資源範囲、責任、サービスレベル、相互運用性、資金調達、控訴、出口を特定する別個の決定を必要とする。証明アーキテクチャはその決定をサポートできるが、権限自体を生み出すことはできない。取引相手がサービスを認識しない場合、台帳はよく証明された主張システムにとどまる。

可逆性は成功基準である。NRS は、古いレシートが検証可能なままで、新しい主張の発行を停止できるか?別の運営者が状態を復元できるか?会員が証拠を失うことなく退会できるか?エラーが履歴を消去することなく訂正できるか?証人が信頼をリセットすることなく交換できるか?不利な監査の後に機関が範囲を狭めることができるか?

自らの会員資格から始めることで、NRS の肯定的な事例は具体的になり、希少資源がそれに依存する前にガバナンスの弱点を露呈するだろう。

理事会は証明を統治すべきであり、運用すべきではない

理事会は個別の移転を承認したり、署名鍵を取り扱ったりすべきではない。証拠的憲法を設定し、経営陣がそれを尊重しているかどうかを明らかにする指標を受け取るべきである。

憲法は、最小限の公開記録、保護された証拠クラス、イベント語彙、役割分離、高リスク承認閾値、チェックポイント頻度、証人基準、保有者の権利、審査権限、保持、訂正、鍵の継続性、後継者トリガーを定義する。重要な変更は通知、理由、移行計画を受ける。理事会は決議によって影響を受ける保有者のアクセスを放棄したり、チェックポイントを書き換えたりすることはできない。

四半期報告は、未調整のイベント、逃したコミットメント、緊急措置、役割の衝突、開かれた異議、逆転、訂正原因、証人のギャップ、鍵インシデント、失敗した復旧テスト、期限切れの改善を示すべきである。傾向は単一のグリーンスコアよりも重要である。理事会は、なぜ例外が一つのイベントタイプ、人物、商業的関係の周りに集中するのかを問うべきである。

監査委員会は、再構築テストを委託し、経営陣の同席なしに保有者や証人と会うことができる。プライバシー機能はフィールドの必要性と開示をレビューする。技術委員会は暗号の継続性をレビューする。これらの機能間の独立性は、一つの専門家の語彙が他を圧倒するリスクを減らす。

会員は、プライベートなケースにアクセスすることなく、憲法を改正し理事会の失敗に異議を唱える経路を必要とする。証明や審査の権利を弱めるには、超多数の保護が適切かもしれない。緊急改正は失効すべきである。資金調達の取り決めは、主要な寄付者が唯一の証人や監査人を任命することを許すべきではない。

理事会の中心的義務は、証明が装飾になるのを防ぐことである。不足している証拠を運用上の限界に、レビュー所見を訂正に、継続性の失敗を投資や承継に結びつけなければならない。イベントの決定は説明責任のある役割に任せながら、結果を統治する。

より良い台帳は、自らが知らないことを正確に知っている

すべての RIR の保護されたイベントフィールド、役割バインディング、保持、鍵管理、特権経路、外部証人、保有者の証拠権の公開された比較可能な一覧は存在しない。NRS は、既存のすべてのレジストリがそのような管理を欠いていると主張することによって、自らの議論を構築すべきではない。公開 WHOIS、RDAP、履歴サービス、ガバナンス文書は、内部の証拠システムの一部しか明らかにしない。

提案されたアーキテクチャは、法的所有権のグローバルな事実を確立することもできない。番号資源関係は、ポリシー、契約、歴史的割り当て、企業承継、現地法から生じる。台帳は認知された関係を記録し、決定を保存することができる。署名を通じてすべての管轄区域の財産法理を解決することはできない。

いくつかのイベントは不確実なままであるだろう。侵害された資格情報は、申し分のない技術的証拠を残すが、人間の帰属が曖昧なままであるかもしれない。解散した企業は不完全な承継文書を持つかもしれない。証人の停止は、チェックポイントを遅らせるが偽造しないかもしれない。記録は、技術的な完全性を実質的な確実性に変換するのではなく、確信度と未解決の命題を表現すべきである。

コストは、機関やイベント量にわたってまだ知られていない。コンパクトなコミットメントのストレージは安価である。セキュアなアイデンティティ、レビュー、鍵管理、プライバシーエンジニアリング、長期証拠はそうではない。パイロットは、普遍的な低料金を約束するのではなく、単位コストと故障率を公開すべきである。

これらの制限は議論を鋭くする。シンレジャーは確実性を生み出す機械ではない。不確実性を見つける方法である。どの事実が主張されたか、どの権威が受け入れられたか、どの職員が決定したか、どの証明が存続するか、どのプライベートな証拠が検査できるか、どの疑問が未解決のままか、どの救済が利用可能かを示す。

それは、ユーザーについてより多くを知っているが、自らについてはより少なくしか証明できない機関よりも、より豊かな形の信頼である。

より少なく収集し、より多く拘束し、オープンに修復する

簿記係の比喩は、しばしば組織の野心を縮小するために使用される。そのより強い使い方は、組織の規律を拡大することである。簿記係はすべての保有者の伝記を必要としない。正確な勘定、変更を投稿する管理された権限、バランスの取れた履歴、独立した検査、そして決してエラーが起こらなかったふりをしない訂正を必要とする。

NRS はその規律を肯定的なプログラムに変えることができる。最小限の登録命題を定義する。公開状態を保護された証拠から分離する。重要な行為をモデル化する。人々を役割に結びつける。リクエスト、検証、承認、実行、署名、監査を分割する。すべての保有者にポータブルなレシートを与える。外部から証人されたコミットメントを公開する。暗号的妥当性を保存する。すべてのイベントクラスを調整する。レビューと修復を提供する。

結果は、普遍的なアイデンティティリポジトリよりも薄く、可変の登録テーブルよりも豊かになるだろう。より少ないプライベートな事実を開示しながら、より多くの公的保証を生み出すだろう。腐敗を隠すのをより難しくし、間違いを見つけるのをより容易にし、承継を一人の管理者の善意に依存しないものにするだろう。

これらのいずれも、NRS が自らを権威あると宣言することを許さない。権威は依然として、認識、合意、運用能力、合法的な範囲を必要とする。しかし、自発的な機関は、自らの主張を検証可能にし、自らの裁量を控訴可能にすることによって先導できる。保有者、監査人、既存のレジストリがその設計が有用であると感じれば、採用は実証された抑制から成長し得る。

したがって、最小限の登録と監査可能性は対立する価値ではない。それらは、機関が証拠を蓄積と混同するときにのみ衝突する。信頼できる台帳は、人々については倹約的であり、権力については贅沢である。誰がそれを行使したか、どのルールの下で、どの証拠に基づいて、誰の承認を得て、いつ、どの状態を生み出し、誰によって証人され、どのように修復可能か。

それが豊かな証明が意味すべきことである。

Sources