要約
- ROA 失効リスクは、運用上のショック問題であり、一般的なルーティングセキュリティの標語ではない。問題は、証明書チェーンの決定が、重要なネットワークによって経路が有効、無効、不明として扱われるかどうかをどれだけ迅速に変えられるかである。
- ホスト型および委任型 RPKI は、ARIN とリソース保有者に異なる種類の依存関係をもたらす。ホスト型サービスは技術的負担を軽減するが、委任型はより多くの運用制御を与える一方で、独自のリポジトリ、マニフェスト、証明書継続性の責務を生じさせる。
- ROA の撤回、証明書の失効、通常の有効期限切れ、リポジトリ公開の失敗は、下流のネットワークにとっては突然の経路起点証拠の喪失や変化に見えても、経済的には異なる事象である。
- 移転のタイミング、クラウドの BYOIP 導入、トランジットプロバイダのフィルタ、maxLength の誤り、起点 ASN のエラーは、他の点では正当な IPv4 ブロックを、最悪の商取引の瞬間に一時的な無効経路や不確実な経路に変えてしまう可能性がある。
- バリデータが異なるスケジュールで更新し、古いキャッシュを保持する可能性があるため、RPKI の変更は単一の瞬間として市場に届くのではなく、プライベートな受け入れシステムを通じて不均一に伝播する。
- ARIN の正当な役割は、RPKI をリソース登録、制御の証明、技術的妥当性、公表された条件に結び付け、限定的な失効権限、通知、修正、不服申立て可能性、復旧可能性、緊急時の継続性を備えることである。
- ROA 変動を管理する固定費は、小規模保有者とカリブ海のネットワークに最も重くのしかかる。そこでは、一つの経路起点エラーが公共ポータル、観光、銀行、ホスティング、災害復旧、トランジット経済に影響を与えうる。
失効リスクは衝撃であり、説教ではない
ROA 失効リスクを最も簡単に誤解する方法は、それをルーティングセキュリティに関する道徳劇に仕立て上げることだ。一方は、悪意のある経路は危険であるため RPKI が必要だと言い、もう一方は、証明書がレジストリを強大にしすぎると懸念する。両方の主張は真実であり得るが、どちらも十分ではない。ARIN 地域の問題はより具体的である。ルート起点認可が撤回されたり、リソース証明書が失効したり、委任認証局が利用可能なデータの公開を停止したり、リポジトリが故障したり、起点 ASN が誤ったタイミングで変更されたりすると、市場はガバナンスの概念を経験するのではない。市場は経路起点状態の変化を経験するのだ。
その状態変化は厳しいものになり得る。昨日までは有効だった経路が、RPKI 無効アナウンスを破棄するトランジットプロバイダにおいて無効になる可能性がある。ROA によってカバーされていた経路が、不明経路を疑わしいものとして扱うネットワークにおいて不明(NotFound)になる可能性がある。クラウドの BYOIP 計画は、プラットフォームがその起点 ASN に対する ROA を期待しており、一致する認可が見つからないか競合が見つかるために、一時停止するかもしれない。貸し手は、取引において実質的な価値が割り当てられていたブロックが、信用ファイルが修正されるよりも速く変更されうる証明書状態に依存していることを知るかもしれない。小規模 ISP は、一方の上流のバリデータが更新されたがもう一方が更新されておらず、顧客が一方の経路では到達可能で他方では不可能であることを発見するかもしれない。
これは衝撃の問題である。時間的次元、伝播的次元、資本的次元、手続き的次元がある。経路は誰もが法的結論に達したからダウンするのではない。機械やプライベートポリシーが新しいシグナルを消費したために、ダウンしたり、疑われたりするのだ。したがって、ARIN への問いは RPKI が良いか悪いかではない。問いは、RPKI 状態を変更する権限が、シグナルが裁量的な手段として恐れられるのではなく、技術的証拠として信頼され続けるように、十分に制限されているかどうかである。
制度的に適切なトーンは、退屈でなければならない。ARIN は、証拠が技術的に誤っている場合、現在のリソース制御と結びついていない場合、侵害されている場合、明確な条件の下で期限切れになっている場合、または適切な通知の後に故障した委任公開システムに結びついている場合に、経路起点の証拠を取り消したり撤回したりできるべきである。しかし、退屈だからといって軽率であってはならない。より多くのプライベートネットワークが RPKI 検証に依存するほど、レジストリ側の変更の影響は大きくなる。証明書チェーンの決定は、ルータ、クラウドシステム、サポートデスク、監視アラーム、顧客リスクファイルに伝播する。それにより、手続きはインフラの一部となる。
したがって、この問題は通常のルーティングセキュリティ導入の議論よりも狭い。主に経路オブジェクト、AS-SET の衛生、あるいはプライベートネットワークが競合するフィルタソースをどの順序で参照するかではない。それらのメカニズムは近くにあるが、核心はここではない。ここでの核心は、証明書チェーン依存である。ARIN が認識するリソース状態がどのように暗号化された経路起点シグナルとなり、そのシグナルがどのように消えたり変化したりするのか、そして IPv4 不足の経済学が、失効権限が狭く、証拠に基づき、手続き的に制約されることを要求する理由である。
ROA が認識を依存に変える仕組み
ROA は証書ではなく、移転承認でも、サービス契約でも、裁判所命令でもない。これは、リソース公開鍵インフラストラクチャ(RPKI)内で作成された署名付きの表明であり、特定の自律システムが指定されたプレフィックスを、指定されたプレフィックス長の制限内で起点とすることを認可するものである。バリデータは、RPKI リポジトリから関連する証明書、マニフェスト、失効情報、ROA を取得する。その後、そのデータに対して BGP アナウンスを分類する。アナウンスが認可と一致する場合、それは有効として扱われることができる。ROA によってカバーされているが起点 ASN またはプレフィックス長が一致しない場合、無効として扱われることができる。関連する ROA が見つからない場合、それは通常、不明または NotFound として扱われる。
これは技術的に見えるが、その通り技術的だ。しかし、経済的な力は、レジストリ記録と機械可読な信頼との間のつながりから生じる。レジストリはパケットをルーティングしない。ARIN はすべてのネットワークにフィルタの実行方法を指示しない。しかし、ARIN のリソース保有者の認識は、ROA の作成元となる証明書チェーンを支える。十分な数のネットワークが経路起点検証を使用するようになると、レジストリの記録は単なる公開された管理上の表明ではなくなる。それは、プライベートネットワークが経路を受け入れるか、拒否するか、優先順位を下げるか、調査するかを決定するために使用するセキュリティ証拠の一部となる。
しかし、有用な証拠は依然として依存である。証拠が突然変化する場合、下流のアクターは突然行動を変える。保有者の ROA が消失すると、ブロックはインターネットから消えるわけではないが、信頼度の低いカテゴリーに落ちる可能性がある。ROA が誤った起点を指定するものに置き換えられると、保有者の実際の経路は無効になる可能性がある。maxLength が保有者のより詳細なアナウンスに対して短すぎる場合、緊急の再ルーティングがまさに緊急時の到達可能性が重要なときに拒否される可能性がある。移転後に元の保有者の ROA が残っているが、買い手が一致する新しい ROA なしに新しい ASN を通じてアナウンスする場合、移転が合法的であっても経路は無効に見える可能性がある。
実際的な教訓は、RPKI が複数の時間の形態を一つのシグナルに圧縮することである。法的管理、レジストリ認識、証明書発行、ROA 公開、リポジトリの鮮度、バリデータの更新、クラウドの導入、トランジットフィルタリング、顧客移行はすべて異なる時計で動く可能性がある。バリデータは、チェック時に利用可能な状態のみを見る。それは、法務顧問がクロージング条件を待っていること、旧保有者と新保有者が移行経路に合意したこと、ケーブル障害後にカリブ海の ISP が主要な上流を失ったこと、あるいはクラウドプラットフォームが移転記録が他の当事者に完全に見えるようになる 2 日前に ROA を要求したことを知らない。
これは RPKI を弱体化させる理由ではない。重要なインフラとして統治する理由である。有用なセキュリティシステムは、その高影響度の措置が曖昧な場合に安全になるわけではない。各措置が既知のトリガー、既知の証拠、既知の通知チャネル、既知の修正経路、既知の緊急例外、既知の復元メカニズムを持つことで安全になる。経路起点シグナルは、厳格であるがゆえに信頼される。その背後にある制度が自らの権力についても厳格である場合にのみ、信頼され続けるだろう。
ホスト型 RPKI と委任型 RPKI は異なるリスクを配分する
ARIN 地域の保有者は、RPKI の使用方法において基本的なアーキテクチャ上の選択に直面する。ホスト型モデルでは、レジストリが保有者のために証明書および公開機構の多くを運用する。保有者は管理インターフェースを使用して ROA を作成し、維持する。これにより技術的負担が軽減される。小規模事業者は、認証局の運用、リポジトリの維持、マニフェストの発行、失効データの発行、依拠者の取得行動の監視を行う必要がない。レジストリが重い運用作業を実行し、保有者は自身の認識されたリソースに密接に結びついたサービスを通じて経路起点の意図を表明する。
同じ利便が依存を生み出す。保有者のアカウントがロックされた場合、紛争がサービスアクセスに影響を与えた場合、連絡先記録が古い場合、移転がリソース関係を変えた場合、請求問題がセキュリティ問題と混同された場合、または ARIN の公開システムが停止した場合、保有者は経路起点証拠を最新に保つための即時の独立した手段を持たない可能性がある。レジストリインターフェースは、到達可能性証拠が維持される経路となる。それはレジストリが経路を所有することを意味しない。それは、保有者が経路を受け入れられやすく保つ能力が、レジストリサービスが機能し、手続き的に抑制されていることに依存する可能性があることを意味する。
委任型 RPKI はバランスを変える。委任認証局を運用する保有者は、自身の RPKI 公開に対するより直接的な制御を得る。証明書、ROA、マニフェスト、リポジトリを自身のインフラに統合できる。ルーティング設計に合わせて変更を自動化できる。日々の ROA 更新のためにホスト型インターフェースへの依存を減らすことができる。大規模なキャリア、クラウド、コンテンツネットワーク、洗練された企業は、既にセキュリティインフラを運用し、監視するスタッフを持っているため、その制御を好むかもしれない。
委任はリスクからの解放ではない。それは一つの依存を別の一連の義務に置き換える。委任事業者は、公開ポイントを到達可能に保ち、有効なマニフェストと失効情報を公開し、証明書を更新し、鍵を管理し、古いシリアルを避け、バリデータの行動を監視し、リポジトリ障害から復旧しなければならない。委任 CA が長期間機能しなくなった場合、依拠当事者はそのデータを信頼しなくなるか、親が公表されたルールに基づいて行動しなければならなくなる可能性がある。壊れた委任 CA はバリデータに負荷をかけ、経路起点エコシステムを混乱させる可能性がある。自律性には維持コストが伴う。
この違いは失効ポリシーにとって重要である。ホスト型保有者は、経路起点証拠が削除される前に、レジストリ側の中断に対する保護と、アカウントや記録の問題を修復する明確な経路を必要とする。委任型保有者は、公開システムが故障した場合の明確な技術的しきい値、通知、復旧経路を必要とする。いずれの場合も、目標はセキュリティシグナルの継続性であり、制度上の都合ではない。失効は、証明書の整合性や現在のリソース権限とは無関係な、混乱したアカウント、商業上の不一致、ポリシー選好に対する最初の通常ツールであってはならない。
撤回、期限切れ、失効は同じ事象ではない
「失効」という言葉はしばしば大まかに使われる。その大まかさは重要な違いを隠す。保有者は、ASN にプレフィックスを起点としてほしくなくなったため、意図的に ROA を撤回するかもしれない。ROA は更新されなかったために期限切れになるかもしれない。リソース証明書は、証明書関係がもはや有効でないため、または委任の取り決めが定義された条件下で失敗したために、失効するかもしれない。意図した認可が変わっていなくても、リポジトリが到達不能になるかもしれない。マニフェストや失効ファイルが無効になるかもしれない。サポートデスクや経路トラブルに直面している顧客にとって、これらのイベントは似ているように見えるかもしれない。制度的にも経済的にも、それらは同じではない。
意図的な撤回は、通常の運用の一部である。保有者が上流を変更する。クラウド移行が終了する。一時的な DDoS 緩和用の起点が廃止される。売り手が移転後に古い起点の認可を停止する。プロバイダ ASN がもはや使用されない。これらの場合、古い ROA の消失は罰や失敗ではない。それは、ルーティングのストーリーが変わったことの証拠である。ガバナンス上の要件は、タイミングと明確さである。古い認可は、本当に古い経路がもはや受け入れられるべきでない場合を除き、新しい経路の準備が整う前に消えてはならない。
通常の期限切れは別である。期限切れは計画的であり得るが、弱い運用管理を露呈させることもある。忘れられた更新は、リソース保有に実質的な変更がなくても、有効な経路を不明な経路に変える可能性がある。経路上のネットワークが RPKI カバレッジを欠く経路を拒否または優先度低下させる場合、忘れられた更新のコストは重大になり得る。洗練された保有者にとって、期限切れの監視は基本的な衛生管理である。ネットワーク管理をアウトソースしている小規模事業者にとっては、到達可能性が変わったり、クラウドレビューが失敗したりした後に初めて発見される隠れた依存関係かもしれない。
証明書の失効は、より深刻である。なぜなら、それは証明書チェーン自体が変わったことを示すからだ。一連の ROA を支える証明書が失効すると、その下の認可は同じ検証力を失う。それは、基礎となるリソース関係が終了した場合、鍵が侵害された場合、委任公開システムが通知後も使用不能のままである場合、または別の定義された条件が証明書を無効にする場合に適切である。しかし、下流への影響が運用上即時に生じる可能性があるため、失効権限は高影響度の救済措置として扱わなければならない。問題は、レジストリがそれを行うことができるかどうかだけではない。問題は、これが証拠によって必要とされる狭い措置であり、緊急性によって必要とされない限り継続性の保護策が尽くされているかどうかである。
リポジトリ障害はさらに異なる。保有者は、リポジトリ経路が故障している間にも正しい ROA を維持しようとしているかもしれない。バリデータは、一定期間キャッシュされたデータを使用する可能性がある。一部の依拠者ソフトウェアは、永続的な無効な公開とは異なり、一時的な到達不能性を許容するかもしれない。市場は、きれいな切り替えではなく、不整合の期間を見るかもしれない。その不整合自体がコストを生む。あるプロバイダが古い有効な状態を見続け、別のプロバイダが故障または陳腐化した状態を見る場合、到達可能性の診断は難しくなる。顧客は、障害が最初にどこに現れたかによって、キャリア、クラウド、保有者、またはレジストリを非難するかもしれない。
制度的なポイントは単純である。すべての経路起点問題が同じ対応に値するわけではない。maxLength のタイプミスには修正経路があるべきだ。見逃された更新にはアラームと復旧があるべきだ。侵害された鍵は緊急の措置を必要とするかもしれない。完了した移転は調整された置き換えを必要とするかもしれない。長期にわたって壊れた委任 CA は、通知後の失効を必要とするかもしれない。保有者のビジネスモデルに関するポリシー上の不一致は、RPKI の削除に変換されるべきではない。異なる原因には異なる救済策が必要である。なぜなら、経済的損害は同じ狭いチャネル、すなわち他の者がその経路を信じるかどうかを通じて伝わるからだ。
公開とバリデータの伝播はタイミングを不均一にする
RPKI の変更は、一度に全ての場所に届くわけではない。保有者が ROA を変更する。リポジトリが更新されたデータを公開する。バリデータは、自身のソフトウェア、キャッシュ、ネットワーク経路を通じて、自身のスケジュールでリポジトリデータを取得する。ネットワークはその後、ローカルポリシーに従って検証結果を適用する。あるネットワークは無効経路を破棄するかもしれない。あるネットワークは有効経路を好むが、不明な経路は依然として運ぶかもしれない。あるネットワークは主に監視のために検証を使用するかもしれない。あるネットワークは RPKI 状態をインターネットルーティングレジストリフィルタ、顧客関係、手動の例外と組み合わせるかもしれない。市場は変更をスイッチとしてではなく、波として受け取る。
その波は二種類のリスクを生み出す。第一は遅延である。正しい更新は、十分な数のバリデータがそれを取得し、十分な数のネットワークがそれを適用するまで、経路を保護しないかもしれない。移転やクラウド導入の際、当事者は新しい ROA がダッシュボードやリポジトリに表示されているために可視であると想定するかもしれない。重要な上流のバリデータはまだそれを処理していないかもしれない。クラウドプラットフォームは自身のチェック間隔を持っているかもしれない。エクスチェンジルートサーバは、両方とも異なるスケジュールでポリシーを再構築するかもしれない。経路は、ある場所では認可されているが、別の場所ではまだ信頼されていない。
第二のリスクは陳腐化した信念である。失効、撤回、または置き換えられた認可が、一定期間バリデータキャッシュに残る可能性がある。これは、一時的な公開問題による即時の障害を回避するため、リポジトリが一時的に利用不能な場合に有用であり得る。しかし、当事者が市場に古い起点を信じるのをやめさせる必要がある場合には混乱を招くこともある。売り手はクロージング後に古い ROA を撤回するかもしれないが、バリデータの一部は依然として古い状態を見るかもしれない。買い手は新しい起点の下でアナウンスするかもしれないが、一部のネットワークはまだ古いデータを適用しているか、新しいものをまだ受け入れていない。一定期間、経路起点のストーリーはグローバルに一様ではない。
この不均一性は、願望で消し去れる欠陥ではない。分散運用の結果である。インターネットは、ローカルポリシーの下でローカルソフトウェアを実行する独立したネットワークで構成されている。それがその回復力の源である。それはまた、高影響度の RPKI 変更には伝播計画が必要であることを意味する。正しい質問は「ROA が変更されたか?」ではない。「どのカウンターパーティが変更を見る必要があるか?彼らのバリデータはいつ更新されるか?彼らは無効または不明状態をどう扱うか?そして保有者は不一致をどのように検出するか?」である。
ARIN の役割は、それらのプライベートバリデータに命令することではない。それは、自身の公開行動を予測可能かつ観察可能にし、プライベート当事者が計画を立てられるようにすることである。サポート問題がある場合、保有者は公開が行われたかどうかを知るべきである。証明書が失効した場合、そのイベントは定義されたチャネルを通じて可視であり、後に再構成可能であるべきである。委任 CA がトラブルにある場合、真の緊急事態が即時措置を必要としない限り、事業者は市場が衝撃を受ける前に明確な通知を受け取るべきである。ホスト型サービスが公開遅延を被った場合、ARIN はその遅延を通常のウェブサイトの不便さとしてではなく、ルーティングセキュリティインシデントとして扱うべきである。
経済学は、特にクロージング日の周辺で鋭くなる。企業取引はきれいな日付を好む。RPKI はクロージングの儀式に従わない。買い手は深夜に新しい起点を有効にしたいかもしれない。売り手は同時に古い起点を撤回したいかもしれない。バリデータは数時間収束しないかもしれない。サポートデスクは営業時間内に運用されるかもしれない。顧客はメンテナンスウィンドウを持つかもしれない。クラウドプラットフォームは事前検証を要求するかもしれない。これらの時計が整列していると見せかけるコストは、回避可能な停止である。
より安全な慣行は段階的な変更である。技術的および商業的に適切な場合、古い起点と新しい起点は制御された重複期間で認可されることができる。より詳細な経路は maxLength 制限内で計画されることができる。一時的な ROA は明確な期限切れと監視を持つことができる。トランジットおよびクラウドのカウンターパーティに、いつ検証を更新するかを尋ねることができる。移転契約は RPKI 更新を引き渡しの一部にし、後付けではないようにすることができる。これは官僚主義ではない。それは、テナントが到着する前に鍵が機能することを確認する資産の同等物である。
無効と不明は異なる価格付けがされる
すべての非有効経路が同じではない。RPKI 無効である経路は、一つ以上の関連する ROA によってカバーされているが、アナウンスが認可された起点または許可されたプレフィックス長と一致しない。これは強い否定的シグナルである。多くの本格的なネットワークは無効経路を拒否するか、高リスクとして扱う。不明または NotFound である経路は、一致する ROA を欠いている。一部のネットワークは、すべての正当な経路が RPKI カバレッジを持っているわけではないため、それを受け入れる。他のネットワークは、特に保有者が ROA を維持することが期待される文脈では、注意して扱う。この区別は技術的だが、価格差は商業的であり得る。
無効経路は高コストである。なぜなら、それは保有者、または保有者を名乗る何者かが、その経路がその形態で存在すべきでないと言ったように見えるからだ。それは、ハイジャック、リーク、設定ミス、移転タイミングの誤り、maxLength エラー、または誤った起点エラーである可能性がある。バリデータはどのストーリーが真実かを決定しない。プライベートポリシーはしばしば経路を拒否する側に誤る。顧客向けネットワークにとっては、それは部分的な停止を意味し得る。クラウドインポートにとっては、導入の失敗を意味し得る。トランジット注文にとっては、エスカレーションで止まったチケットを意味し得る。移転の買い手にとっては、資産が運用上引き渡されていないことを意味し得る。
不明状態はそれほど深刻ではないが、依然としてコストがかかる。それは保有者が RPKI を採用していないことを意味するかもしれない。カバレッジが意図的に削除されたことを意味するかもしれない。リポジトリや証明書の問題がバリデータが意図された ROA を見るのを妨げていることを意味するかもしれない。RPKI がますます期待される市場では、不明状態は疑問を生じさせることがある。クラウドプラットフォームは、経路が他で伝播するとしても ROA を要求するかもしれない。貸し手は、重要なブロックが経路起点証拠を欠いている理由を尋ねるかもしれない。公共部門の顧客は、サプライヤーにより強力な継続性管理を要求するかもしれない。不明は無効と等しくないが、それでも説明コストを課すことがある。
これらの状態間の移行こそが衝撃が起こる場所である。保有者が、maxLength が/20 の/20 に対して AS64500 を認可する ROA を持っていると仮定する。緊急時に、トラフィックを誘導するためにより詳細な経路が必要なため、同じ ASN を通じて/24 をアナウンスする。ROA が/24 を許可していない場合、そのアナウンスは無効になる可能性がある。移転の買い手が、売り手の ROA が削除される前、または AS64550 を認可する新しい ROA が可視になる前に、AS64550 から/20 をアナウンスすると仮定する。買い手の経路は、単に不明ではなく、無効になる可能性がある。アカウントや公開の問題のためにホスト型 ROA が消失すると仮定する。経路は有効から不明に動く可能性がある。各移行には異なる運用上の結果がある。
これが、IPv4 を重要なものとして扱う組織にとって、maxLength と起点 ASN の衛生が役員レベルの資産思考に属する理由である。この設定は、ネットワークフィールドのように見えるため無視されやすい。しかし、一つの誤った数字が到達可能性と価格に影響を与える可能性がある。厳しすぎる maxLength は計画されたより詳細な経路を壊す可能性がある。緩すぎる maxLength は、保有者が意図した以上に認可面を拡大する可能性がある。古いプロバイダを反映した起点 ASN は、新しいプロバイダを無効にする可能性がある。プラットフォームが準備できる前にクラウドプラットフォームを反映した起点 ASN は、古い経路にギャップを生み出す可能性がある。これらは哲学的な誤りではない。それらはミニチュアの資本管理の誤りである。
プライベートネットワークにも責任がある。経路が無効であるために顧客の経路を拒否するプロバイダは、可能な場合、実用的な理由を提供すべきである:どのプレフィックス、どの起点 ASN、どの ROA 不一致、どの状態。曖昧な拒否は、セキュリティシステムを迷路に変える。ROA を要求するクラウドプラットフォームは、要求される起点、プレフィックス長、タイミングを説明すべきである。エクスチェンジルートサーバは、メンバーが問題を修正できるように検証状態を十分に可視にすべきである。レジストリはシグナルを維持できる。市場は、シグナルが有用な制御になるか私的な罠になるかを決定する。
移転は ROA タイミングを決済リスクに変える
ARIN 地域の成熟した移転市場は、ROA タイミングを特に重要にする。移転は単なるレジストリ更新ではない。それは、法的認識、支払い、ルーティング権限、顧客移行、クラウド導入、逆引き DNS 制御、レピュテーションクリーンアップ、および運用監視が調整されなければならない一連の流れである。ROA はその流れの真ん中に位置する。それらは、どの起点 ASN が信じられるべきかを経路バリデータに伝える。早すぎる変更は既存サービスに害を与える可能性がある。遅すぎる変更は買い手のサービスに害を与える可能性がある。誤った変更は、両当事者が資産を使用する代わりに到達可能性について議論しながらクロージング後の最初の日々を過ごす原因となる可能性がある。
売り手は、自身の既存 ASN またはプロバイダ ASN に対するブロックをカバーする ROA を持っているかもしれない。買い手は、自身の ASN、クラウド ASN、データセンターASN、または移行プロバイダからブロックを起点とするつもりかもしれない。クロージング中、当事者はきれいな計画を必要とする。売り手は買い手の経路が準備できるまで自身の ROA を維持するか?定義された重複期間、両方の起点が認可されるか?移行のために一時的なより詳細な経路が認可されるか?誰がバリデータ状態を監視するか?資金が動いた後、アカウント権限が完全に確定する前に誰が緊急修正を行うことができるか?買い手の最初のアナウンスを無効にする ROA が残っている場合はどうなるか?
これらの質問は運用上のものに聞こえるが、決済上の問題である。資産の価格が即時に使用できることに一部基づいている場合、経路起点の引き渡し可能性は引き渡しの一部である。買い手は ARIN が移転を認識した後に支払うことに同意するかもしれないが、重要なルーティング条件が満たされるまで一部の金額を留保するかもしれない。売り手は、顧客移行が完了するまで買い手が古い認可を撤回または置き換えないことを要求するかもしれない。ブローカーは上流やクラウドプラットフォームへの通知を調整するかもしれない。法務顧問は RPKI 協力を移行契約の一部として記述するかもしれない。言葉は変わるだろう。経済的ポイントは同じである。レジストリ認識と運用上の受け入れは関連しているが同一ではない。
最も危険な仮定は、失効や撤回が常に古いリスクを終わらせるきれいな方法であることだ。時にはそうである。以前のプロバイダに対する陳腐化した認可は無期限に存続すべきではない。しかし、突然の削除は、ライブ経路の最後の機能している証拠を削除することもある。規律あるアプローチは、古い ROA の永続的な保存ではない。それは制御された廃止である。古い経路が依然として顧客を運んでいるなら、定義された移行の下で認可を維持する。もはや顧客を運んでいないなら、廃止する。古いプロバイダの ASN が惰性でのみ残っているなら、通知してクリーンアップする。移転紛争が存在するなら、有害な変更をブロックしつつ、最後に検証された運用状態を保存し、経路起点の空白を作らない。
ARIN は、移転の RPKI 効果を実際的な用語で説明することによって、その規律を支援すべきである。レジストリはすべての商業契約を管理する必要はない。しかし、リソース証明書関係がいつ変わるか、ホスト型 ROA 権限が移転にどのように従うか、古いホスト型認可がどのように扱われるべきか、委任の取り決めがどのように影響を受けるか、そしてクロージングウィンドウの前に当事者が何を調整すべきかを明確にすることはできる。移転参加者は、契約が署名された後に拒否された経路からこれらの質問を発見すべきではない。
クラウド BYOIP とトランジット遮断リスク
クラウドの BYOIP プログラムは、ROA 状態を実際的な参入資格問題に変えた。顧客所有のプレフィックスをアナウンスするクラウドプラットフォームは、顧客がアドレスブロックを管理し、プラットフォームの起点を認可していることを知らなければならない。プラットフォームは、レジストリ証拠、アカウント検証、経路履歴、レター、クラウド ASN を指名する ROA、またはシグナルの組み合わせを要求するかもしれない。正確なチェックリストは非公開だが、経済構造は可視的である。クラウドは、強力な証拠なしに他人のアドレスをアナウンスしたくない。そして顧客は、迅速に生成できない証拠によってクラウド移行が妨げられることを望まない。
したがって、ROA の失効や撤回は BGP 伝播以上に影響を与える可能性がある。プラットフォームの適格性に影響を与える可能性がある。顧客は、ワークロード、ファイアウォールルール、許可リスト、支払いシステム、顧客エンドポイントを BYOIP 範囲の周辺に移動させているかもしれない。クラウド起点を認可する ROA が消失するか無効になった場合、プラットフォームはアナウンスを停止し、導入を一時停止し、再検証を要求し、またはそのケースをリスク例外として扱うかもしれない。経路が他で継続しても、クラウドのユースケースは中断され得る。特にクラウド移行で顧客アドレスを保持するために IPv4 を購入した会社にとって、その中断は資産の毀損である。
トランジットプロバイダは関連する遮断リスクを生み出す。多くのキャリアは現在、何らかの形で経路起点検証を使用している。顧客の経路が無効になった場合、プロバイダは自動的にそれを拒否するか、不一致が解消されるまでプロビジョニングを保留するかもしれない。大規模顧客はエスカレーション経路を持っているかもしれない。小規模保有者はチケットを持っているかもしれない。その経路はあらゆる商業的意味で正当であるかもしれないが、プロバイダの自動化されたゲートを通過しない。それが自動化の価値と危険性である。それはケースバイケースの信頼を排除することでセキュリティをスケールさせるが、小さなレジストリや保有者のミスをより広範な運用上の結果へとスケールさせることもできる。
データセンターと DDoS 緩和プロバイダは別の層を追加する。攻撃を受けている顧客は、緩和 ASN によって起点される一時的なより詳細な経路を必要とするかもしれない。保有者がそのより詳細な経路と起点を許可する ROA を作成していなかった場合、防御経路は無効になる可能性がある。保有者が慌てて過度に広範な ROA を作成した場合、意図以上に認可するかもしれない。インシデント後に古い緩和 ROA が残った場合、不必要な経路起点許可を保存するかもしれない。したがって、緊急サービスには事前に定義された権限が必要である。maxLength を学ぶ最悪のタイミングは攻撃中である。
これは ARIN 地域のカリブ海部分で特に重要である。島嶼国や小規模市場のネットワークは、限られた上流、ケーブル経路、オフアイランドクラウドリージョン、管理されたセキュリティプロバイダに依存することが多い。本土の企業は、複数のキャリアを通じて検証問題を迂回できるかもしれない。小規模な島の事業者はその贅沢を持っていないかもしれない。主要な上流が無効経路を拒否した場合、経済的影響は、接続性の低下、より高いトランジットコスト、公共サービスの中断、観光セクターからの苦情、気象関連のインフラ損傷後の復旧遅延を含むかもしれない。ブロックサイズは控えめかもしれないが、依存度は大きいかもしれない。
ポリシー上の答えは、プライベートクラウドやトランジットプロバイダにリスクを無視するように言うことではない。彼らには経路起点証拠を要求する正当な理由がある。答えは、証拠チェーンが正当な利用者に衝撃を与える可能性を低くすることである。ARIN はホスト型 RPKI サービスを信頼性高く保ち、明確なステータスを提供し、実用的な修正チャネルを提供し、無関係な手段のために RPKI サービス状態を使用することを避けるべきである。保有者は ROA インベントリ、緊急起点計画、クラウド固有の事前チェックを維持すべきである。プロバイダは実行可能な拒否理由を提供すべきである。クラウドはタイミングの期待値を明示すべきである。共有する目標は普遍的な受け入れではない。それは低驚きの受け入れである。
通知、修正、不服申立て、復旧はインフラ制御である
手続き上の保護策はしばしばガバナンスの理想として説明される。ROA 失効リスクにとって、それらは技術的制御でもある。通知は驚きを減らす。修正は不必要な無効または不明の移行を減らす。不服申立ては、一つの制度的解釈が独立した審査の前に運用上の価値を破壊するリスクを減らす。復旧は正直な誤りのコストを減らす。緊急時の継続性は、紛争が整理される間の顧客被害を減らす。これらは儀礼的な保護ではない。それらはセキュリティシステムが衝撃増幅器になるのを防ぐ方法である。
通知は具体的であるべきである。保有者は何が問題かを知るべきである:期限切れ間近の証明書、機能していない委任リポジトリ、無効なマニフェスト、侵害された鍵、リソース関係の変更、移転関連の不一致、疑わしい未認可 ROA、またはサービスアカウントの問題。通知は、可能な限り影響を受けるプレフィックスと ASN、観測された障害、修正されなかった場合の結果、期限、サポート経路を特定すべきである。RPKI ステータスに関する曖昧な警告は、結果が到達可能性の喪失である可能性がある場合には不十分である。
修正は比例的であるべきだ。maxLength エラーは、争われている移転と同じ証明を必要とすべきではない。委任 CA の公開障害には技術的な修復経路があるべきだ。アカウント連絡先の問題は、保有者が他の方法で制御を証明できるなら、経路起点証拠を失敗させるままにせず、権限回復を通じて解決されるべきだ。侵害の疑いは即時の保護措置を必要とするかもしれないが、それでも措置後の記録は明確で審査可能であるべきだ。目標はシグナルを修正することであり、保有者が誤りを報告することを恐れさせることではない。
不服申立て可能性は、RPKI 状態が裁判所や契約紛争が解決される前に価値ある資産に影響を与える可能性があるため重要である。ARIN が争点のある前提に基づいて経路起点証拠を削除または拒否した場合、影響を受ける当事者は、通常の訴訟よりも速く、かつ単に同じ意思決定者に再考を求めるよりも独立した方法で決定に異議を唱える方法を必要とする。経路起点システムは何年も待つことはできないが、ルータがデータを必要とするからといってすべてのスタッフの決定を最終的なものとして扱うこともできない。正しいモデルは、制限された緊急性である。必要な場合の緊急措置、争点がある場合の迅速な審査、可能な場合の最後の検証された運用状態の保存である。
復旧可能性は危機の前に設計されるべきである。誤って ROA が撤回された場合、どれだけ速く復元できるか?誤った前提の下で証明書が失効した場合、復旧手順はどうか?通知期間後に委任 CA が修復された場合、どのようにして通常の認識に戻るか?悪いまたは古い状態をキャッシュしているバリデータがある場合、カウンターパーティにどのように通知するか?経路が無効に見えたためにクラウドプラットフォームが BYOIP 広告を停止した場合、どのような証拠が再開させるか?誤りを元に戻せない手続きは、文書化されているからといって信頼できるわけではない。
緊急時の継続性は、セキュリティとサービスをバランスさせなければならないため、最も難しい保護策である。認可をそのままにすることが危険なケースもある。侵害された鍵や明らかに未認可の起点は迅速な削除を必要とするかもしれない。しかし、急な削除が経路表を保護する以上に罪のない顧客に害を与えるケースもある。請求紛争、連絡先紛争、または文書の問題が発生した場合、デフォルトは経路起点の混乱であってはならない。移転が争われている場合、システムは新しい相反する変更を防ぎつつ、最後に検証された安全な状態を保存すべきである。リポジトリ問題が修復可能なら、障害自体が緊急の害を生み出さない限り、通知と支援付きの修正が失効に先行すべきである。
ARIN の最も強力な姿勢は、狭い権限と強力なプロセスである。ARIN は、IPv4 に関するあらゆるルーティング、リース、商業的、政治的問題の裁判官になったからではなく、定義された技術的およびリソース管理の条件下で RPKI サポートを取り消しか撤回すると言えるべきである。その境界は保有者を守る。それは RPKI も守る。保有者は、証拠が一般的な制御手段に変えられないと信じるとき、より強力な証拠を公開するだろう。ネットワークは、証明書状態が制度的な機嫌ではなく明確なルールによって統治されていると信じるとき、より自信を持って検証に依拠するだろう。
小規模保有者が最初に固定費を支払う
ROA 衛生には固定費がある。誰かが、どのプレフィックスがアナウンスされ、どの ASN がそれらを起点とし、どのより詳細な経路が必要になり得るか、どのクラウドや緩和プロバイダがアナウンスするかもしれないか、どの移転が保留中か、どの緊急経路が許可されているか、どの証明書が期限切れになるか、どのリポジトリが正しく公開しているか、どのバリデータが不一致を示しているかを理解しなければならない。大規模なクラウドプロバイダはこれを中心にツールを構築できる。全国キャリアはスタッフを割り当てられる。小規模保有者は 1 人のネットワークエンジニア、外部コンサルタント、または古いルーティングストーリーを記憶に頼っている創業者しかいないかもしれない。
したがって、アドレス当たりのコストは逆進的である。小規模ホスティングプロバイダが使用する/24 は、はるかに大きなポートフォリオとほぼ同じ概念的な作業を必要とするかもしれない。連絡先を維持し、正しい ROA を作成し、maxLength を確認し、上流と調整し、無効状態を監視し、クラウドの質問に答え、顧客のために証拠を保存する。大規模保有者はそのコストをより多くの収益とアドレスに分散させる。小規模保有者は、信じられることへの税金としてそれを感じる。
レガシー保有者は異なる方法で露出している。大学、公的機関、病院グループ、または古い企業は、現代の RPKI 実践よりも前のアドレス空間を持っているかもしれない。内部記録は安定しているが、経路起点証拠を中心に整理されていないかもしれない。ネットワークはプロバイダを何度か変更しているかもしれない。最初にプレフィックスを設定した担当者は退職しているかもしれない。組織は、クラウド移行、合併、またはアウトソーシング契約が証明を要求するまで、IPv4 を資本とは考えないかもしれない。ようやく調べたとき、RPKI ファイルは空、古い、または計画された経路に対して単純すぎるかもしれない。市場はその遅延を割り引く。
カリブ海のネットワークは制約の地理を加える。限られた上流オプション、オフアイランドクラウドリージョンへの依存、嵐への露出、小規模な技術チーム、公共セクターのサービス義務、観光主導の顧客感受性はすべて、到達可能性の衝撃をよりコストの高いものにする。大規模な都市市場での経路起点問題は冗長性とエスカレーションを通じて処理されるかもしれない。小さな島のネットワークにとって同じ問題は、トランジットの実質コスト、公共ポータルの回復力、ホテルの接続性、ローカルホスティング、銀行システム、災害通信に影響を与える可能性がある。事業者の管理上の規模は、その経路の社会的コストを測定しない。
ここにおいて、ARIN はセキュリティを低下させることなく市場バイアスを減らすことができる。明確なホスト型 RPKI ガイダンスは参入コストを下げる。有効、無効、不明状態の平易な説明は非専門家を助ける。ROA タイミングを含む移転チェックリストは回避可能な驚きを防ぐ。プロバイダ変更、クラウド BYOIP、DDoS 緩和、緊急起点計画のための小規模保有者向けプレイブックは、専門知識を日常的な準備に変える。RPKI エラーをエキゾチックなサイドケースではなく緊急の運用問題として扱うサポートチャネルは、プライベートフィルタが罰する前に正当な保有者が修正するのを助ける。
これらのいずれも ARIN が経路警察になることを要求しない。レジストリはすべてのプロバイダがすべての経路を受け入れることを保証する必要はない。すべての商業的対立を裁定する必要はない。特定の合法的なアドレス利用が制度的に不人気であるという理由で、より弱い経路起点サポートに値すると決定すべきではない。その役割は、正当な証明を安価にし、偽の証明を困難にすることである。それは狭く、価値あるサービスである。
権限範囲:セキュリティサービスであり、経路警察ではない
ARIN の RPKI 権限は、レジストリ記録に近いほど強力である。正当な連鎖は単純である:リソースは ARIN レジストリで認識され、保有者または委任事業者はそのリソースに結びついた経路起点認可を公開でき、依拠当事者は認可を検証でき、プライベートネットワークは結果をどのように使用するかを決定できる。各ステップには適切な機能がある。問題は、セキュリティ層がその連鎖の外側の目標を追求するために使用されるときに始まる。
狭い失効や撤回には正当な理由がある。リソース関係が終了するかもしれない。移転は古い認可の置き換えを要求するかもしれない。鍵が侵害されるかもしれない。通知にもかかわらず委任 CA が機能しないままであるかもしれない。ROA が未認可であるかもしれない。裁判所や独立したフォーラムが適正手続きの後に制約された措置を要求するかもしれない。技術的な公開がひどく壊れていて、バリデータに負荷がかかったり誤解させたりしているかもしれない。これらの場合、問題は証拠の整合性である。RPKI シグナルはもはや有効、安全、または現在のリソース認可関係に対応していない。
また、無効な誘惑もある。レジストリは、商業紛争、リースの取り決め、政治的な論争、地理学に関する不一致、ポリシー論争、コミュニティ紛争、公共の物語、あるいはプライベートルーティング決定を容易にしたいという欲求のために、保有者に対して認証状態を使用するよう圧力を受けるかもしれない。これが、有用なセキュリティサービスがゲートキーピングの道具になる方法である。レジストリが証明書に影響を与えることができるという事実は、アドレスに隣接するあらゆる行動を取り締まるために証明書を使用すべきという意味ではない。
プライベートルーティングポリシーとの境界は明確に保たれなければならない。トランジットプロバイダは RPKI 無効経路を拒否するかもしれない。クラウドプラットフォームは BYOIP のために ROA を要求するかもしれない。エクスチェンジルートサーバは RPKI と他のフィルタを組み合わせるかもしれない。これらはプライベートな受け入れ決定である。ARIN はリソースにリンクしたシグナルを提供する。受け入れか拒否かを命令すべきではない。逆に、プライベートアクターは、基礎となる証拠が真にリソース管理や証明書の整合性に関係しない限り、ARIN に彼らのリスク選好をレジストリ決定に変えるよう求めるべきではない。
法的紛争との境界も明確に保たれなければならない。裁判所、契約、独立した紛争解決メカニズムは、レジストリが単独で決定すべきでない請求について決定するかもしれない。紛争中、ARIN は相反する変更を凍結し、記録を保存し、状態を記録し、拘束力のある命令に従う必要があるかもしれない。緊急のセキュリティ事実が措置を必要としない限り、紛争が決定される前に不可逆的またはサービスを混乱させる RPKI 変更については慎重であるべきである。デフォルトは、経路起点の混乱による自力救済ではなく、最後に検証された運用状態の継続であるべきである。
アカウント管理との境界も同様に重要である。請求問題、古い連絡先、ポータル認証問題、または不完全なフォームは、サービスのフォローアップを正当化するかもしれない。それは、ライブリソースに対する経路起点ショックを自動的に正当化すべきではない。保有者が認識されたリソース保有者のままであり、経路起点証拠を削除する技術的またはセキュリティ上の理由がない場合、中断は最後の手段であるべきである。レジストリのレバレッジは、まさにサービスが重要であるがゆえに高い。高いレバレッジは抑制を要求する。
この権限規律は反セキュリティではない。それはプロセキュリティである。RPKI の採用は、シグナルがその技術的目的のために使用されるとの信頼にかかっている。保有者が ROA の公開がレジストリにより便利な武器を与えると信じるなら、一部は採用を避けるかカバレッジを最小化するだろう。ネットワークが証明書状態が政治化され得ると信じるなら、それを割り引くかプライベートな例外を構築するだろう。最も強力な RPKI システムは、ルールが厳格で、狭く、予測可能であり、保有者も依拠ネットワークもシグナルを信頼できるものである。
ARIN ROA 失効リスクの監視点
第一の監視点は maxLength のずれである。すべての保有者は、自身の ROA が実際にアナウンスしている経路と、緊急時にアナウンスする必要があるかもしれない経路を許可しているかどうかを知るべきである。計画された/20 のアナウンス、定常的な/24 のより詳細な経路、DDoS 緩和経路、クラウド起点経路は、異なる認可選択を必要とするかもしれない。狭すぎると正当な経路を無効にし得る。広すぎると意図以上に認可し得る。設定は、移転、プロバイダ変更、クラウド導入、緊急計画の前に見直されるべきである。
第二の監視点は起点 ASN の陳腐化である。古いプロバイダ ASN、古いクラウド ASN、古い緩和 ASN、古い売り手 ASN は、運用関係が変わった後も ROA に残っていることがある。時には古い起点は移行のために意図的に保存される。時には惰性である。その違いは文書化されるべきである。陳腐化した起点は、望まない経路を有効に見せ続けるか、古いカバレッジ認可が現在のルーティングと衝突する場合に新しい経路を無効にすることがある。
第三の監視点はホスト型サービスへの依存である。ホスト型 RPKI を使用する保有者は、組織内の誰が ROA を変更できるか、アカウント回復がどのように機能するか、企業承継中に何が起こるか、停止中にどのようにサポートに連絡するか、移転イベントが ROA 権限に影響を与えるかどうかを知るべきである。ホスト型の利便性は、速度が重要なときに保有者が依然として行動できる場合にのみ価値がある。
第四の監視点は委任公開の健全性である。委任事業者は、リポジトリの到達可能性、マニフェストの有効性、証明書の期限切れ、失効データ、依拠者の取得結果を監視すべきである。委任 CA は自律性のトロフィーではない。それは運用上のコミットメントである。それが静かに失敗した場合、保有者はより広範なルーティングセキュリティ負荷を生み出し、回避できたはずの是正措置を招くかもしれない。
第五の監視点は移転の重複である。買い手と売り手は、クロージング前に古い ROA 状態と新しい ROA 状態を計画すべきである。重複が必要かどうか、複数の起点が一時的に認可されるかどうか、古い認可がいつ廃止されるか、誰がバリデータを監視するか、移行中に経路が拒否された場合に何が起こるかを決定すべきである。支払いタイミングとルーティングタイミングは別の宇宙として扱われるべきではない。
第六の監視点はクラウドとトランジットの事前検証である。BYOIP やプロバイダ変更を計画している保有者は、プラットフォームやキャリアがどのような ROA 状態を期待しているか、どの起点 ASN が指名されるべきか、どのプレフィックス長が許容されるか、検証にどれくらい時間がかかるか、拒否理由がどのように報告されるかを尋ねるべきである。これは、何度かの失敗したサポートサイクルを買う余裕のない小規模ネットワークにとって特に重要である。
第七の監視点は緊急時の継続性である。DDoS 緩和、ケーブル障害、データセンター停止、上流の終了、災害復旧は一時的な起点変更を必要とするかもしれない。それらの経路は可能な限り事前に認可され、狭く範囲を定められ、監視され、廃止されるべきである。緊急 ROA は永続的なデブリになってはならないが、緊急計画の欠如は管理可能なインシデントを無効経路イベントに変える可能性がある。
第八の監視点は手続き上の証拠である。ARIN または保有者が結果を伴う RPKI 措置を取った場合、その理由は後で再構成可能であるべきである。どのプレフィックスが影響を受けたか?どの証明書または ROA が変更されたか?原因は移転、期限切れ、侵害、委任公開の失敗、保有者の要求、誤り訂正、紛争のいずれだったか?どの通知が送られたか?どの修正経路が存在したか?市場は、事後に自らを説明できるシステムを信頼する。
第九の監視点は小規模保有者の使いやすさである。正しい ROA を維持できる唯一の保有者が大規模なエンジニアリングチームを持つ者だけなら、RPKI は市場障壁となる。ARIN は、小規模 ISP、大学ネットワーク、郡機関、ホスティング会社、カリブ海の事業者の目を通して、そのガイダンスとサポートをテストすべきである。最大の利用者のみが快適に運用できるセキュリティサービスは、信頼の恩恵を集中させるだろう。
結論:証明書チェーンは裁量ではなくインフラである
RPKI が強力なのは、ルーティングシステムに起点の認可を検証するより良い方法を提供するからである。その力は守られるべきである。偽または誤った起点の主張が受け入れられにくくなるほど、インターネットはより安全である。ARIN は、認識されたリソース管理に結びついたセキュリティ層をサポートする点で正しい。市場は、移転、クラウド、トランジット、継続性のファイルで ROA を求める点で正しい。経路起点のストーリーが機械検証可能な不足するアドレスブロックは、ストーリーがメールと記憶だけに依存するものよりも利用、融資、防御が容易である。
しかし、検証を改善する力は、制度的リスクも拡大し得る。ROA は小さい。それを読むシステムは小さくない。証明書の失効、リポジトリ障害、陳腐化したキャッシュ、誤った起点 ASN、maxLength の誤りは、バリデータ、プライベートフィルタ、クラウド認証システム、サポートデスク、リスクファイル、顧客ネットワークを通じて進む可能性がある。それは管理上の誤りを到達可能性イベントに、到達可能性イベントを資産の割引に変えることができる。だからこそ ROA 失効リスクは IPv4 不足の経済学に属するのである。
答えは ARIN を RPKI において弱くすることではない。答えは ARIN を狭く強くすることである。公開の信頼性において強く。制御の証明において強く。アカウントセキュリティにおいて強く。委任公開の監視において強く。技術的訂正において強く。緊急時の継続性において強く。裁量において狭く。失効トリガーにおいて狭く。セキュリティ層をリソースにリンクした経路起点証拠と証明書の整合性以外の何かに使用することにおいて狭く。
保有者にとっての教訓は運用規律である。ROA を生きた資産記録として扱うこと。起点 ASN を見直すこと。maxLength を見直すこと。移転の重複を計画すること。期限切れを監視すること。ホスト型依存を理解すること。委任リポジトリを健全に保つこと。クラウドとトランジットの要件を事前確認すること。緊急経路を文書化すること。有効、無効、不明の違いを学ぶために経路拒否を待たないこと。
プライベートネットワークにとっての教訓は、可能な限りの透明性である。経路が RPKI 状態のために拒否された場合、保有者にそれを修正するのに十分な情報を提供すること。クラウドプラットフォームが ROA を要求する場合、期待される起点とタイミングを明示すること。トランジットプロバイダが検証を他のフィルタと組み合わせる場合、拒否を理解可能にすること。正当な誤りが安価に修正でき、偽の主張は通過しにくいままであるときに、セキュリティは改善する。
ARIN にとっての制度的教訓は、不足時代のレジストリ層全体に適用されるものと同じである。記録管理者の権限は、記録を正確で、安全で、継続的で、ネットワークの運用に有用に保つことによって正当化される。それは、記録を資本に対する広範なレバーに変えることによって正当化されるのではない。証明書チェーンは、現在の検証可能なリソース管理を表現すべきである。それは静かな法廷、商業的道徳テスト、または経路警察になるべきではない。
ARIN 地域では、IPv4 アドレスがクラウド移行、キャリア、データセンター、公的機関、大学、銀行、病院、小規模 ISP、カリブ海の接続性を支えており、経路起点証拠は今やインターネットのバランスシートの中に座っている。実際的な問いは、もはや ROA が重要かどうかではない。それらは重要である。問いは、それらを取り巻く制度が、セキュリティの利益が継続性の衝撃にならないほどシグナルを十分に正確に保てるかどうかである。
正しい基準は控えめで、かつ要求が高い。狭く失効させ、明確に通知し、安全である場合には修正を許し、継続性がより安全な状態である場合には継続性を保ち、不服申立てを実効的にし、復旧を可能にし、RPKI を制度上の野心ではなく制御の証明に結びつけ続けること。それが、ARIN がルーティング可能性の裁判官になることなく、ルーティングセキュリティを支援する方法である。それはまた、証明書チェーンがもはやサイドファイルではなく、アドレスブロックを世界に到達させる運用上の信頼の一部であるときに、不足する IPv4 資本が使用可能であり続ける方法である。

