概要
- IANA 番号機能は、最上位の IPv4、IPv6、ASN の状態を維持し、ポリシーに適合した RIR リクエストを処理し、逆引き DNS の親委任をサポートし、グローバルな番号記録が一意であることを示す公開証拠を発行するという、契約可能な技術サービスとして扱われるときに最も強力になる。
- 政治的オーナーシップは誤った枠組みである。政府、ICANN、PTI、地域インターネットレジストリ、NRS のいずれも、レジストリサービスを運営しているという理由でインターネット番号を所有していると記述されるべきではない。正当化できる権限はより狭く、合意された標準の下で特定の調整業務を遂行し、サービスが失敗した場合には交代可能な状態を維持することである。
- Number Resource Society(NRS)に適合したモデルは、無謀になることなく前向きであり得る。NRS は、保持者のポータビリティ、オープンな検証、データ証明、監査可能性、既存事業者の拒否権からの自由を主張しながら、グローバルな一意性を維持し、認識された権威を補足的な証拠と区別することができる。
- 必要なアーキテクチャは契約的かつ証拠に基づくものである。署名された現在状態のコミットメント、割り当てレジストリとの照合、RDAP および逆引き DNS の証拠、RPKI の継続性、インシデントおよび修正の記録、後継者の準備態勢、透明性のある資格試験、そして二重登録やサービス人質取りからオペレータを保護する交代プロセスが含まれる。
IANA をめぐる誤った選択
IANA をめぐる議論は、しばしば誤った選択へと引き寄せられる。一方は IANA をインターネットガバナンスの残された公的な王冠と見なし、政治的オーナーシップまたは防衛を必要とする象徴的なポイントとみなす。他方は、IANA を中立的な技術デスクとみなし、周囲の権力問題は良きエンジニアリングマナーによって解決されるとする。どちらの記述も、番号資源にとっては不十分である。
番号機能は主権的領土ではない。すべてのアドレスを所有しているわけでも、すべてのオペレータにライセンスを与えているわけでも、すべての経路を支配しているわけでもない。しかし、単なる事務的な後付けでもない。IPv4、IPv6、自律システム(AS)番号委任の最上位記録は、レジストリシステムに共通の出発点を提供する。逆引き DNS の親委任、RDAP ブートストラップデータ、RPKI の階層仮定、グローバルポリシーの認識はすべて、直接的または間接的に、どのレジストリがどの資源に対して権威を持つかに関する安定した記録に依存している。
適切な枠組みは契約可能なサービスである。契約可能な IANA 機能には、指名された顧客、指名された責務、測定可能なサービス期待値、パフォーマンスの証拠、セキュリティと継続性の義務、データポータビリティ、紛争解決、交代ルールが存在する。それが政治的であるのは、どの機関がサービスを実行してよいか、どのような説明責任の条件の下でかを決定しなければならないという意味においてのみである。日々の正統性は、所有権のレトリックではなく、パフォーマンスと証明に基づくべきである。
この区別は、いかなる Number Resource Society(NRS)適合の未来にとっても重要である。NRS の最善の肯定的な議論は、番号に対する新たな政治的権威を宣言できることではない。それは、番号資源の調整が可搬性、検証可能性、そして既存のサービスプロバイダーが技術的依存を永続的な機関拒否権へと転化できないほどオープンであるべきだということである。その議論は、グローバルな一意性がより厳密に、より少なくではなく、維持される場合にのみ成功する。
契約可能なものは何か
IANA 番号における契約可能な部分は、定義されたサービスの遂行である。それには、未割り当てまたは委任済みの IPv4、IPv6、ASN 資源に関する最上位レジストリの維持、グローバルポリシーを満たすリクエストの処理、最上位レベルでの返却または再割り当ての記録、上位の逆引き DNS 委任のサポート、関連する公開レジストリの維持、そしてサービスに依存する関係者との運用証拠の共有が含まれる。
現在の IANA 番号サービス SLA は、すでにこのようなサービスを法的な責務に落とし込めることを証明している。同 SLA は、ICANN をオペレータとし、5つの RIR を当事者とし、有効なリクエスト処理、パフォーマンス報告、セキュリティ義務、紛争解決、非更新、終了、および後継者アレンジメントを特定している。それは完璧ではない。目に見える救済経路は遅れることがあり、通常の指標未達が自動的に公的な修正計画とはならない。しかし、この契約の存在は、IANA 番号機能が機関信頼のみによって統治されなければならないという考えを否定する。
次のステップは、契約をよりデータネイティブにすることである。タイミング指標は、リクエストが期間内に確認されたか、実装されたかを示す。データ証明指標は、結果として生じた状態が独立して再構築可能かどうかを示す。最上位レジストリは、ある正確な状態から別の状態へ変化したか。その変化は、ポリシーに適合したリクエストにリンクしていたか。以前の状態はアーカイブされたか。すべての依存する公開レジストリは更新されたか。第三者が、二つの矛盾する履歴が提示されたかどうかを検出できるか。
ここに NRS 適合の考え方が役立つ。NRS は正確な記帳と制限されたレジストリ権限を強調する。その哲学は、オペレータの権限が公開証拠によって制限されるサービス契約へと導くべきである。証明が改善されても、機能が弱くなるわけではない。それは、個人的信頼や既存事業者の評判への依存度を下げる。
グローバルな一意性は、政治的主張以前にデータの特性である
RFC 7020で記述されるインターネット番号レジストリシステムは、グローバルに一意な IP アドレス空間と AS 番号を分配するために存在する。一意性は中心的な運用上の約束である。それは、無関係な二つの当事者が、共に最終的と主張する二つの権威から同一の現在資源を受け取るべきではないことを意味する。また、歴史的な変化が、現在の状態がなぜそうなのかを説明できる程度に再構築可能であるべきことも意味する。
この約束は、データの特性として表現できる。ある時点において、資源範囲は権威的記録の中で一つの最上位状態を持つ:未割り当て、予約済み、レジストリに委任済み、返却済み、あるいは定義されたカテゴリーの下でその他のマークが付与される。後の状態は、記録された変更を通じて、以前の状態を拡張または置き換えるべきである。各変更は、そのソース権威、理由クラス、発効時刻、影響を受ける範囲、依存関係の影響を特定すべきである。
政治的オーナーシップの言語は、これを不明瞭にする。政府が所有権を主張するならば、問題は政府の正統性になる。ICANN や RIR が所有者として扱われるならば、サービスプロバイダーは交代させにくくなる。NRS が所有権を主張するならば、それは自らが批判する誤りを繰り返すことになる。これらのいずれの動きも、一意性を改善しない。実際的な問題は、すべての依存当事者が同一の現在状態を検証できるか、そして何らかの逸脱が迅速に検出できるかどうかである。
データ証明は、すべての紛争を解決できるわけではない。署名された記録は、決定が下されたことを示すことはできるが、その決定が公平、合法、または商業的に賢明であったかどうかは示さない。ハッシュコミットメントは、文書がある時点より前に存在したことを示すことができるが、署名者が権限を持っていたかどうかは示さない。照合レポートは、公開最上位台帳に重複がないことを示すことができるが、すべての地域メンバーレコードが完璧であるかどうかは示さない。しかし、これらの限定的な命題は依然として価値がある。それらは不一致を狭め、機関の主張をテスト可能にする。
したがって、契約可能な IANA 機能は、一意性を継続的に証明された状態として扱うべきである。サービスオペレータは、単にレジストリが正しいと言うだけではいけない。資格のある監査人、RIR、NRS スタイルのポータビリティサービス、ネットワークオペレータが、機密資料を公開することなく不整合を検出できるよう、十分な構造化証拠を公開すべきである。
サービスの顧客は契約当事者よりも広い
現在の IANA 番号契約は、ICANN と5つの RIR との間で結ばれている。RIR が最上位番号割り当てと逆引き DNS 調整の直接の顧客であるため、これは理にかなっている。彼らはリクエストを提出し、コストを償還し、NRO 構造を通じてパフォーマンスを監督する。契約には相手方が必要であり、RIR は明らかな法的顧客である。
運用上の依存関係はより広い。BYOIP を受け入れるかどうかを判断するクラウドプロバイダーは、アドレス記録に依存する。IPv4 担保を評価する銀行は、移転認識に依存する。経路を検証するネットワークオペレータは、RPKI トラストに依存する。接続性を調達する公的機関は、RDAP および逆引き DNS の証拠に依存する。レジストリ障害後にサービスを移行しようとする保持者は、データポータビリティに依存する。これらのアクターは、IANA SLA の下で直接の請求権を持たないかもしれないが、最上位調整が不透明であるか、または捕らわれている場合に、そのコストを負担する。
NRS 適合設計は、RIR を必要な契約当事者として維持しつつ、証拠を通じた公共の依存権を追加すべきである。それには、すべてのオペレータが IANA オペレータを訴える必要はない。必要とされるのは、検証可能な記録、公開されているインシデント通知、独立した監査サマリー、保持者が読める受領証、そして継続性をサポートすると主張するあらゆるサービスに対するオープンな資格基準である。
法的顧客と運用上の依存当事者との区別は、重要インフラでは一般的である。清算機関は会員と契約する一方で、投資家は決済の確定性に依存する。認証局は加入者と契約する一方で、ブラウザやユーザーは検証に依存する。レジストリはレジストラと契約する一方で、登録者やリゾルバは結果として生じた状態に依存する。法律は、すべての依存当事者に直接の救済措置を与えるとは限らないため、証拠層がより重要になる。
NRS はこの層で有用となり得る。保持者の受領証、独立した観察、ポータビリティパッケージ、依存を盲目でなくす継続性の証明を提唱できる。利害関係の依存を、権威への近道として使うべきではない。より安全な主張は、より広い依存には、より広い政治的指令ではなく、より広い検証が必要であるということである。
技術的 SLA は応答時間以上のものを測定すべき
現在の SLA のタイミング保証は必要である。有効なリクエストは確認されなければならず、追加情報は定義された期間内に要求されなければならず、通常の実装は関連する起点から定義された期間内に発生しなければならない。オペレータがより長い期間内にリクエストを履行できないか、または履行しない場合、ステータスと理由を説明しなければならない。これらの義務は、サービスが沈黙の中に消えるのを防ぐ。
将来の契約可能なモデルにとって、タイミングは外層にすぎない。真のサービスレベルは、状態遷移の完全性である。良い SLA は、リクエスト受諾、拒否理由、実装遅延、レジストリ状態の一貫性、以前と新規の状態コミットメントの公開、逆引き DNS の伝播、RDAP ブートストラップ更新の整合性、RPKI トラストへの影響、インシデント開示、修正遅延、後継者エクスポートの準備態勢を測定するであろう。
また、重大度を区別するであろう。遅れた確認応答は、重複割り当てとは同じではない。古くなった RDAP ブートストラップエントリは、侵害された署名鍵と同じではない。逆引き DNS の遅延は、権威的レジストリ履歴の喪失と同じではない。成熟した SLA は、インシデントのクラス、要求される説明、治癒期間、公開サマリー、各クラスのエスカレーショントリガーを持つべきである。
これはそれ自体のための官僚主義ではない。重大度クラスがなければ、最も強力な救済措置は強力すぎ、通常の指標は弱すぎる。終了(termination)は、あらゆる未達に対する賢明な対応ではない。沈黙は、繰り返されるか、説明のない失敗に対する賢明な対応ではない。中間的な救済措置は、痕跡を作り出すため、交代を信頼できるものにする。すなわち、警告、公的な分類、修正計画、独立した検証、繰り返される失敗、そして後継者の実行である。
NRS 適合の改革は、この中間層を主張すべきである。将来のレジストリサービスは、選択肢が制度的信頼か制度的死しかないのであれば、説明責任を果たせない。契約可能な説明責任は、その中間に存在する。
データ証明はサービスに組み込むべき
最上位番号サービスは、現在状態への構造化されたコミットメントを公開すべきである。コミットメントは完全なデータダンプではない。それは、特定の状態ファイル、時刻、変更セット、およびオペレータ鍵を結びつける署名された宣言であり得る。独立した当事者は、後に、受け取った状態がコミットされた記録と一致するかどうかを確認できる。同じ時刻またはシーケンスについて二つの互換性のないコミットメントが現れた場合、矛盾が可視化される。
プルーフセットには複数の層が含まれるべきである。第一に、最上位の IPv4、IPv6、ASN 委任、予約、返却をカバーする署名された現在状態ファイル。第二に、各新規状態を以前の状態および理由クラスにリンクする署名された変更ログ。第三に、RDAP ブートストラップエントリ、逆引き DNS 親委任、および公開 IANA 割り当てレジストリを比較する照合レポート。第四に、後継者が既存事業者に自らの履歴を記憶から説明させることなく、サービスを再構築するのに十分なエクスポートパッケージ。
プライバシーとセキュリティの制限は重要である。すべてのリクエスト文書、スタッフ交換、認証詳細が公開されるべきではない。証明は、保護された資料を公開することなく、それにコミットすることができる。公開エントリは、指名された RIR 役割によって認証されたポリシー適合リクエストが変更をサポートしたこと、および保護されたリクエスト記録が定義されたアクセスルールの下で保持されていることを記述できる。レビューアは、紛争が生じた場合に資料を検査できる。
結果として生じるのは、限定された信頼である。オペレータは、すべての内部会話が完璧であったと信頼する必要はない。オペレータは、公開状態が一つの履歴を持っていること、変更が帰属可能であること、保護された証拠が存在すること、監査人がそれを検査できること、そして後継者がそれを利用できることへの確信を必要とする。これは、RPKI マニフェスト、リポジトリ同期、透明性ログの背後にある精神と同じである:証明できるものを証明し、判断に委ねられるものにラベルを貼り、修正のために十分な証拠を保持せよ。
NRS は、この証明規律を擁護すべきである。なぜなら、それはその帳簿係の前提と合致するからである。より良い帳簿係は、神秘的な権威を主張しない。監査に耐える記録を保持する。
RPKI は、自己宣言的権威ではなく、受け入れられた信頼の重要性を示す
RPKI は、将来の任意の番号モデルにとって厳しい教訓を与える。証明書と署名されたオブジェクトは、経路起点の認可をより検証可能にすることができるが、その権威は受け入れられたトラストアンカーと資源委任に依存する。RFC 6480は、IANA を頂点とし、RIR や下位層を通じて拡張する階層を記述している。受け入れられたチェーンの外にある署名は、技術的に正しいとしても、運用上無視される可能性がある。
IANA にとって、これはトラストアンカーの継続性がサービス上の問題であることを意味する。最上位の資源権威またはサポート鍵が変更された場合、依存当事者は、明確で段階的で認証された情報を受け取らなければならない。RFC 8630のトラストアンカーロケータモデルや、その後のトラストアンカー鍵作業は、ブートストラップと鍵移行が、ファイル形式の問題と同様に、ガバナンスの問題であることを示している。依存当事者は、時間、共存、複数の取得場所、そして後継者鍵がなりすましではないという確信を必要とする。
NRS にとって、同じポイントは境界である。NRS は、補足的な保持者証拠、継続性鍵、署名された受領証を公開できる。単に署名することで、それらをグローバルに権威的にすることはできない。オペレータは、署名がメンバーシップ、保持者の主張、独立したレビュー、認識されたレジストリ受領証、または最上位委任のいずれを証明するのかを知らなければならない。各命題には、異なるトラストラベルが必要である。
したがって、契約可能な IANA 機能は、トラストクラスを分離すべきである。権威的な最上位レジストリ状態は、契約に基づき、受け入れられた IANA オペレータまたは後継者から提供されるべきである。補足的なポータビリティ証拠は、NRS または他の保証機関から提供され得る。RPKI 経路起点の妥当性は、受け入れられた証明書チェーンから提供され得る。法的権利は、契約、裁判記録、または地域レジストリ決定を必要とするかもしれない。これらのラベルを混在させることは、混乱とリスクを生み出す。
肯定的な未来は、あらゆる主張を支配する一つのルートではない。それは、各ルートが狭い事柄を証明し、サービスプロバイダーの交代が歴史的証明を破壊しない、相互運用可能な証拠環境である。
RDAP と逆引き DNS は依存関係の連鎖を露呈する
RDAP ブートストラップと逆引き DNS は、IANA がアドレス割り当て表に還元されえない理由を示している。RFC 9224は、IANA 割り当てデータから生成された、RDAP サービス情報を含む RDAP ブートストラップレジストリを記述する。その目的は、ユーザーを悪質なソースではなく、権威的な登録データへと導くことである。RFC 3172は、IANA および地域レジストリを通じた in-addr.arpa および ip6.arpa の委任を記述している。これらは、最上位の認識に基づいて構築された依存関係の連鎖である。
IANA オペレータまたは後継者がこれらの連鎖を誤って扱った場合、その害は実際的である。クエリツールは間違ったサービスを指し示す。アビューズデスクは古い記録を見つける。調達チェックは失敗する。逆引きアイデンティティは古い委任に結び付けられたままになる。RPKI と RDAP は、依存当事者を混乱させるような形で食い違うことがある。レジストリ障害後に移行しようとする保持者は、移動しない公開記録に直面する。
したがって、契約は依存するサーフェス間での一貫性を要求すべきである。最上位割り当ての変更は、RDAP ブートストラップ状態に対するチェックをトリガーすべきである。逆引き DNS 親委任の変更には、記録されたソースと伝播レポートを伴うべきである。レジストリサービスの交代は、公開エンドポイント、キャッシュ、シリアル番号、証明書、ツールメンテナーへの通知の計画を含むべきである。紛争は、状態を読み取り不能にすることなくマークされるべきである。
ここに、既存事業者の拒否権が潜み得る。既存のレジストリまたはサービスプロバイダーは、依存するサーフェスを理解しているのは自分たちだけであり、交代は継続性を危険にさらすと主張するかもしれない。時にその警告は真実であり、時にそれは交渉上の立場である。データ証明とリハーサルされたエクスポートパッケージは、二つを区別するのに役立つ。依存関係が文書化されテストされていれば、継続性リスクは管理可能になる。依存関係が非公開でパーソナリティに基づくものであれば、既存事業者は設計上、交代不可能になる。
NRS 適合アプローチは、反既存事業者であることよりも、継続性推進であるべきだ。交代そのものを目的として要求すべきではない。いかなる既存事業者も、証拠、フォーマット、鍵、履歴状態、またはサービス地図を差し控えることによって、交代を不可能にできないことを要求すべきである。
交代は脅威ではなく、手続きである
「交代」という言葉は不安定化させるように聞こえるかもしれない。IANA 番号にとっては、その逆を意味すべきである:現在のオペレータが重大な失敗をし、権限を失い、遂行不能になるか、あるいは更新されない場合に、サービスを継続させることを可能にする、テストされた経路。交代経路の存在は、まさにそれがパニックを軽減するがゆえに、既存事業者を規律付ける。
信頼できる手続きは、失敗のかなり前から始まる。後継者の資格基準を定義する:技術的能力、中立性、財務的回復力、セキュリティ管理、公開報告、データ保管、鍵管理、利益相反ルール、監査、言語能力、継続性演習。既存事業者に対し、エクスポート可能な状態を維持し、協力を提供することを要求する。誰が評価をトリガーでき、誰が後継者を承認でき、紛争がどのようにマークされ、オペレータがどのように通知されるかを定義する。
手続きはまた、移行中の一意性を保護しなければならない。特定の最上位状態について、凍結または制御された変更期間が存在すべきである。既存事業者と後継者の記録間で照合が行われるべきである。公開される切り替え時刻、以前と新規の状態コミットメント、緊急ロールバックルール、そして処理中のリクエストに対処する方法が存在すべきである。いかなる保持者も、一つのサービスにある記録を提示し、別の場所に別の記録を提示することによって、移行を悪用できてはならない。
交代は、最後の瞬間における既存事業者の許可に依存すべきではない。既存事業者はデュープロセス、治癒の機会、引き継ぎにおける役割を持つべきである。定義された失敗または非更新の条件が満たされた後には、拒否権を保持すべきではない。さもなければ、交代権は芝居に過ぎなくなる。
この原則は、NRS 適合テーゼの核心である。既存事業者は優秀であり得る。正当な専門知識を保持し得る。耳を傾けられるべきである。運用上の記憶を永続的な政治的オーナーシップに転化できるようにすべきではない。サービスは、それを現在遂行するオフィスではなく、共通の一意性要求に属する。
主権の言語は誤った救済策を生み出す
番号資源は国境を越えるが、それはそれらを主権的領土にするわけではない。政府は、管轄区域内の企業、契約、税、制裁、詐欺、電気通信免許、破産、公共安全に対して合法的な権限を持つ。これらの事実はレジストリ証拠に影響を与え得る。しかし、それは、保持者がそこに居住している、あるいはレジストリがそこに設立されているというだけの理由で、国家がプレフィックスを所有していることを意味するわけではない。
主権の言語は、乱暴な救済策を生み出す。国家が資源を所有すると言われるならば、レジストリは外交的道具となる。グローバル企業がそれを所有すると言われるならば、民間ガバナンスは準主権へと硬化する。地域レジストリがそれを所有すると言われるならば、メンバーサービスは領土的支配に変わる。NRS がそれに応じて所有権を主張するならば、対立は単に旗を変えるだけである。
より良い救済策は、契約と証拠である。裁判所命令は、定義された効果を持つ法的な事実として記録され得る。制裁リストは、サービス分類と通知経路を通じて処理され得る。規制当局は、グローバルな最上位台帳を書き換えることなく、国内オペレータに行動を要求できる。レジストリは、資源を時期尚早に再割り当てすることなく、紛争をマークできる。後継者は、政治的支配を主張することなく、サービスを継続できる。
このアプローチは、しかるべき場所で公的権威を尊重し、それが技術的調整を飲み込むのを防ぐ。また、オペレータを保護する。彼らが必要とするのは、予測可能な記録であって、主権の芝居ではない。IPv4 資産に融資する銀行、ルートオブジェクトを受け入れるクラウド、サービスに依存する公的機関、あるいは資源を移転する小規模 ISP は、どの機関が変更を記録し、なぜ記録するのかを知る必要がある。誰がインターネットを所有しているかという大言壮語から利益を得ることはない。
NRS の最も強力な哲学は、番号資源機関は帳簿係であり、支配者ではないという主張である。契約可能な IANA モデルは、その哲学を最上位で運用可能にする。帳簿を正確に保ち、それを証明し、帳簿係を交代可能に保ち、通常の政治的権威をレジストリサービスの外に置く。
既存事業者の拒否権がないということは、客観的な資格を意味する
既存事業者の拒否権を取り除くことは、いかなる新規参入者も権威を主張することを許すことを意味しない。それは、資格を、市場での地位が脅かされるであろう機関による同意から分離することを意味する。NRS を含む将来のサービスプロバイダーは、何らかの認識された責任を受け取る前に、客観的なテストに合格すべきである。
それらのテストは公開されるべきである。候補者は、グローバルに到達可能なサービスエンドポイントを維持できるか。鍵を保護できるか。ポリシーを考案することなく、グローバルポリシーの下で最上位リクエストを処理できるか。署名された状態コミットメントと保護された証拠受領証を公開できるか。RDAP ブートストラップと逆引き DNS の照合演習を実行できるか。機密性を保持できるか。利益相反を管理できるか。資金ストレスを生き延びられるか。独立したレビューに服することができるか。別の後継者にデータをエクスポートできるか。
既存事業者は、故障モードを理解しているため、テストに貢献すべきである。その証拠は使用されるべきである。その反対は決定的であってはならない。既存事業者によって管理される資格体制は、カルテル憲法となる。既存事業者の知識を無視する資格体制は、安全でなくなる。答えは、危機の前に合意された基準に対する独立した評価である。
NRO、ICANN、IETF 関連の技術専門家、オペレータ、保持者、監査人、ポータビリティ提唱者は皆、基準に貢献できる。NRS は、保持者ポータビリティと反支配の視点を貢献できる。最終ルールは、サービス中立的であるべきである:誰であれ、証明、継続性、説明責任の基準を満たすことができれば検討され、満たせなければ認識を受けるべきではない。
これが契約可能な機能の実際的な意味である。権威は、テストされたサービス義務と受け入れられた証明に従うのであって、パーソナリティ、歴史、拒否権に従うのではない。
NRS の最初の役割は証拠であり、交代ではない
肯定的な NRS 適合の記事は、NRS がすでに IANA 番号サービスや受け入れられたグローバルトラストアンカーを運用しているふりをすべきではない。現在の公開資料は、提唱、憲章声明、メンバーシップ条件である。それらは哲学とメンバー決定面を確立する。広範なオペレータの採用、IANA 委任、RPKI ルート受け入れ、グローバルレジストリ権威を確立してはいない。
この制約は、NRS を無関係にはしない。それは正しい最初の役割を特定する:一意性を脅かすことなく評価できる、可搬的な証拠サービスを構築せよ。NRS は、理由付きのメンバーシップ受領証を発行し、メンバーの継続性鍵を保護し、自らの決定に対する立会人のあるコミットメントを公開し、保持者提供の証拠を保存し、その加入または終了の選択に関する独立したレビューをサポートし、検証可能な履歴をもって退出を許可することができる。証明によって帳簿係が制約され得ることを示すことができる。
そこから、NRS は、結果を宣言するのではなく証拠をパッケージ化することによって、紛争、移転、または継続性計画において保持者を支援できる。保持者は、署名された履歴、企業承継証拠、レジストリ受領証、RPKI 状態、RDAP 参照、逆引き DNS 記録、紛争ノートを携帯できる。オペレータは、権威的な IANA および RIR 記録を依然として確認しながら、そのパッケージを検証できる。これにより、二重割り当てなしに、市場と運用の信頼性が向上する。
そのような証拠サービスが証明された後にのみ、NRS はより正式な役割を追求すべきである。自身のメンバーシップ決定を説明できないサービスは、グローバルレジストリを運営すべきではない。証拠を保存し、レビューをサポートし、継続性を証明し、状態をエクスポートできるサービスは、より大きな信頼のための信頼できる基盤を持つ。
したがって、NRS にとっての肯定的なケースは段階的である。まず抑制を証明せよ。次に証拠を証明せよ。次に相互運用性を証明せよ。それから初めて、認識されたサービス役割が正当化されるかどうかを問うべきである。
契約はレジストリと同様に保持者も保護すべき
現在の番号 SLA は RIR 顧客を中心に構築されており、それは最上位割り当てにとっては論理的である。将来の説明責任モデルは、各保持者を契約当事者にすることなく、保持者向けの保護を追加すべきである。契約は、オペレータおよび後継者に、保持者が必要とする証拠を保存することを要求できる:過去の最上位状態、移転認識マーカー、紛争注記、逆引き DNS 委任履歴、RPKI 継続性情報、修正の公的説明。
保持者保護が重要であるのは、レジストリサービスの失敗が制度的境界で止まらないためである。RIR または最上位オペレータが継続性を証明できない場合、保持者はクラウドの受け入れ、融資価値、移転の確実性、経路起点の信頼、または公共部門の適格性を失う可能性がある。保持者はどの機関が失敗したかを気にしないかもしれない;その資源履歴が依然として検証可能であることを気にする。
したがって、契約は最低限のエクスポート権を明記すべきである。交代時には、機密でない現在状態は公開されるべきである。保護された証拠は、エスクローまたは独立した保管の下で移動されるべきである。保持者は、自身に影響を及ぼす記録の通知を受け取るべきである。紛争は、私的な申し立てを公開することなく、可視的であるべきである。修正手続きは引き継ぎ後も存続すべきである。後継者は、空白の制度的記憶で開始すべきではない。
これは、移転市場のアーキテクチャと整合する。IPv4 の希少性は、番号資源を経済的に重要なものにした。サービスプロバイダーが変わるたびに認識が消えるならば、市場は機能し得ない。確定性は、オフィスよりも長く存続する記録を必要とする。ポータビリティは、保持者と共に移動する証明を必要とする。レジストリサービス間の競争は、資源を複製することなく移動する方法を必要とする。
NRS は、一意性に忠実でありながら、この保持者の権利の側面を主張できる。要点は、保持者が最も容易なレジストリを探し回れるようにすることではない。要点は、証拠が継続性を証明できる場合に、正当な保持者が説明責任のないレジストリ関係に捕らわれるのを防ぐことである。
アンチフラグメンテーションは、一つの状態と多数の検証者を必要とする
代替レジストリサービスをめぐる恐れは、フラグメンテーションである:同じ資源についての二つの非互換記録、二つの RPKI ビュー、二つの RDAP 回答、二つの移転履歴、そして側を選ぶオペレータ。その恐れは正当である。主張によってすべての機関を等しく権威的と扱う将来のモデルは、それが保護すると主張するまさにその一意性を損なうであろう。
答えは、一つの交代不可能な機関ではない。それは、一つの権威的な現在状態、多数の検証者、そしてその状態を公開するサービスプロバイダーを変更するための定義された手続きである。検証者には、RIR、オペレータ、NRS、監査人、研究者、クラウドプロバイダー、公共アーカイブが含まれ得る。彼らの仕事は、不整合を検出し、証拠を保存し、公開者に説明責任を負わせることである。彼らはそれぞれ、矛盾する現在状態を作り出すわけではない。
この区別は他のシステムでは馴染み深い。多数の当事者が、それぞれが公式残高を鋳造することなく台帳を検証できる。多数のモニターが、それぞれが証明書を発行することなく透明性ログを監視できる。多数のオペレータが、それぞれがアドレス空間を割り当てることなく RPKI を検証できる。役割が明確な場合、分散検証は単一の状態を強化する。
契約可能な IANA 機能は、独立したミラー、立会人のあるコミットメント、再現可能な状態ファイル、公開バリデータ、外部監査を奨励すべきである。権威的に見えるが照合しないプライベートな並行状態を阻止すべきである。NRS は、認識された契約がサービス役割を与えない限り、自らを検証側に置くべきである。その姿勢は、NRS をより安全でより説得力のあるものにする。
アンチフラグメンテーションはまた、緊急時の計画を意味する。既存事業者が失敗した場合、後継者は、好ましい政治的書き換えではなく、同じ最新の有効状態を公開すべきである。修正は、通知と証拠レビューの後に行われ得る。移行における第一の義務は、一意性の継続である。
資金は、機関ではなく、サービスに追随すべき
契約可能な機能は、オペレータを交代不可能にすることなく、信頼できるサービスに対して支払う資金モデルを必要とする。資金は、スタッフ、セキュリティ、基盤、監査、法的準備、エスクロー、独立レビュー、鍵管理、継続性演習、公開報告をカバーすべきである。それは、既存事業者オフィスへの忠誠の支払いになってはならない。
手数料が現在の機関を通じてのみルーティングされるならば、それらの機関は交代を財政的混乱として枠付けることができる。後継者が保証された移行資金を持たなければ、交代権は空疎である。NRS や別の候補者が不透明なドナー支援に依存するならば、独立性が疑わしくなる。したがって契約は、サービス資金、準備金ルール、移行資金、監査要件を事前に定義すべきである。
現在の SLA は、IANA 番号サービスに対して RIR による償還を使用している。将来のモデルは、共同資金を保持しつつ、部分を可搬的にすることができる:エスクロー資金による移行サポート、独立評価者の資金、公開証明基盤、緊急運営準備金。金は、既存事業者の威信ではなく、サービス責務に付着すべきである。
これは機械的速度での競争入札の主張ではない。IANA 番号は、気軽な入れ替えには重要すぎる。これは、サービスプロバイダーが定義された失敗によって役割を失い得ることを知り、後継者が資金、データ、協力を既存事業者に請うことなく遂行できると知るべきであるという主張である。
資金規律は、反政治の規律でもある。主権の物語はしばしば資源の問いを隠す:誰が支払うのか、誰が準備金を管理するのか、誰が訴訟に資金を提供するのか、誰が緊急スタッフに資金を提供するのか。契約は、これらの問いを数字、監査、トリガーの中に置く。
公開証明が公的露出になってはならない
より多くの証拠が常により多くの公開データであるとは限らない。番号資源記録には、ビジネス関係、連絡先、セキュリティイベント、移転交渉、裁判資料、個人情報が含まれる。証明指向の IANA モデルは、決定の背後にあるあらゆる文書ではなく、状態を検証するために必要な最小限を露出すべきである。
公開層は、資源範囲、現在の最上位状態、発行者、シーケンス、時刻、理由クラス、依存サービス状態、保護された証拠へのコミットメントを表示できる。保護層は、認証されたリクエスト、身元証明、法的文書、スタッフ分析、セキュリティ詳細をアクセスルールの下で保持できる。監査層は、独立したレビューアが、証拠自体を公開することなく、保護された証拠が公開状態をサポートすることを確認することを許可できる。
これは NRS にとっても重要である。公表しすぎるポータビリティサービスは、保持者を落胆させ、セキュリティリスクを生み出す。公表が少なすぎるサービスは、世界に対し信頼するよう求める。正しい答えは、選択的開示と強力なコミットメントである:存在、完全性、シーケンス、レビュー可能性を証明し、正当な必要のある当事者にのみ内容を開示する。
設計はまた、修正を考慮すべきである。公開コミットメントが誤った状態を含む場合、その記録は消去されるべきではない。修正、理由、以前のコミットメントへのリンクをもって置き換えられるべきである。歴史的完全性と現在の正確性は共に重要である。恥ずべき記録を削除することは帳簿係を信頼できなくし、誤った記録を凍結することはそれを危険にする。
したがって、露出なき証明は、スローガンではなく、設計上の要件である。それは、商業的および個人的な境界を尊重しつつ、グローバルサービスがいかにして説明責任を果たせるかということである。
交代トリガーは正確であるべき
交代手続きは、トリガーが定義されている場合にのみ信頼できる。漠然とした不満では十分ではない。サービスは、以下のような条件を特定すべきである:高重大度のサービスレベルを満たすことの繰り返される重大な失敗、要求されたデータエクスポートの提供拒否、適切な治癒を伴わないセキュリティ侵害、法的能力の喪失、サービスに影響を及ぼす破産、有効なグローバルポリシーリクエストの実装の持続的失敗、一意性の保持の失敗、デュープロセス後の非更新。
各トリガーには証拠がなければならない。繰り返されるサービス未達には、指標とインシデント分類が必要である。データエクスポート失敗には、リクエストと不履行の証明が必要である。セキュリティ失敗には、保護されているがレビュー可能な所見が必要である。一意性の失敗には、矛盾する状態記録または重複委任が必要である。法的能力問題には、正式な文書が必要である。交代決定は、気分に基づくべきではない。
手続きにはまた、治癒経路がなければならない。一部の失敗は修正できる。一部は、永続的交代なしの一時的な介入を必要とする。一部は独立した監視を必要とする。一部は即時の緊急行動を正当化する。契約は、危機の前にそれらを区別すべきである。
NRS は、正確なトリガーをサポートすべきである。なぜなら、それは支配と混乱の両方を防ぐからである。既存事業者は、単に代替者が彼らを嫌っているという理由で排除されることはできない。また、排除が政治的に厄介だというだけの理由で、既存事業者が留まり続けることもできない。仕事をするのは、機関の同一性ではなく、サービス基準である。
正確性はまた、グローバルな一意性を保護する。争いのある交代の間、オペレータはどの状態に依存すべきかを知る必要がある。定義されたトリガーと公的通知は、二つの機関が同時に同じ役割を主張するリスクを軽減する。
最初の契約は、危機なしにテスト可能であるべき
契約可能な IANA モデルは、その約束をテストする前に制度的失敗を待つべきではない。最初のサービス契約、または既存のものの次の改訂は、サービスが制度的記憶ではなく証拠から再構築可能であることを証明する定期的な演習を要求すべきである。卓上演習は有用だが、それだけでは十分ではない。オペレータは、後継者エクスポート、現在状態コミットメント、依存サービス照合、そして独立したレビュー用のサンプル保護証拠パケットを定期的に作成すべきである。
演習は、狭く安全であるべきである。ライブの権威を動かしてはならない。歴史的変更、現在の委任状態、逆引き DNS 更新経路、RDAP ブートストラップ関係を選択し、次に独立したレビューアに、エクスポートされた証拠から何が起きたかを再構築するよう求める。レビューアが、どの状態が現在か、なぜそれが変更されたのか、どの依存サーフェスが触れられたか、またはどの保護証拠が変更をサポートしているかを判断できない場合、日常業務がグリーンであっても、サービスにはポータビリティ欠陥がある。
この種のテストはインセンティブを変えるであろう。既存事業者は、後継者が読み取れる形式で記録を維持しなければならないと知る。潜在的な後継者は、危機の前に実際の運用面を学ぶ。RIR は、どの依存関係が不十分に文書化されているかを学ぶ。保持者は、自らの認識履歴がプライベートなシステムに閉じ込められていないという確信を得る。NRS やその他の外部検証者は、ライブレジストリに対する権威を主張することなく、証拠の質を批評できるようになる。
テストには、故障の仮定が含まれるべきである。既存事業者のメインリポジトリが利用不能である場合はどうか。エクスポート期間中に署名鍵がローテーションされる場合はどうか。リクエストがレビュー中である場合はどうか。裁判所命令が、最上位委任ではなく、一人の保持者に影響を与える場合はどうか。RDAP ブートストラップと逆引き DNS 記録が一致しない場合はどうか。一つの RIR がエクスポートされた状態に異議を唱え、四つが受け入れる場合はどうか。失敗前にこれらの質問に答えられない契約は、後で圧力の下でそれらに答えることになる。
公開される結果は限定的であり得る。セキュリティ詳細、認証資料、プライベートな保持者証拠は保護されたままであるべきである。しかし、レビューアは、エクスポートが完全であったか、状態が内部的に一貫していたか、依存サービスが照合されたか、保護証拠が存在したか、回復タイミングが期待に合致したか、そしてどのカテゴリーが修正を必要とするかを公表できる。それで、機密記録を露出することなく、交代を信頼できるものにするのに十分である。
このテスト可能契約アプローチこそが、NRS が最も建設的に貢献できるところである。今日の既存事業者と明日の挑戦者の間で世界に選択を求める代わりに、NRS はすべてのサービスプロバイダーにポータビリティを証明するよう求めることができる。要求は中立的である。PTI が合格すれば、PTI への信頼が高まる。将来の NRS サービスが自身の記録で合格すれば、NRS への信頼が高まる。既存事業者がテストを妨害すれば、コミュニティは、継続性への脅威が、交代のアイデアからではなく、不透明性から来ることを学ぶ。
定期的なテストはまた、改革が危機の武器になるのを防ぐ。要点は、後継者を待ち伏せに備えさせることではない。要点は、すべてのオペレータが、サービスこそが永続的なものであり、オフィスではないかのように振る舞わせることである。それが、契約可能な IANA 機能の中心的規律である。
演習が退屈ならば、それは成功したといえる。退屈な証明こそが、制度の信任が突然失墜したときに、交代を合法的、平穏、かつ技術的に存続可能に保つものである。それはまた、噂が経路ポリシーになる前に、オペレータに共有の参照を提供する。
将来のモデルは、狭いことによって急進的であり得る
最も急進的な変化は、IANA 番号機能を退屈なまでに契約可能にすることであろう。象徴的でもなく、主権的でもなく、所有もされず、免責もされない。定義されたサービスであり、資格のあるオペレータによって遂行され、可視的な指標、データ証明、独立レビュー、保持者に配慮した証拠ルール、そして実際の交代の下にある。
そのモデルは、NRS の最善のバージョンと両立可能である。NRS は、レジストリ権限は制限されるべきであり、証拠は移動すべきであり、保持者は囚われてはならず、市場は信頼できる証明を受け取るべきであり、既存事業者は交代可能であるべきだと主張できる。その際、現在の権威的状態は単一であり続け、補足的記録が認識された割り当てとして偽装してはならないと主張できる。
このモデルはまた、ICANN の合法的な役割とも両立可能である。ICANN は、その使命がそれを要求する最上位層での調整を継続できる。PTI は、サービス基準を満たすならば、機能の運用を継続できる。RIR は、当事者およびポリシー開発者であり続けることができる。オペレータはより良い証明を得ることができる。保持者はポータビリティを得ることができる。政府は、番号空間の所有権を主張することなく、通常の管轄権の範囲内で行動できる。
緊張は、秩序と改革の間ではない。審査不可能な秩序と、検証された秩序の間である。契約可能な IANA 機能は、検証された秩序を選ぶ。それはこう言う:「一つの状態を保ち、それを証明し、帳簿係に説明責任を負わせ、交代が必要になる前に交代に備えよ。」
それが、グローバルな一意性が、政治的所有物になることなく、制度的変化を生き延びる道筋である。

