サマリー
- AFRINIC から NRS への移行は、すべての番号リソースに対して単一の権威ある状態を維持しなければならない。オペレーターの選択がレジストリサービスを提供する者を決定すべきであり、競合する管轄者が同じアドレス空間や ASN に対して互換性のない主張を公開することを許してはならない。
- 移行の単位は WHOIS や RDAP の行ではない。ホルダーの権限、リソースの状態、連絡先、移転履歴、保留中のリクエスト、紛争、裁判所の制限、リバース DNS の状態、ルーティングセキュリティの状態、認証情報、変更履歴、そして各結論を再現するために必要な証拠を含む、署名された継続性エンベロープである。
- 移行は、準備、保護された複製、独立した調整、任意のデュアルランニング、限定的なサービス切り替え、監査付き拡張、そしてその後にのみ認識された長期的な継承を経て進行すべきある。公開されたアクティベーションイベントが別段の定めをするまで、既存のライブ状態は権威あるものとして残る。
- Number Resource Society は、オペレーター中心で帳簿管理に限定された方向性として有用であるが、その公開憲章は、稼働レジストリ、認識合意、可搬性データ標準、または独立した救済システムがすでに存在することを証明するものではない。肯定的なケースは、それらの制約を構築しテストすることにかかっている。
- 成功は継続性と可逆性によって測定される。重複した権限、失われた紛争、説明不能の記録変更、回避可能な RPKI やリバース DNS の中断、オペレーターが履歴を再構築する必要性があってはならず、戻るか再び移動するための明確な経路がなければならない。
レジストリの失敗は真実をフォークする許可ではない
AFRINIC の危機は、難しい制度的命題をより見えやすくした。地域レジストリは、企業統治が損なわれ、リーダーシップが争われ、財政が圧迫され、権限が法廷で試されている間でも、記録へのサービスの提供を継続できる。技術的な継続性と制度的正当性は長期間乖離する可能性がある。
その観察は誘惑を生み出す。もし制度が問題なら、別のレジストリを構築し、記録をコピーし、オペレーターに脱退を呼びかけよ。この提案は通常のベンダー競争のように聞こえる。しかしそうではない。2つの顧客データベースは共存できる。しかし、2つのサービスが同じリソース状態に対する最終的な権限を、どの当事者を信頼すべきかのルールなしに安全に主張することはできない。
IPv4 プレフィックス、IPv6 割り当て、ASN は多くのシステムに現れる可能性があるが、公開レジストリ層は互換性のないホルダー、連絡先、移転、委任の回答を生成してはならない。リバース DNS は一貫した委任を必要とする。ルーティングセキュリティ証明書とルート起点認証は認識可能なトラストチェーンに依存する。RIR 間移転は1つの完了状態を必要とする。IANA のトップレベルレジストリは RIR を通じて管理されるブロックを識別する。2つの真実を作り出す移行は、制度改革を技術的不確実性に変えるだろう。
したがって、NRS の肯定的なケースは自制から始まる。Number Resource Society は、記録がオペレーターの参加により、既存機関の政治的な失敗により、または新しいデータベースがその保守管理者の意見でより正確であるという理由で、権威あるものになると主張すべきではない。証拠、サービス、認識が検証可能な切り替えの下で一緒に移動する経路を定義すべきである。
これは継続性のアーキテクチャであり、独立宣言ではない。AFRINIC の失敗を、一意性をオプションにすることを拒否しながらレジストリ機能を可搬性にする理由として扱う。
サービスは企業から分離されなければならない
概念的な動きは、レジストリ機能を企業プロバイダーから区別することである。AFRINIC Ltd は、メンバー、取締役、従業員、契約、資産、負債、訴訟を有するモーリシャスの企業である。レジストリ機能は、正確な番号リソース記録の維持、認可された変更の認証、登録データの公開、リバース DNS のサポート、ルーティングセキュリティサービスの運用、移転の記録、有効なリクエストの処理、証拠の保存のための一連のサービスと義務である。
企業は現在、アフリカサービス地域で機能を提供している。その歴史と認識は重要である。それらは機能を法人から物理的に切り離せないものにするわけではない。他のレジストリ移行では、データ、責任、サービスの移動が必要とされてきた。AFRINIC 自体の2005年の IANA 認識資料は、先行する RIR 取り決めからの移行を説明し、AFRINIC の記録、スタッフ、サービスを維持する能力を検討した。AFRINIC への認識された移行の存在は、条件が定義されればレジストリ管理が移動できることの証拠である。
分離は、AFRINIC が能力と認識を維持している間にその権限を剥奪することを意味しない。3つの異なる状態に備えることを意味する。最初の状態では、AFRINIC は正常に運営され、NRS は競合する権威を公開せずに独立した継続性保証を提供する。2番目の状態では、AFRINIC が法的レジストリのままであり、適格な NRS 管轄者が有効な委任の下で特定のサービスを代理人または代替として提供する。3番目の状態では、認識された継承が永続的な責任を別の取り決めに移す。
これらの状態は異なるトリガーと手段を必要とする。任意のオペレーターの準備は緊急アクティベーションではない。技術支援は契約移転ではない。後継者の認識はデータのコピーと同じではない。秩序だった設計は、政治的な言葉がそれを曖昧にするのを防ぐために状態に名前を付ける。
結果はより小さくしかしより強力な主張となる。レジストリサービスはレジストリ企業を生き残るべきであり、サービスの移転は主権の移転よりも狭いものであるべきである。
NRS は方向性であり、まだ生産の事実ではない
公開 NRS 憲章は、番号リソース団体は正確な帳簿管理者として行動し、私法制度の限界を尊重し、オペレーターへの不必要な干渉を避け、透明性、説明責任、制約のないインターネットを支援すべきであると主張する。これは継続性にとって有用な方向性である。記録とオペレーターを制度的威信の上に置くからである。
憲章だけでは、機能する後継レジストリを確立しない。AFRINIC との権威あるデータ合意、IANA 認識、生産 RPKI 鍵式典、リバース DNS 委任、テスト済み移転プロトコル、認定管轄者、データ保護役割、独立した裁判所、または危機時に運営するのに十分な資金を示していない。可搬性の擁護は、可搬性が設計されたことを証明するものではない。
この制限は積極的に述べられるべきである。NRS は、認識を広範な委任として扱う RIR の習慣を継承するのではなく、検証可能な制約からその正当性を構築する機会を持つ。その最初の貴重な製品は、競合する記録ではなく、オペレーター、既存レジストリ、裁判所、監査人、依拠当事者が検査できる継続性標準であるべきである。
その標準は、NRS にも AFRINIC と同じくらい厳格に適用されるべきである。NRS 管轄者は、メンバーに共感するからといってホルダーを変更することはできない。既存機関が不人気だからといって紛争を隠すことはできない。委任が失効した後も記録を保持することはできない。アドボカシーのメンバーシップとレジストリ権限を統合することはできない。交換可能でなければならない。
これにより、移行があるゲートキーパーを別のゲートキーパーに置き換えるキャンペーンになることを回避できる。NRS は、自らの管轄権を含め、管轄権を可搬性、境界設定、可逆的にすることで役割を獲得する。
継続性エンベロープが移行の単位である
データベースダンプだけでは十分ではない。公開登録データはリソース、組織、連絡先を示すことができるが、それらのフィールドを権威あるものにした証拠を省略する。可視行のみを受け取る後継者は、現在の回答を知るかもしれないが、なぜそれが回答か、それが争われているか、どの保留中の行為がそれを変更できるかを知らない。
移行単位は、各リソース関係に対する継続性エンベロープであるべきである。少なくとも以下を含むべきである:
- リソース範囲または ASN とそのレジストリステータス;
- 法的または運用上のホルダーの安定した識別子;
- 現在の権限を確立する証拠と決定;
- 検証日付と共に現在の管理、技術、虐待連絡先;
- 関連する場合の契約、メンバーシップ、サービスステータス;
- 割り当て、割り当て、移転、合併、名称変更履歴;
- 保留中のリクエスト、保留、調査、レビュー期限;
- 裁判所命令、契約上の制約、紛争メタデータ;
- リバース DNS 委任状態と変更権限;
- RPKI アカウント、証明書、公開、経路認証状態;
- 保護された形式での認証情報、復旧方法、特権アクセス履歴;
- 現在のアクセスに影響を与える請求書、クレジット、サービス支払い事実;
- 検証済みスナップショット後のすべての重要な変更;
- ソース、検証者、時刻を識別する署名または証明。
すべての受信者がすべての文書を見るべきではない。身分証明書、契約書、法的資料はアクセスを制限される場合がある。可搬性とは、受入管轄者が証拠が存在すること、誰がそれを確認したか、どの結論を支持するか、そして異議申し立てがあった場合に対象となる開示をどのように入手するかを検証できることを意味する。メンバーの機密ファイルを公開することを意味しない。
エンベロープは移行を証拠行為にする。フィールドが再現できない場合、黙って受け入れられるのではなく、不確実としてマークされる。2つのソースが矛盾する場合、両方が紛争と共に移動する。公開行が間違っている場合、説明不能なエクスポート前のクリーンアップではなく、記録された決定を通じて修正が行われる。
移行には1つの状態機械が必要
すべてのエンベロープは定義された移行状態を占めるべきである。コピーされた、または移動されたのような単純なラベルは曖昧すぎる。以下の状態シーケンスがより防御可能である:
| 状態 | 権限と許可されたアクション |
|---|---|
| ソース権威 | AFRINIC が唯一の権限であり続ける;NRS は保護された複製を検証できるが、変更を最終として公開できない。 |
| 調整保留中 | 複製が存在し、差異が分類され、破壊的変更は強化されたログの対象となる。 |
| デュアルランニング、ソース最終 | 両方のシステムがテストまたはミラーリングされた操作を処理する;AFRINIC の署名済み状態が最終のままである。 |
| 限定 NRS サービス | NRS は有効な委任の下で名前付き機能を実行するが、権利を変更する行為は AFRINIC または独立した意思決定者に残る。 |
| 選択された機能に対して NRS 権威 | 公開されたアクティベーションが特定のサービスに対する最終性を割り当て、1つの変更チャネルと1つの監査ログがある。 |
| 完全な認識された継承 | 権限、契約、データ、外部認識が採用された手段の下で移動した。 |
| 戻るかさらに移動 | すべての変更が調整され、次の管轄者が完全なエンベロープを受け取る。 |
状態は機関だけでなくリソース関係に属する。異なる機能は異なる時期に移動する可能性がある。公開ルックアップは、争われた移転決定が移動する前に検証済み複製から提供される可能性がある。新しい委任が受け入れられる前に既存のリバース DNS データが維持される可能性がある。ルーチンの連絡先修正は、リソースホルダーの紛争の前に移動する可能性がある。
状態機械は、政治的な発表が技術的権限を追い越すのを防ぐ。プレスリリースはエンベロープを移動できない。選挙はそれを戻せない。裁判所命令はその範囲内でのみ状態と機能に影響を与える。依拠当事者は、特定の時点でどのサービスが権威あるかを判断できる。
最も重要なことは、未定義の二重権威段階が決してないことである。デュアルランニングは比較と復元力のために許可されるが、最終性は単一のままである。
準備はアクティベーションに先行する
最初のフェーズは、AFRINIC サービスが利用可能な間に運用されるべきである。崩壊を待つことは、公開記録とオペレーターのプライベートアーカイブからの急遽の再構築を強いるだろう。準備は通常の義務であり、敵対行為ではないべきである。
AFRINIC、NRS、独立した管轄者は、エンベロープスキーマを定義し、保護されたエクスポートを生成し、公開権限を変更せずに復元をテストできる。オペレーターは自身の状態の署名付きステートメントと、矛盾を報告する経路を受け取る。サンプル復元は、第2の環境が記録、認証情報、リバース DNS、保留中のケースメタデータを再現できるかテストする。
準備はまた制度的資料を必要とする:権限スケジュール、ベンダー依存関係、ドメインコントロール、証明書在庫、銀行と支払いの継続性、スタッフの役割、連絡先ツリー、インシデント手順、一時的なサービスに必要な法的手段。技術的に完全な複製でも、それをアクティベートする権限や運営する人に支払う者がいなければ使用できない可能性がある。
AFRINIC に関する ICANN の2025年の書簡は、公開および非公開のレジストリ記録の保存とバックアップを強調した。その懸念は最低限を特定するが、完全な設計ではない。バックアップは最新で、復元可能で、解釈可能で、権限にリンクされていなければならない。復元できるが合法的なホルダー更新をサポートできないファイルは、ストレージであり継続性ではない。
準備テストは、日付、範囲、復旧目標、未解決のギャップ、独立した結論を公開するべきである。セキュリティの詳細と個人データは保護されたままである。公開証拠は、攻撃方法を明かさずに能力が存在することを示すのに十分であるべきである。
このフェーズは、移行が発生しなくても AFRINIC に利益をもたらす。より良いエクスポート、よりクリーンな権限記録、テスト済み復旧は現在のリスクを低減する。継続性オプションは、競合する前に既存機関を改善するべきである。
調整は不快な事実を保存しなければならない
移行プログラムはしばしばクリーンなターゲットを報酬とする。チームは、受入システムが整然と見えるように、カットオーバー前に重複名、欠落文書、古い連絡先を解決する誘惑に駆られる。これは証拠を破壊する可能性がある。
AFRINIC の履歴記録には、先行する取り決めから継承されたリソース、後の割り当て、移転、メンバーシップ変更、企業継承、争われた事項が含まれている。一部のファイルは完全かもしれないが、他のファイルは古いフォーマット、スタッフの知識、外部文書に依存している可能性がある。調整は、1つの信頼レベルを強制するのではなく、これらの差異を分類すべきである。
有用な分類には少なくとも5つの状態がある。検証済みは証拠と現在の状態が一致することを意味する。過去のギャップがある検証済みは現在の権限が強いが、以前のチェーンの一部が不完全であることを意味する。争われているは別の当事者が文書化された競合する主張または進行中のレビューを持っていることを意味する。制限されているは合法的な命令が名前付き変更を防ぐことを意味する。証拠保留中は現在の結論がまだ独立して再現できないことを意味する。
各クラスには継続性の扱いがある。検証済み記録は通常の移行を進めることができる。歴史的ギャップは警告と共に移動するが、必ずしもサービスを停止しない。争われた記録は最後の検証済み状態を保存し、独立したレビューに移る。制限された記録は正確な制約を受入管轄者に伝える。保留中のファイルは、権利を変更する変更を待つ間、ルーチンの非破壊的サービスを受けることができる。
調整レビューアは、ソース決定を行った人物や顧客ベースを拡大しようとする受入プロバイダーであってはならない。オペレーターは自身の結果と修正ウィンドウを受け取らなければならない。集計レポートは、分母、例外クラス、修正率、未解決ケースを示すべきである。
成功した移行は魔法のようにクリーンな過去を生成しない。それは、不確実性が明示的で黙って利用できないターゲットを生成する。
オペレーターの選択には調整が必要であり、一方的な脱出ではない
NRS 継続性は、オペレーターに意味のあるレジストリサービスの選択肢を与えるべきである。選択肢は、貧弱なサービスが同じ拘束力を運ばなくなるため、既存機関を規律する。しかし、選択肢は重複権限を防ぐために調整されなければならない。
オペレーターは、権限を認証し、適格な管轄者を選択し、共通の継続性条件を受け入れることにより、サービスポートを要求できるはずである。ソース管轄者は通知を受け取り、定義された異議を提起できる:身元の不確実性、競合する主張、裁判所の制限、不完全な証拠、セキュリティ侵害。競争やオペレーターのビジネスモデルが嫌いだからといってポートを拒否することはできない。
重要な異議が存在しない場合、管轄者はカットオーバー時間に合意し、関連する変更チャネルを一時的に凍結し、エンベロープを調整し、認証情報をローテーションし、権威あるプロバイダー状態を公開し、サービスを再開する。ソースは関係に対して読み取り専用になるか、リクエストを転送する。ターゲットは完全な状態とすべての警告を認識する。
異議が存在する場合、オペレーターはすべてのサービスを失うべきではない。記録は中立的な保管に移されるか、最後の検証済み状態に留まり、独立したレビューアが争点を決定する。影響を受けない機能は継続する。支払いに関する紛争は、例えば、自動的にホルダー身元や経路認証に関する紛争になるべきではない。
権利は調整されたポートへの権利であり、新しい真実を自己宣言する権利ではない。オペレーターは共通の認証、証拠保存、紛争運搬、法的制約を受け入れる。プロバイダーはエクスポート、監査、非報復、そして交換された場合に去る義務を受け入れる。
この相互主義は、可搬性をレトリックからインフラに変える。
デュアルランニングは決定を比較すべきであり、2つの回答を公開すべきでない
NRS が任意の運用機能に対して権威あるものになる前に、デュアルランニング期間が両方の環境が同じケースをどのように解釈するかを比較するべきである。ソースは最終のままである。ターゲットは保護されたコピーを処理し、生成したであろう結果を記録する。
ルーチンケースは意味的互換性をテストする:連絡先更新、法人名変更、新しい認証要素、リバース DNS リクエスト、RPKI 変更、移転ステータス。履歴ケースは、ターゲットが現在の状態がなぜ存在するかを再構築できるかテストする。不利なケースは、争われた権限、緊急セキュリティ保護、曖昧な裁判所の文言、不完全な記録をテストする。
差異は分類されるべきである。ソフトウェアの違いはマッピングを必要とするかもしれない。ポリシーの違いは、ターゲットが一時的なサービス中に AFRINIC の既存ルールを適用することを必要とするかもしれない。証拠の違いは、ソースの結論が再現できないことを明らかにするかもしれない。法的な違いは特定の手段を必要とするかもしれない。どれも、黙ってターゲットを望ましいように振る舞わせることで解決されるべきではない。
デュアルランニングはまた運用パフォーマンスを測定する:イベント順序付け、更新レイテンシ、認証成功率、ログ完全性、通知配信、障害後の復元。最終データベースをコピーするが保留中のリクエストや通知履歴を失うターゲットは互換性がない。
比較期間は終了条件を持つべきである。NRS は単に十分な期間ミラーを実行することで権限を得るわけではない。独立監査人が定義された能力を証明し、権限のある当事者が名前付き機能が移動できるかを決定する。重要な差異は集約レベルで公開されたままである。
デュアルランニングは高価だが、オペレーターがリスクを負う前に証拠を購入する。それは一夜のフォークの反対である。
RDAP と WHOIS は可視表面であり、レジストリ全体ではない
公開ルックアップサービスは複製が最も簡単な機能である。RIR データはすでに WHOIS と RDAP を通じて照会されており、公開記録は復元力のためにミラーリングできる。これにより、応答が明確に権限と鮮度を識別する限り、これらは合理的な初期の NRS サービスとなる。
複製は、ソースシリアル、スナップショット時間、権威ある管轄者、遅延を公開するべきである。NRS が単にコピーしただけであるのに、すべての公開フィールドを独立して検証したと暗示してはならない。後の段階では、応答は機密の主張を公開せずにアクティブなプロバイダーと境界設定された紛争ステータスを示すべきである。
課題は更新権限である。公開ルックアップはいずれかのエンドポイントから読み取られる可能性があるが、最終的な変更を受け入れるチャネルは1つだけである。NRS が修正を受け入れ始めた場合、エンベロープは誰がリクエストを認証したか、どの証拠がチェックされたか、AFRINIC が機能を承認または委任したか、いつ公開状態が最終になったかを示さなければならない。
可用性はまた独立した測定を必要とする。DNS 解決、HTTPS、RDAP 応答、WHOIS 応答、データ鮮度、一貫性は複数のネットワークからテストされるべきである。プロバイダーは自身のモニターがサービスを見ているという理由だけで継続性を主張できない。
公開ルックアップは、移行に観察可能なエッジを与えるため価値がある。オペレーターと依拠当事者は応答を比較し、古い状態や分割状態を特定できる。しかし、権限は回答の背後にあるため不十分である。
NRS は、可視性と権限を混同することを拒否しながら、透明性を証明するために早期ルックアップサービスを使用すべきである。
リバース DNS は委任式典を必要とする
リバース DNS はしばしば二次的なレジストリサービスとして扱われるが、オペレーターはメール、ロギング、セキュリティコントロール、トラブルシューティング、顧客システムのためにそれに依存している。その継続性はコピーされたデータベースから推測できない。
移行は、親委任、権威あるネームサーバー、該当する場合の DNSSEC 状態、ゾーン生成システム、アカウント権限、保留中の変更、緊急ロールバックを特定しなければならない。受入プロバイダーはまずシャドウで同一のゾーンを提供し、一貫した回答を証明すべきである。委任変更は、キャッシュとリゾルバーが回避可能なギャップに遭遇しないように、計画されたオーバーラップを使用するべきである。
限定サービスの間、NRS は既存の委任を維持し、影響の大きい変更は AFRINIC または独立した権限に残る。後で、ルーチン更新は二重承認の下で移動できる。争われた変更がリバースゾーン全体を消失させるべきではない。セキュリティ証拠が狭い保護を必要としない限り、最後の検証済み委任が残る。
すべてのカットオーバーは、変更前と変更後のゾーン状態、署名、親更新、伝搬観測、ロールバック権限を記録すべきである。オペレーターは通知とテストウィンドウを受け取るべきである。外部モニターは地域内外での継続性を検証すべきである。
式典が重要なのは、リバース DNS が法的権限がどのように稼働システムに到達するかを示すからである。リソースを保存する命令は、その委任を凍結することを必要とする場合もあれば、必要としない場合もある。移転は調整された移動を必要とする場合がある。レジストリサービスの変更は、プロバイダーが変わったからといってオペレーターの選択した DNS 取り決めを変更すべきではない。
NRS は、管轄者が交換可能になりながら名前が解決し続けるときに、その帳簿管理の規律を証明する。
RPKI は安全に移行するのが最も難しいサービスである
ルーティングセキュリティインフラは、移行を特に敏感にする。NRO の比較サービス概要は、AFRINIC がホステッド RPKI を提供しているが、委任サービスはいくつかのピアレジストリと同じ方法では利用できなかったことを示している。これは、影響を受ける多くのオペレーターが、より独立して移動できる委任された認証局を制御するのではなく、レジストリが運用する証明書および公開機能に直接依存していることを意味する。
移行は、証明書の有効性、経路起点認証、公開の可用性、アカウント権限、依拠当事者の受け入れを維持しなければならない。2つの互換性のない証明書チェーンを回避し、有効なルートを無効にするブレイクビフォアメークイベントを回避しなければならない。鍵の保管、アクティベーション権限、失効権限は、複数の独立した参加者による正式な式典を必要とする。
最初のフェーズは、新しいオブジェクトを発行せずにリポジトリと検証状態を複製すべきである。第2のフェーズは、ターゲットが隔離された環境で署名されたソース状態から公開を再作成できることを証明すべきである。第3のフェーズは、正確なカットオーバー時間とロールバックを伴い、依拠当事者に認識されるメイクビフォアブレークパスを確立すべきである。既存の経路認証は、ホルダーが変更を要求するか、別の証明されたセキュリティ理由が行動を必要としない限り、持続すべきである。
NRS は、プロバイダーの置換がオペレーターが自身の署名機能をより多く制御する場合により簡単であるため、委任可能または可搬性 RPKI を長期設計目標とすべきである。委任は依然として認識された親と健全な公開を必要とするため、ガバナンスを排除しない。プロバイダー障害時に再構築しなければならないオペレーターの決定数を減らす。
RPKI はまた救済の分離を必要とする。メンバーシップ、請求、ポリシーの紛争は、自動的にルーティングセキュリティ状態を取り消すべきではない。セキュリティ侵害は即時保護行動を正当化するかもしれないが、証拠を保存し、オペレーターに通知し、迅速な独立したレビューを受けるべきである。
証明書と失効チェーンを説明できない移行は、公開データベースがどれほど完全に見えても、準備ができていない。
移転と新規割り当ては後で移動すべきである
既存状態の継続性は、新しい権利の作成や恒久的な変更の認識よりも安全である。したがって、NRS はルックアップ、認証サポート、非破壊的メンテナンスを、移転、争われた継承、新規割り当ての前に移動すべきである。
移転は、レジストリが認識しなければならない関係を変更する。売り手の権限、買い手の権限、リソース、該当する条件が検証されることを必要とし、保留中の紛争と裁判所の制限が移動しなければならず、2つの管轄者は古い状態が終了し新しい状態が始まる時期に同意しなければならない。RIR 間移転は別のレジストリとポリシーインターフェースを追加する。
デュアルランニング中、AFRINIC は移転に対して最終であり、NRS は同じ証拠をシャドウで処理する。差異は、ターゲットが既存ルールを適用しチェーンを保存できるかを明らかにする。限定 NRS 移転権限は、明示的な委任と独立したサンプリングの下で、争いのないよく文書化されたケースから始めるべきである。
利用可能な IPv6 または ASN プールからの新規割り当ては、追加の IANA 関係を作成する。IANA はグローバルポリシーの下で認識された RIR にプールを割り当てる。NRS 管轄者は、データベースを運用できるからといって AFRINIC の在庫から単純に引き出せない。プール権限、割り当て記録、認識は正式な橋渡しを必要とする。一時的なサービス中、NRS はプールを自身のものとして主張せずに、AFRINIC が承認した決定を処理または技術的に実装できる。
この順序付けは、NRS をミッションインフレから保護する。継続性は、正確な既存関係を使用可能に保つことから始まる。分配政策と恒久的な再割り当てはより広範な権限を伴い、緊急サービスに紛れ込むべきではない。
契約、料金、責任は明示的に移動しなければならない
オペレーターは公共記録を通じてのみレジストリと関係するわけではない。彼らは契約、メンバーシップステータス、請求書、サービス期待、データ保護権、潜在的な請求を持っている。これらの関係を曖昧にする技術的なポートは、最初の不利なイベントで紛争を生成する。
一時的なサービス中、手段は NRS が AFRINIC のために行動するか、下請けとして、独立した緊急プロバイダーとして、または裁判所の指示の下で行動するかを述べるべきである。誰が請求するか、資金がどこに保有されるか、どの条件が適用されるか、誰が苦情を受け取るか、どの法律が適用されるか、誤った変更による損失を誰が負担するかを特定すべきである。
最も安全な限定サービスモデルは機能固有である。法的に割り当てられまたは変更されない限り、オペレーターの基礎となる AFRINIC 関係は残る。NRS は名前付きサービスに必要な権限のみを受け取り、資金とデータを分離し、合法的な場合に既存ルールを適用し、自身のメンバーシップ条件を通じて関係を拡大できない。オペレーターは通知と簡潔な権利の声明を受け取る。
長期的な継承は契約移転または新しい合意を必要とする場合がある。同意は、記録の喪失を脅かすことによって製造されるのではなく、意味のあるものであるべきである。オペレーターは条件をレビューし、既存の権利を保存し、ポートが最終になる前に誤ったエンベロープに異議を唱えることができるべきである。
責任は管理に従うべきである。変更を認証し実行する管轄者は、定義された管理を怠った結果を負うべきである。不完全または虚偽の状態を提供する既存機関は、その貢献に対して説明責任を残るべきである。偽の証拠を提出するオペレーターは適切な責任を負うべきである。独立したレビューは、サービス中断をレバレッジとして使用せずに過失を割り当てることができる。
NRS はオペレーターの自由を提唱しながら、自身のエラーのすべてのコストを放棄することはできない。限定された権限は境界設定された責任を正当化できる;救済なしの運用権限はできない。
裁判所と法的制約は可搬性になるべきである
AFRINIC の危機は通常のモーリシャス法の下で発展した。管財、会社メンバーシップ、取締役会権限、銀行口座、訴訟は、会社がインターネットインフラを運用していたからといって消えなかった。NRS 移行は、技術的例外主義を主張するのではなく、法的権限と協力しなければならない。
同時に、裁判所命令は正確に翻訳されるべきである。リソースの処分、ホルダーの変更、資金の支払い、名前付き取締役による行動、システムへのアクセスを制限するものか?保存、開示、一時的管理を要求するものか?広範な制度的対応は、命令が有効であっても無関係のオペレーターに損害を与える可能性がある。
継続性エンベロープは、運用上の制約、発行法廷、発効日、失効またはレビュー状態、当事者、影響を受ける正確な機能を運ぶべきである。機密資料は封印されたままにでき、権限のある管轄者は遵守に必要な指示を受け取る。受入 NRS プロバイダーは制約をポートの一部として受け入れる。可搬性は裁定からの逃避ではない。
矛盾または曖昧な命令は中立的な保存を必要とする。ターゲットは自身の権限を拡大する法的解釈を選択すべきではない。最後の検証済み状態を保存し、適切な当事者を通じて指示を求め、影響を受けないサービスを保護する。独立した法律顧問が助言できるが、最終的な技術的行動とそのソースは記録されるべきである。
裁判所は、マップを受け取るため、アーキテクチャの恩恵を受ける。レジストリルックアップ、ホルダー変更、RPKI、リバース DNS、請求、企業管理を区別し、漠然と定義されたインターネットレジストリにすべてを行うか何もしないよう命令することを避けられる。
NRS 継続性は、法的介入をより狭く、より効果的、そして実行中のネットワークを企業訴訟に徴用する可能性を低くする場合、法の支配のインフラである。
データ保護は制度的拘束の言い訳になるべきではない
エンベロープには機密資料が含まれている:身分証明書、法人権限、連絡先、契約、セキュリティ状態、支払い、紛争。可搬性システムは、すべてのプロバイダーが完全なファイルを受け取った場合、新たな集中リスクを生み出す可能性がある。
NRS は公開調整データ、制限付き運用データ、機密証拠を分離すべきである。公開データはルックアップと権限ステータスをサポートする。制限付きデータは認証とサービスをサポートする。機密証拠は、承認されたレビューア、裁判所、または管轄者にのみ、定義された決定のために開示される。
暗号コミットメントと署名付き証明は、完全な文書をすべてのノードにコピーせずに、文書が存在し検証されたことを示すことができる。受入プロバイダーは、変更が必要な場合に対象アクセスを要求できる。アクセスログはオペレーターと独立監査人に見えるべきである。保存は目的と法的保持に従うべきであり、無期限の制度的食欲ではない。
データ管理者と処理者の役割は各状態で明示的でなければならない。復旧のみに使用されるミラーは、権威あるサービスとは異なる目的を持つ。オペレーターはデータがどこに保持され、どの法律が適用され、どのように修正し、返却後に何が起こるかを知るべきである。委任を失った管轄者は、合意された保存ルールに従って資料を削除またはアーカイブし、完了の証拠を生成するべきである。
プライバシーは不透明な移行を正当化できない。集計調整結果、サービスパフォーマンス、決定理由、プロバイダー障害は個人記録を公開せずに公開できる。また、可搬性は制御不能なコピーを正当化できない。設計は権限を再現するために必要な最小限の証拠を収集し、ケースを決定するために必要な最小限を開示すべきである。
このバランスは、オペレーターをすべての機関に透明にすることなく、記録を移動可能にする。
独立監査は切り替え条件であり、年次式典ではない
監査は NRS 権限の各拡大に伴うべきである。一般的な年次保証報告書は、特定の移行がすべての保留中の紛争を保存したか、2つの RPKI 状態が一時的に競合したかを回答できない。
保護された複製の前に、監査人は完全性、署名、アクセス、復元をテストする。デュアルランニングの前に、意味的マッピングとイベント順序をテストする。限定切り替えの前に、委任、通知、認証情報、ロールバック、1つのソース最終性をテストする。完全な継承の前に、契約処理、外部認識、財務能力、セキュリティ、未解決例外、プロバイダー退出をテストする。
監査人は、クリーンな記録だけでなく、困難な記録もサンプリングすべきである。歴史的ギャップ、合併、レガシーリソース、裁判所の制限、停止されたアカウント、争われた連絡先、保留中の移転は、システムが不確実性を保存するかどうかを明らかにする。オペレーターは監査人に政治的権限を与えることなくケースを指名できる。
保証報告書は、テストされたもの、テストされていないもの、エラー率、未解決の重大度、是正措置、有効期限を述べるべきである。合格は永続的であるべきではない。重要なソフトウェア、ポリシー、鍵、プロバイダー変更は再テストを必要とする。
監査人の独立性には経済的独立性が含まれる。受入プロバイダーは唯一の評価者を選択し制御すべきではない。資金はプールされた継続性準備金から、任命と紛争ルールを設けて調達できる。報告書は、AFRINIC、NRS、オペレーター、関連認識団体、管轄裁判所に各々適切なレベルで利用可能であるべきである。
監査は切り替えを停止できる場合に有用になる。権限が移動した後にのみ障害を説明する場合、それは歴史であり制御ではない。
アクティベーションは階層的で可逆的でなければならない
継続性計画は客観的なトリガーを必要とする。制度的批判、悪い評判、政治的不一致は NRS 権限をアクティベートするのに十分であってはならない。また計画は完全な停止を待つべきではない。
トリガーは階層化できる。公開エンドポイントの喪失は読み取り専用レプリカをアクティベートする。スタッフ能力の喪失は認可サポートをアクティベートする。記録侵害の証拠は破壊的変更を凍結し調整を開始する。ルーチン更新を認証できないことは限定検証メンテナンスをアクティベートする。合法的な意思決定者の不在は争われた状態を保存し独立した権限を呼び出す。機能を提供する持続的な不能は期限付き代替を正当化する可能性がある。永久的な失敗は認識された継承を必要とする。
各トリガーは証拠、意思決定者、範囲、通知、レビュー、有効期限を特定すべきである。アクティベーションを決定する主体は、それから収益や影響力を得る NRS プロバイダーであってはならない。緊急行動は完全な審理に先行する可能性があるが、レビューは迅速に行われ、影響を受けない機能は安定したままである。
可逆性はバックアップだけでなくロールバック状態を必要とする。サービス中に NRS によって行われたすべての変更は署名付きデルタとしてエクスポートされるべきである。AFRINIC または別の後継者は完全な現在状態を再現できるはずである。保留中のケース、通知、支払いはそれと共に返らなければならない。認証情報と鍵は制御された式典を通じて移行し、時代遅れのアクセスは失効されるべきである。
一時的なステータスは厳格な決定ポイントを持つべきである。有効期限の前に、権限のある当事者は戻る、正当な延長、または正式な継承を選択する。繰り返しの延長は消耗によって恒久的権限になることはできない。
アクティベーション設計は、NRS が迅速に入り完全に去ることができる場合に信頼できる。
実用的な6段階の AFRINIC から NRS への経路
移行は具体的なシーケンスとして述べることができる。
第1段階は証拠準備である。エンベロープを定義し、AFRINIC システムをマッピングし、署名付きオペレーターステートメントを生成し、バックアップを検証し、法的権限を分類し、独立監査を確立する。公開権限は移動しない。
第2段階は保護された複製である。NRS 管轄者は目的限定のコピーを受け取り、隔離された環境で復元し、公開および非公開の状態を比較する。オペレーターは AFRINIC の権威あるチャネルを通じて矛盾を修正する。読み取り専用の公開復元力は明確なソースラベルで開始できる。
第3段階は決定シャドウイングである。両方のシステムが選択されたリクエストを処理するが、AFRINIC が最終のままである。証拠、ルール、タイミング、結果の差異が報告され解決される。RPKI とリバース DNS のリハーサルは生産権限なしに行われる。
第4段階は任意の限定サービスである。検証済みオペレーターは、合意された委任の下で名前付き機能のために NRS を選択できる。ルーチンの連絡先とサポート機能が最初に移動する。争われた権利、新規割り当て、不可逆的行為は AFRINIC または独立した権限に残る。1つの公開状態が最終のままである。
第5段階は監査付き機能可搬性である。適格プロバイダーは完全な関係を受け取ることができる;リバース DNS、RPKI、移転はサービス固有の保証後にのみ移動する。オペレーターは戻るか別の管轄者を選択できる。紛争と法的制約は記録に従う。
第6段階は認識された長期アーキテクチャである。AFRINIC が能力を維持する場合、共通の可搬性義務の下で管轄者として競争する。継続できない場合、正式な認識と継承決定が残りの機能を移動する。NRS は標準と保証層を統治するが、必ずしもすべてのサービスを自ら運用しない。
このシーケンスは、1つの不可逆的なイベントにインターネットを賭けることなく改善を可能にする。各段階には証拠と停止点がある。NRS は制度的勝利を宣言するのではなく、可搬性を証明することで成長する。
成功はオペレーター境界で測定されるべきである
制度的マイルストーンは不十分である。合意への署名、ポータルの立ち上げ、取締役会の任命、データコピーの完了は、オペレーターが保護されたままであったかどうかをほとんど語らない。
主要な測定基準には以下を含めるべきである:エンベロープ完全性;独立して再現された記録の割合;未解決の例外クラス;切り替え後の認証時間;公開データ一貫性;リバース DNS エラーと伝搬率;RPKI オブジェクト継続性;無効化イベントの数と期間;保存された保留中リクエスト;配信された通知;解決された異議;完了したポート;ロールバック;不正変更;顧客影響を伴う中断;再エクスポート時間。
分母が重要である。10件中5件の失敗ポートは、1万件中5件とは異なる。低い苦情数は成功または恐怖を示す場合がある。オペレーター規模帯は、小規模ネットワークが不釣り合いな証拠または遅延負担に直面しているかを明らかにできる。争われたケースはクリーンポートから別途報告されるべきである。
NRS はまたプロバイダー規律を測定すべきである:逃したエクスポート期限、不完全なログ、過度の保留、紛争、セキュリティインシデント、逆転率、時代遅れのアクセス削除の失敗。繰り返し失敗する管轄者は、リソース関係を脅かすことなく認定を失う可能性がある。
財務指標は、最小継続性のコスト、ポートあたりのコスト、プール準備金、緊急引出し、監査コスト、プロバイダーエラーの補償を示すべきである。システムは無期限の保留や不透明な強制料金を通じて自己資金を調達すべきでない。
最も重要な結果は単純である:ネットワークは、機関が周囲で変化する間、信頼性が高く、特異で、正しいレジストリ関係を保持したか? その他はすべて補足証拠である。
肯定的な NRS ケースは交換可能な管理である
NRS の最も強い論点は、すべての RIR よりも良い決定を下すというものではない。どの機関も間違いを犯す可能性があり、捕らわれるか、その権限を誇張する可能性がある。より強い主張は、いかなるプロバイダーも交換不可能であるべきではないということである。
交換可能性はポートが発生する前にインセンティブを変える。AFRINIC は、記録品質、サービス、救済がオペレーターが留まるかどうかに影響することを知る。NRS 管轄者は、受け取ったのと同じ完全なエンベロープをエクスポートしなければならないことを知る。オペレーターは、意見の相違がネットワークアイデンティティを脅かす必要がないことを知る。裁判所は、失敗する企業取り決めを永久に維持することなく継続性を維持できることを知る。
これは共通ルールを廃止しない。一意性、認証、レジストリ正確性、セキュリティアサーション、紛争メタデータ、権威あるプロバイダー状態は共通のままである。主な効果が制度的拘束であるルールを削除する。プロバイダーが1つのインターネットに必要な不変量を共有しながらサービスで競争できるため、共通層は薄くなる。
NRS はまた RIR がしばしばバンドルする役割を分離できる。標準団体はエンベロープを定義する。認定管轄者はサービスを提供する。独立監査人はそれらをテストする。仲裁者は争われたポートを決定する。プールされた基金は緊急事態を支援する。オペレーターは移動を承認する。裁判所は法的権限を保持する。IANA と認識団体はグローバルな一貫性に必要なトップレベルの調整を維持する。
分離は複雑さのためのものではない。それは紛争を見えるようにする。サービスプロバイダーは自身のエクスポート拒否を判断しない。アドボケートは隠れたオペレーターにならない。監査人は1つの管轄者に依存しない。オペレーターは記録をフォークする自由を得ない。
これは制度工学としての継続性である。すべての管理者が管理者のみが制御しないルールの下で交換可能であるため、記録は生き残る。
移行は AFRINIC の失敗をより存在的でなくすべきである
AFRINIC は回復し、何年も有能なサービスを提供するかもしれない。NRS 継続性は依然として価値がある。保険は被保険イベントの前に構築された場合に最も信頼でき、可搬性はオペレーターが留まっても既存機関の規律を改善する。
したがって、設計は勝ち誇った言葉を避けるべきである。すべての AFRINIC の行為が違法だったという評決を必要とするべきではない。歴史的論争を使用して現在のホルダーの主張を事前決定するべきではない。地域的アイデンティティを奪取するべきではない。より狭い質問をすべきである:プロバイダーがレビュー可能なルールの下でサービスを提供できないか提供しない場合、オペレーターは正確な登録、セキュリティ、委任状態を保存できるか?
答えがイエスになれば、AFRINIC ガバナンス紛争は全か無かの性質を失う。取締役会選挙は、すべてのオペレーターが拘束されたままであるかを決定しなくなる。裁判所は企業請求を分離できる。管財人はテスト済み経路を通じてサービスを保存し返還できる。メンバーは顧客を脅かすことなく異議を唱えられる。外部機関は制度的不死を守るのではなく記録を支援できる。
移行はまた AFRINIC に建設的な役割を与える。エンベロープの定義、証拠の提供、デュアルランニングへの参加、パフォーマンスによるサービスの保持、記録がポートするのに十分強いことを実証できる。協力は降伏ではない。それは機関が存在する目的である機能への信頼を証明するだろう。
レジストリの失敗は、継続性が失敗が不可能であるふりに依存しなくなったときに管理可能になる。NRS はその正直さを安全にするアーキテクチャであるべきである。
情報源と分析の限界
公開NRS 憲章は、NRS の述べられた帳簿管理、オペレーターの自由、透明性、説明責任の原則に使用される。これは制度的方向性に関するアドボカシー証拠である。NRS が現在権威あるレジストリ、移行サービス、RPKI トラストチェーン、リバース DNS 委任、独立裁判所、または認識された後継者取り決めを運用していることの証明として扱われない。
IANA の番号リソース概要、割り当てデータ、2005年 AFRINIC 認識報告書、RFC 7020、RFC 7249と共に、階層的レジストリコンテキスト、グローバル調整機能、AFRINIC への歴史的移行を支持する。これらは提案された NRS サービスポートモデルを定義しない。
ICANN の2025年3月7日書簡と2025年7月16日書簡は、保存、バックアップ、非公開記録、登録データエスクローに関する帰属された懸念に使用される。これらの書簡は争われた設定における制度的立場であり、すべてのバックアップまたはエスクロー義務が違反されたという調査結果ではない。
NRO 覚書、合同 RIR 安定基金、2022年 AFRINIC コミュニティへのメッセージ、2024年 ICP-2 評価手順、ドラフト RIR ガバナンス文書バージョン2は、既存の相互援助、評価、提案された継続性コンテキストを支持する。ドラフトテキストは採用された権限として扱われない。
NRO の比較 RPKI サービス概要は、AFRINIC のホステッドサービスと他の RIR について報告された委任または移行機能との間の述べられた差異を支持する。提案されたメイクビフォアブレーク取り決めが現在 AFRINIC ホルダーに利用可能であることを証明しない。
完全な AFRINIC レジストリエクスポート、プライベートカスタマーファイル、RPKI 鍵在庫、リバース DNS 変更履歴、エスクロー合意、NRS 技術実装、オペレーターポート契約、独立した適合報告書、認識決定はレビューされた公開記録では利用できなかった。継続性エンベロープ、状態機械、6段階経路、測定基準は将来設計である。NRS への移転が現在認可されているか技術的に準備ができていると主張せず、有効な法的権限、独立した保証、明確に認識された権威ある状態なしにアクティベーションを推奨しない。

