概要
- グローバルな番号資源移転台帳は、地域をまたいで認識された変更の単一の競合のない履歴を維持すべきです。グローバルな一意性は共有される不変条件であり、グローバルな商業的承認機関は必要ありません。
- 番号資源社会(NRS)は、最小限の共通データプロトコルと適合性テストを定義し、複数の記録サービスプロバイダーが競争できるようにすることができます。当事者は、基礎となる資源請求を変更することなく、プロバイダーを選択および変更できるべきです。
- 受理された変更はすべて、検証可能なレシートを生成する必要があります。このレシートには、以前の状態、新しい状態、プレフィックス、イベントタイプ、有効時期、承認署名、サービスプロバイダー、および審査された証拠へのコミットメントが含まれます。レシートは、何が記録されたかを証明するものであり、価格の公正性や目的の妥当性を証明するものではありません。
- 商業条件は公開台帳に載せるべきではありません。価格、支払いスケジュール、資金調達、顧客計画、リース条件、機密の企業文書は、承認と完全性の最小限の証明のみを保持し、非公開で交換できます。
- 移植性には 2 つの形態があります。資源を新しい保有者に移転することと、既存の保有者が資源を移転せずに記録サービスを移行することです。後者は、既存プロバイダーの障害やロックインに対する構造的な保護策です。
- 単一のプロバイダー、NRS 委員会、RIR、IANA 機能、または監査人が、取引が気に入らないという理由で市場参入を管理したり、価格を設定したり、事業用途を承認したり、有効な変更を阻止したりしてはなりません。決定的な一意性と承認のチェックは正当ですが、商業的判断は別の場所で行うべきです。
一つのグローバル事実に一つのグローバル支配者は不要
IPv4 ブロックは、同時に 2 つの無関係な当事者によって排他的に保有されているとは認識できません。これが難しいグローバルな問題です。地域間の移転は、ネットワーク、セキュリティシステム、取引相手、将来の買い手が依存する事実を変更します。2 つのレジストリが矛盾する回答を公開した場合、その損害は単なる管理上の問題にとどまりません。その資源は、ルーティング、資金調達、リース、保険、保護、再移転が困難になります。
従来の回答は階層的でした。IANA が割り振り階層の最上位を維持し、5 つの地域インターネットレジストリ(RIR)が大陸規模のサービス領域内で記録を管理し、その下でローカルインターネットレジストリと顧客が運用しています。RFC 7020はこの構造を記述し、登録の正確性と一意性を中核的要件として特定しています。
その歴史は、将来のすべての移転が 1 つの地域機関の商業的判断を通過しなければならないことを証明するものではありません。それが必要であるのは、認識された登録に関する信頼できる回答です。不足が IPv4 移転を資本取引に変えたため、この区別は重要です。記録管理者は、自身が生み出したわけではない価格、資金調達、運営目的の取引を遅延させたり拒否したりできるようになりました。
誤った選択は、地域的な断片化と、主権的な裁量を持つ世界レジストラとの間にあります。断片化は矛盾する記録、互換性のない経路、弱い移植性を生み出します。世界レジストラは、すべての失敗、政治的圧力、ポリシー拡大を 1 箇所に集中させることで一貫性を解決するかもしれません。
番号資源社会(NRS)は第 3 のアーキテクチャを提供します。グローバル層は、最高機関ではなく共通の記録プロトコルであり得ます。複数のプロバイダーが同じ狭い不変条件を検証し、相互運用可能なレシートを発行し、受理された変更を複製できます。保有者はサービスを移行できます。監査人は不整合な履歴を検出できます。商業当事者は契約内容を非公開に保つことができます。
これは「不在によるガバナンス」ではありません。一意性、承認、競合、署名、タイミング、修正、継続性に関するルールは正確でなければなりません。抑制は、それらのルールが対象としないものにあります。誰が購入に値するか、アドレスの価格はいくらであるべきか、どの国が利益を得るべきか、あるいは企業のネットワーク計画が社会的に承認されるかどうかを決定することはありません。
一つのグローバル事実は、一つの互換性のある真実を必要とします。一つのグローバル支配者を必要とはしません。
現在のシステムは既にデータを共有しているが、最終性は共有していない
RIR システムは、その地域ラベルが示唆するよりも孤立していません。RIR は統計を交換し、RIR 間の案件を調整し、共通の移転ログを公開し、グローバルな登録発見をサポートしています。地域をまたぐ移転は、既に協力に依存しています。
NRO 移転ログフォーマットは重要な前例です。これは RIR 内および RIR 間の移転記録に共通の JSON フォーマットを定義し、各 RIR が累積ログを公開することを期待しています。これは、すべての業務を1つの機関に委ねることなく、機関が移転イベントの共通表現に合意できることを示しています。
RDAP は別の前例を提供します。RFC 7480、RFC 9082、および関連標準により、クライアントは共通プロトコルを通じて登録情報を照会できます。RFC 7484は、クライアントがアドレス範囲に対する権威あるサービスを見つけるのを支援するブートストラップレジストリを提供します。グローバルな発見と地域サービスが共存しています。
依然として弱いのは、機関の境界を越えた移転の最終性です。共通の公開ログは、各機関自身のプロセス後に公開されます。それ自体では、正確な以前の状態、受理された移行、証拠コミットメント、有効時期を示す、当事者が共同署名したレシートを提供するものではありません。既存プロバイダーが機能しなくなった場合に、保有者がその記録を別の適格なプロバイダーに移行させることもできません。ある地域が、裁量的な商業基準に基づいて認識を条件付けることを防ぐこともできません。
したがって、RIR 間移転は二国間の外交プロジェクトのように振る舞います。移転元と移転先の機関は異なる条件をチェックし、タイミングを調整し、別々のシステムを更新します。ルールに互換性がない場合、経路が閉ざされる可能性があります。一方の機関が遅いか異議がある場合、他方は独立してグローバルに認識される変更を完了できません。
この制限は構造的なものであり、個々のスタッフへの批判ではありません。別々の権威ある履歴を維持する2つの組織は、単に互いにメールを送ることによってアトミックな最終性を作り出すことはできません。共有された公開フォーマットは事後的にオブザーバを助けますが、すべての互換性のあるプロバイダーが認識しなければならない移植可能な証明を当事者に与えるものではありません。
NRS は、既に機能しているもの(共通データ、権威ある発見、運用専門知識)を維持し、欠けている層(地理的独占による商業的承認に依存しない、検証可能で移植可能な変更記録)を追加すべきです。
薄い台帳には一つの憲法的役割がある
グローバル台帳は、狭い質問に答えるべきです:この資源の認識された登録状態は、有効で、競合せず、承認されたイベントを通じて変更されたか?
その質問にはいくつかの必要なチェックが含まれています。資源は認識された番号空間内に存在しなければなりません。指定された以前の記録は最新でなければなりません。移転元は変更を開始するために必要な権限を保持していなければなりません。受領者は記録を受け取るために十分に特定されていなければなりません。イベントは重複する排他的請求を作り出してはなりません。必要な署名は検証されなければなりません。イベントは共通の移行ルールに従わなければなりません。進行中の紛争や裁判所の制限は、宣言されたステータスプロセスに従って表現されなければなりません。
その他すべては共通層の外側から始まります。台帳は交渉された価格を知る必要はありません。買い手の予想利用率を承認する必要もありません。リースが道徳的かどうかを決定する必要もありません。税務処理、会計分類、競争政策、または国家安全保障の許認可を決定する必要もありません。これらの問題は契約や法律のもとで重要かもしれませんが、アドレスが不足しているというだけの理由で、グローバルな一意性の不変条件になるわけではありません。
共通の役割は 4 つの不変条件として表現できます。
一意性:1 つの互換セット内で、2 つの現在の排他的登録請求が重複しないこと。
継続性:あらゆる現在の請求は、有効な以前の状態または宣言された初期状態から派生し、履歴は黙って書き換えられてはならない。
承認:各変更は、イベントタイプに必要な役割からの検証可能な承認を伴う。
移植性:保有者は、資源請求や履歴へのアクセスを失うことなく、記録サービスプロバイダーを変更できる。
セキュリティと可用性はこれら 4 つすべてを支えます。鍵漏洩、リプレイ、プロバイダー障害、分割ビューは検出可能かつ回復可能でなければなりません。しかし、セキュリティルールは記録機能に付随したままです。商業的目的に対する権限にまで拡張してはなりません。
この狭さこそが正当性の源泉です。すべてのプロバイダーは、決定的なルールを指摘することで、不正な形式または競合するイベントを拒否した理由を説明できます。価格、買い手、業界、展開計画が気に入らないという理由で、有効な移転を拒否することはできません。
NRS は不変条件、事例、適合性テストを公開すべきです。IPv4 の価値ある用途のリストを公開すべきではありません。
ソフトウェアを書く前に役割を分離しなければならない
多くの制度的失敗は役割の圧縮から始まります。記録を保存する組織が、権利を解釈し、紛争を調査し、ポリシーを執行し、市場を代弁する組織になります。責任が事前に分離されない限り、グローバル台帳は同じ失敗を繰り返すでしょう。
プロトコルスチュワードは、最小限の公開仕様と適合性スイートを維持します。当初は NRS がこの役割を担えますが、文書とテストは公開され、バージョン管理され、プライベートライセンスなしで実装可能でなければなりません。スチュワードシップは個別の移転の承認ではありません。
記録サービスプロバイダーは、提案された変更を受け取り、共通ルールを検証し、レシートに署名し、許可されたイベントデータを公開し、現在の記録を提供します。複数の独立したプロバイダーがこの機能を実行できるべきです。
保有者は、認識された登録請求を管理し、プロバイダーを選択します。保有者は、内部権限に従って移転、サービス移行、オペレーター連絡先、セキュリティ変更を承認します。
受領者は、移転を受け入れ、新しい記録を提供するプロバイダーを特定します。移転元と同じプロバイダーを使用することも、別のプロバイダーを使用することもできます。
監視者(ウィットネス)は、署名されたチェックポイントを観察し、追記専用の履歴を検証し、矛盾する見解を暴露します。取引が商業的に受け入れ可能かどうかを決定するものではありません。
監査人は、プロトコル、セキュリティ管理、継続性義務、サービス指標に対してプロバイダーをテストします。承認優先権を販売したり、有効なイベントに対する自らの判断を代用したりすることはできません。
裁定者は、合意された法的または仲裁プロセスに基づき、真に争われている権限を解決します。イベントを記録または拒否したプロバイダーから独立しています。紛争中、台帳は最後に検証された運用状態を保持しつつ、必要な場合に競合する変更をブロックします。
ネットワークオペレーターは、ルーティング、セキュリティポリシー、逆引き DNS、顧客への割り当て、展開を決定します。保有者、受領者、借主、または別の認可されたオペレーターである場合があります。
この分離により、監視者が規制当局になったり、プロバイダーが裁判所になったり、NRS がアドレス取引の世界省庁になったりすることを防ぎます。アーキテクチャは、すべての役割が最終的に誤りうる機関によって占められることを想定すべきです。いかなる役割も、その機能に必要な以上の権限を受け取ってはなりません。
共通データプロトコルは退屈で正確でなければならない
相互運用性は地味な詳細に依存します。すべての実装は、同じ移転イベントから同じ意味を構築しなければなりません。署名は、記録がプロバイダー間を移動した後も検証可能でなければなりません。あるサービスが日付や組織識別子のエンコードを変えたために、当事者が履歴を失ってはなりません。
イベントレコードには、プロトコルバージョン、イベント識別子、資源範囲、プレフィックス長、イベントタイプ、以前の状態のダイジェスト、提案された新しい状態、移転元保有者の識別子、受領者識別子、プロバイダー識別子、有効時期、シーケンス番号、承認署名、証拠コミットメント、紛争状況、該当する場合の修正参照を含めるべきです。
フィールドは、資源請求の移転を、プロバイダー移動、企業承継、一時的な運用委任、連絡先更新、セキュリティ権限変更、修正と区別すべきです。すべての変更が「移転」と呼ばれると、台帳は商業的イベントと保守作業を混同します。
暗号署名は同等のレコードが異なる方法でシリアル化されると失敗するため、正規表現が不可欠です。RFC 8785は、ハッシュ化と署名のための不変の JSON 表現を作成する一つの有用な方法を提供します。NRS はその正確な選択を永久に義務付ける必要はありませんが、最初のプロトコルは一つの決定的な方法を選択し、テストベクトルを提供しなければなりません。
識別子にも同様の注意が必要です。企業名は変更され、衝突し、複数のスクリプトを使用します。公開記録には名前を表示できますが、署名は検証された法的または契約上の権限に結びついた安定した識別子に依存します。プロバイダー識別子と鍵は、古いレシートを無効にすることなくローテーションできなければなりません。
時間は UTC で一貫して表現されるべきですが、イベントは順序付けのために単一の壁時計に依存してはなりません。以前の状態にリンクされたシーケンスが、資源にとって決定的な順序を提供します。署名されたプロバイダー時刻と監視者のチェックポイントが監査証拠を提供します。
拡張機能は名前空間化され、デフォルトでは非クリティカルであるべきです。プロバイダーは市場分析、多言語表示、地域コンプライアンス記録、カスタマーサービスを、それらをグローバル条件にすることなく追加できます。新しいクリティカルフィールドは、どのイベントが互換性を保つかを変えるため、広範な実装と移行計画を必要とします。
プロトコルが成功するのは、2 つの独立したチームが同じイベントを処理し、同じ有効性の結果を生成し、互いのレシートを検証できる場合です。優雅さは決定論に次ぐものです。
変更レシートが信頼の単位である
完了した移転の当事者は、記録が更新されたというメールだけを持って立ち去るべきではありません。移植可能で検証可能な変更レシートを受け取るべきです。
レシートは移行を拘束します。それは正確な資源、以前の状態、新しい保有者、イベントタイプ、有効シーケンス、プロバイダー、受け入れられた署名、および審査された証拠への暗号コミットメントを特定します。それは、イベントがプロバイダーの公開履歴に入ったことの証明を含むか参照します。第二のプロバイダーは、第一のプロバイダーのアカウントマネージャーに電話することなくそれを検証できます。
レシートは複数の対象読者に役立ちます。売り手は、有効なイベントの後、もはや認識された請求を保持していないことを証明できます。買い手は、後の売却や資金調達において記録された管理の連鎖を示せます。貸し手は借り手が指定されたブロックを受け取ったことを確認できます。オペレーターは、移転を詐欺的な連絡先変更と区別できます。監査人は現在の状態を履歴と照合できます。
レシートは狭く保たれなければなりません。それは、プロバイダーが明示されたプロトコルバージョンの下で明示された移行を受け入れたことを証明します。別の決済証明が添付されていない限り、支払いが完了したことを証明するものではありません。あらゆる可能な請求者に対する法的所有権を証明するものでもありません。公正な価格や効率的な利用を認証するものでもありません。
修正は、古いレシートを上書きするのではなく、新しいレシートを作成すべきです。プロバイダーが名前のスペルミスをしたり、間違った国表示を記録したり、後に裁定された取り消しを適用したりした場合、チェーンは元のイベントと修正の両方を示さなければなりません。黙った編集は信頼を破壊します。
レシートは、合理的な期間、オフラインで独立して検証可能であるべきです。プロバイダーの障害に直面した保有者は、障害が起きたプロバイダーのライブポータルに依存してはなりません。公開鍵、失効履歴、プロトコルバージョン、チェックポイント証明は、したがって耐久性のあるアーカイブを必要とします。
レシートは制度的な交渉を変えます。今日、保有者は通信と非公開のアカウント状態に閉じ込められる可能性があります。移植可能なレシートがあれば、保有者はサービスが何をしたかの決定的な記録を持ち運びます。プロバイダーは依然として重要ですが、もはや自身の行動の証拠を所有しているわけではありません。
検証可能性に暗号通貨は必要ない
「グローバル台帳」というフレーズは、即座に技術的な売り込みを誘います:トークン、パブリックチェーン、マイニング、投機的インセンティブ、そしてコードが制度を排除するという主張。目の前の問題には、どれも必要ありません。
番号資源登録には、既知の参加者、構造化されたイベント、既存の記録階層があります。要件は、受け入れられた変更を移植可能で、一貫性があり、隠れた書き換えに耐性のあるものにすることです。通常のデジタル署名、正規レコード、複製ストレージ、透明なチェックポイントがそれを実現できます。
証明書透明性バージョン 2.0 を定義するRFC 9162は、番号資源レジストリそのものではありませんが、関連する設計パターンを提供します。その追記専用マークルツリーは、包含証明と一貫性証明をサポートします。監視者は、一貫性のない履歴を提示したり、約束されたエントリの組み込みに失敗したりするログを検出できます。教訓は証明書ポリシーをコピーすることではありません。記録サービスが署名付きの約束を発行し、後でそのイベントが以前のチェックポイントと一貫性のある履歴に含まれていることを証明できる、ということです。
移転台帳も同様の技術を使用できます。各プロバイダーは署名付きチェックポイントを公開します。独立した監視者がそれらを保持し、比較します。レシートには包含証明、または宣言された最大遅延内に証明可能にならなければならない約束が含まれます。プロバイダーは互いのチェックポイントを相互監視します。矛盾する署名付きビューは、不正行為の証拠になります。
記録自体は、従来の複製サービスに置くことができます。商業文書を全参加者にブロードキャストする必要はありません。希少なトークンも必要ありません。関連のないパブリックネットワークのエネルギー、手数料、政治に最終性を結びつける必要もありません。
透過性ツリーでさえ、同等の検出と回復を提供する別のオープンな方法があればオプションです。ブランディングよりもアーキテクチャ要件が重要です:決定的な検証、署名付きイベント、追記専用履歴、独立した観察、移植可能なレシート、回復可能な複製。
技術的な茶番が制度的正当性を損なう可能性があるため、NRS はこれを明確に述べるべきです。オペレーターが必要とするのは、予測可能な移転の最終性であり、既に購入した資産の上に販売される新しい資産ではありません。
商業条件は契約に属し、公開台帳には属さない
移転記録には、一意性を保ち権限を検証するのに十分な情報が必要ですが、完全な購入契約書は必要ありません。
価格、支払いスケジュール、エスクロー条件、ブローカー手数料、資金調達、税務配分、顧客計画、事業予測、保証、免責条項は商業的に機密です。公開されれば参加を阻害し、戦略を暴露し、セキュリティリスクを生み出します。グローバル台帳が機密性を認識の代償にしてはなりません。
証拠モデルは 3 階層から成るべきです。公開イベントは、資源、現在の保有者または保護された保有者参照、イベントタイプ、時刻、プロバイダー、ステータス、レシート検証材料を特定するのに必要な最小限のフィールドを含みます。当事者証拠は、認可された参加者間で共有される契約、企業権限、決済文書を含みます。証拠コミットメントは、審査された非公開資料を公開レシートに結びつけるハッシュまたは署名付きマニフェストであり、その内容を明らかにしません。
コミットメントは完全性のみを証明します。隠された文書が法的に十分であったことを証明するものではありません。したがって、プロバイダーは何を検証したかについて具体的な声明に署名すべきです。例えば、移転元の権限と受領者の承諾が共通ルールを満たしたことなどです。購入契約のすべての保証を監査したとほのめかすべきではありません。
選択的開示は後の紛争を支援できます。ある当事者は、残りを開示することなく、一つの文書を開示し、それが以前のコミットメントと一致することを証明できます。裁定者は、適切な機密保持の下で保護された証拠を検査できます。
データ最小化は人々も守ります。公開連絡先記録は、不必要な個人情報を公表することなく、運用上の役割を特定すべきです。安定した組織識別子は、役割ベースの連絡チャネルと共存できます。監査アクセスは記録されるべきです。
NRS は「透明性のために」価格を認識の条件として収集するよう求める圧力に抵抗しなければなりません。集約された自発的な価格調査は市場を改善し得ますが、それは別個のサービスです。台帳の正当性は、必要な登録を強制的な商業監視に変えないことにかかっています。
取引は、その記録された効果においてグローバルに検証可能でありながら、その経済的内容において非公開のままであり得ます。この境界は、妥協ではなく設計上の特徴です。
プロバイダーの移植性は資源移転とは異なる
移植性は、しばしば地域レジストリ間で資源を移動させることと説明されます。それは一つの重要なケースですが、台帳にはより正確な区別が必要です。
資源移転は、認識された保有者を変更します。それは移転元の権限、受領者の承諾、競合チェック、新しい状態のレシートを必要とします。
プロバイダー移動は、保有者と資源を変更せずに、どの記録サービスプロバイダーがアカウントを提供し将来のイベントを公開するかを変更します。それは資産を売却するというよりも、保管やアカウントサービスを移すことに近いです。買い手や売り手は存在しません。
プロバイダー移動がなければ、競争は架空のものです。保有者は手数料、サービス、ガバナンス、セキュリティ、法的エクスポージャーが気に入らなくても、なお離脱できない可能性があります。既存プロバイダーは、保有者に代替経路がないため、あらゆる変更に無関係な条件を付けることができます。
プロバイダー移動イベントはシンプルであるべきです。現在の保有者が認証し、新しい適合プロバイダーを選択し、最新のレシートチェーンを提示し、引き継ぎを承認します。新しいプロバイダーは、監視されたチェックポイントに対して履歴を検証し、サービスを承諾し、プロバイダー移動レシートを発行します。旧プロバイダーは、競合する現在の状態、無効な署名、アクティブな裁定済み制限などの決定的な理由でのみ異議を唱えることができます。
移動は RPKI、逆引き DNS、RDAP、連絡先の継続性を維持しなければなりません。それには、段階的なオーバーラップと委任されたサービスが必要かもしれません。記録プロトコルは、移行ウィンドウ、鍵の引き渡し、ロールバック条件を定義すべきです。ルーティングセキュリティを壊す移植性は、真の移植性ではありません。
既存プロバイダーは、完全な機械可読の履歴と現在の状態を提供しなければなりません。公開されたコストベースのサービス料を請求できますが、無関係な債務を回収したり新しい商業ルールの受け入れを要求したりするために記録を保留することはできません。争われている手数料は別に扱うことができます。
プロバイダー移植性は、グローバルな規制当局なしで説明責任を生み出します。あるサービスが遅く、高価に、または政治的に攻撃的になった場合、保有者は離脱できます。多数が離脱すれば、プロバイダーは紛れもない市場シグナルを受け取ります。離脱は会議のスローガンではなく、実践的な規律になります。
いかなるプロバイダーも商業的承認の独占を持つべきではない
記録プロバイダー間の競争は、有効なイベントがプロバイダー間で移植可能である場合にのみ意味を持ちます。買い手のビジネスモデルが気に入らないという理由で移転を拒否できるプロバイダーは、たとえ複数の企業が同じ公開データを表示していても、依然として市場を支配しています。
共通ルールは客観的な欠陥に対する拒否を許可すべきです:プレフィックスが現在の状態と一致しない、署名が無効である、移転元が必要な権限を欠いている、受領者の承諾がない、イベントが別の現在の請求と重複する、レシートチェーンが壊れている、宣言された紛争制限が適用される、またはリクエストがリプレイである。
ルールは、プロバイダーが価格が高すぎる、買い手が既に多くを所有しすぎている、計画されている用途が説得力に欠ける、アドレスがリースされるかもしれない、顧客基盤が地域外にある、業界が不人気である、といった理由で拒否することを許可すべきではありません。それらは商業的または公法上の問題であり、記録の完全性の欠陥ではありません。
プロバイダーはオプションのデューデリジェンスを提供できます。あるプロバイダーは、受益権者の管理、制裁リスク、評判、資金調達、または運用準備状況を、それを望む当事者のために検証するかもしれません。別のプロバイダーは迅速な企業承継を専門とするかもしれません。第三のプロバイダーは RPKI や逆引き DNS サポートをバンドルするかもしれません。オプション商品は価格と品質で競争できます。
オプションはオプションでなければなりません。プレミアムデューデリジェンス証明書が、すべてのプロバイダーによって認識される隠れた条件になってはなりません。プロバイダーは適用法の下でプライベートな顧客関係を断ることがありますが、アーキテクチャは、合法である場合に保有者に別の適合経路を与えなければなりません。プロバイダーの地域的な制限がグローバルな資源履歴を書き換えてはなりません。
NRS 自体が最終承認窓口になってはなりません。その適合性プログラムは、取引を祝福するのではなく、実装をテストすべきです。その委員会は、買い手が /16 を「必要としている」かどうかについての控訴を審理すべきではありません。その会員組織は、価格や商業的目的について投票すべきではありません。
制度的正当性は、技術的機能が必要としない権限を拒否することから生まれます。NRS が経済的理由で誰が取引できるかを決定できるようになった瞬間、グローバル台帳は、それが回避しようと設計されたグローバルゲートキーパーそのものになっています。
アイデンティティと権限には厳密さが必要だが、一元的なアイデンティティ独占は不要
誰でも保有者として署名できるなら、移転は安全ではありません。したがって、台帳は強力なアイデンティティと権限チェックを必要とします。分散化は、希少な資源記録を変更する時点での匿名性を意味しません。
難しい問題は、誰がアイデンティティを証明できるかです。一つのグローバルアイデンティティサービスが必須なら、ゲートキーパーは別の入り口から戻ってきます。すべてのプロバイダーが何でも受け入れるなら、詐欺は容易になります。
多元的なモデルは、一つの発行者ではなく信頼要件を定義できます。法人は、企業登記の証拠、既存のアカウント認証情報、公証された権限、規制されたデジタルアイデンティティ、または共通の保証レベルの下で受け入れられる別の認証情報を提示できます。プロバイダーは、どの認証経路をサポートするかを公開します。価値の高い変更には、独立した 2 つの形式の権限を要求できます。
移転元の署名は、資源請求を処分する権限を与えられた役割から来るべきです。受領者の署名は、それを受け入れる権限を与えられた役割から来るべきです。ブローカーや弁護士は書類を提出できますが、黙って本人に取って代わることはできません。委任は明示的であり、範囲と期限が限られていなければなりません。
企業承継には専用のイベントが必要です。合併、再編、倒産、裁判所命令は、通常の売却なしに権限を変更し得ます。プロトコルは、法的根拠のカテゴリと裏付けとなるコミットメントを記録しつつ、機密文書を保護すべきです。すべてのケースを 2 つのアカウントパスワードに還元できるふりをすべきではありません。
鍵管理も同様に重要です。組織はスタッフが変わります。ハードウェアキーは故障します。回復プロセスには、遅延、複数当事者による承認、既存の連絡先への通知が必要です。緊急回復が、プロバイダースタッフが記録を乗っ取るための容易な手段になってはなりません。
受益権者の証拠は、ある当事者がペーパーカンパニーを通じて自己に移転したり、合法的に適用される保持ルールを回避したりするのを検出するのに役立ちます。それは保護され、目的が限定されるべきです。グローバルな公開イベントは、すべての株主のマップを必要としません。
テストは、置き換え可能性を伴う保証です。複数の独立したプロバイダーと認証情報発行者が、権限について同じ結論に達することができるべきです。いかなるアイデンティティベンダーも、他の方法で検証可能な保有者を立ち往生させることができるべきではありません。
最終性は決定的で、高速であり、新しいイベントによってのみ取り消し可能であるべき
当事者は、移転がいつ完了したかを知る必要があります。2 つの機関がまだ案件を再解釈する可能性がある漠然とした期間は、決済リスクを高めます。
台帳は、最終性を、有効な変更イベントが現在の状態に対して受け入れられ、必要な当事者とプロバイダーによって署名され、次の資源シーケンスが割り当てられ、検証可能なレシートが伴う瞬間と定義できます。監視者の包含は、短い最大遅延の後に続くかもしれませんが、プロバイダーは既に署名された約束によって拘束されています。
最終性の前に、資源は、通常の運用を維持しつつ競合する変更を防ぐ短いトランザクションロックに入ることができます。ロックは、イベントが完了しない場合に自動的に期限切れにならなければなりません。プロバイダーは、買い手が応答しなかったためにプレフィックスを無期限に固定したままにすることはできません。
最終性の後、以前の状態は履歴です。苦情はイベントを削除しません。詐欺や誤りが後で立証された場合、救済策は、元のレシートを参照する署名付きの取り消しまたは修正イベントです。それは信頼を保持し、誰もが何が変わったのかを理解できるようにします。
取り消しは例外的であり、手続き的に明確でなければなりません。プロバイダーは、スタッフが商業的事実を再考したというだけで、完了した移転を一方的に取り消すべきではありません。共通ルールは、明白な事務的欠陥の修正と独立した決定の執行を許可できます。実体的な紛争は、指定された裁定者に委ねられます。
運用サービスは調整された最終性を必要とします。記録の変更は最終的であり得ますが、RPKI と逆引き DNS の移行は、制限された引き継ぎウィンドウ内に留まります。レシートは、サービスの移行状況を別に述べるべきです。ネームサーバー変更の遅延が、保有者の移転を暫定的なものにはしません。
支払いと登録のアトミックな決済は望ましいかもしれませんが、前提とすることはできません。エスクローは、最終レシートを検証したときに資金を解放できます。台帳は、お金を保持したり支払い条件を指示したりすることなく、その目的のための信頼できるイベントを公開すべきです。
その結果、明確な分担が生まれます:当事者は非公開で交渉し決済します。記録サービスは狭い移行を検証します。レシートはエスクロー、貸し手、オペレーターに客観的な完了シグナルを提供します。
紛争は競合する変更を凍結すべきであり、稼働中のネットワークを凍結すべきではない
グローバル台帳は、詐欺の申し立て、相続請求、倒産命令、偽造署名、企業紛争に遭遇するでしょう。決定的な検証が法を排除するふりをするのは無謀でしょう。
アーキテクチャは紛争を隔離すべきです。定義されたプロセスを通じて信頼できる制限が入力された場合、台帳はその請求を係争中とマークし、互換性のない変更をブロックします。それは、安全な場合には RDAP の公開、逆引き DNS、ルーティングセキュリティの継続性を含む、最後に検証された運用状態を保持します。
最初に苦情を受け取ったプロバイダーが裁判官になるべきではありません。それは、客観的な基準の下で苦情が一時的なステータスの対象となるかどうかを検証し、本案を、サービス契約または適用法の下で選ばれた独立した裁定者に転送します。緊急措置は、確認されない限り失効します。
公開記録は、係争が存在すること、影響を受ける範囲、ステータス、決定の参照を、申立書や非公開の申し立てを公表することなく開示できます。当事者は完全な通知と応答する方法を受け取ります。期限は、戦略的な苦情が資源を無期限に動けなくするのを防ぎます。
裁定者が変更を命じた場合、台帳は新しいイベントを作成します。命令または保護されたコミットメントが参照され、レシートは執行された権限を特定します。履歴はそのまま残ります。
失効ファイアウォールが極めて重要です。支払い、契約解釈、企業支配に関する紛争が、安易に経路無効化に変換されてはなりません。RPKI の変更はグローバルな到達可能性に影響を与え得ます。デフォルトは、独立した決定または明らかに必要なセキュリティ対応が変更を支持するまで、最後に検証された承認を保持すべきです。
このアプローチはすべての裁判所が同意することを保証するものではありません。プロバイダーは法律の下で運営されています。それは制度的行動を読みやすくします:誰が、どの権限に基づいて、どれくらいの期間、どのような審査を経て、どのような効果を持つ制限を課したか。
ゲートキーパーはすべてを支配することで不確実性を解決します。正当な台帳は、証拠を保持し、暫定的な害を制限し、争われている本案を適切なフォーラムに送ることで不確実性を解決します。
RPKI と逆引き DNS にはサービス継続性が必要であり、所有権の主張は不要
移転台帳は名前の変更で止まることはできません。オペレーターは、登録された資源にリンクされたセキュリティおよび委任サービスに依存しています。RPKI や逆引き DNS を壊す移植可能な記録は、形式的な自由と実質的な束縛を生み出すでしょう。
RPKI は、証明書、リポジトリ、マニフェスト、失効情報、ROA が連鎖を形成するため、注意深い移行を必要とします。RFC 6480は、ROA がプレフィックスの発信元 AS を承認することを説明しています。移転は、旧権限が撤回または期限切れとなり、新しい保有者が、回避可能な無効ウィンドウを作成することなく代替を公開することを要求するかもしれません。
プロトコルは、安全な場合にはメイク・ビフォア・ブレークをサポートすべきです:新しい保有者が承認を準備し、移転が最終性に達し、サービス権限が定義されたオーバーラップ内で変わります。レシートは古い鍵と新しい鍵の参照と移行ステータスを記録します。RFC 6811が明確にしているように、ローカルなルーティング決定はネットワークに委ねられたままです。
逆引き DNS も同様の継続性要件を持ちます。親委任は、すべての PTR レコードを消滅させることなく移動しなければなりません。RFC 2317に記述されているようなクラスレス委任には境界が含まれることがあります。プロバイダー移動は、可能な限り保有者が選択したネームサーバーを保持すべきであり、自らの DNS プラットフォームを必須扱いすべきではありません。
RDAP の公開は、共通の発見を通じて新しいプロバイダーに従うべきです。既存のクライアントにはリダイレクトまたはブートストラップの更新が必要です。移行期間中は、両方のプロバイダーから署名付きの応答を提供し、一方を最新としてマークすることができます。
これらのサービスはモジュール化されるべきです。保有者は、移転記録にはあるプロバイダーを、RPKI には別の適格なオペレーターを、逆引き DNS には自身のサービスを使用することができます。記録は、すべての機能を不可避なパッケージにバンドルすることなく、認可されたサービスエンドポイントを識別します。
アンバンドル化は損害を制限します。DNS の停止が移転を妨げる必要はありません。オプションの分析に関する紛争が RPKI に影響を与える必要はありません。記録プロバイダーは、無関係な料金を徴収するためにルーティングセキュリティを脅かすことはできません。
継続性こそが、移植性を信じられるものにします。保有者は、顧客に自ら招いた停止を乗り切るよう求めることなく、ある機関を離れられなければなりません。
分割ビューが中心的な技術的危険である
複数プロバイダーの台帳は難しい問題に直面します:2 つのプロバイダーが同じ以前の状態から競合する変更を受け入れる可能性があります。ネットワーク分断、悪意のあるスタッフ、漏洩した鍵、単純な競合がフォークを生み出し得ます。
プロトコルは、資源シーケンスを排他的なものとして扱わなければなりません。変更は、以前の状態のダイジェストと次のシーケンスを指定します。プロバイダーは、受け入れる前に共有された最近のチェックポイントのセットをチェックします。高額なイベントについては、短いトランザクションロックや独立した監視者によるクォーラムが競合を減らすことができます。
すべての分断を排除するメカニズムはありません。重要な要件は、迅速な検出と決定的な回復です。プロバイダーは頻繁に署名付きチェックポイントを公開します。監視者はそれらを比較します。2 つの競合する後続を署名したプロバイダーは、エクイボケーションの暗号証拠を作り出します。クライアントは、受け入れられたチェックポイントとの一貫性を証明できない履歴を拒否します。
RFC 9162 の一貫性証明モデルはここで有用ですが、移転台帳には追加の状態制約があります:重複するプレフィックスは独立して分岐できません。/16 への変更は、含まれるすべての /24 に影響します。検証は、イベントリストだけでなく、現在の請求のインターバルツリーをチェックしなければなりません。
回復ルールは、詐欺が主張されている場合の独立した裁定を条件として、合意された監視者セットに組み込まれた最も早い有効なイベントを優先すべきです。負けたフォークは証拠としてアーカイブされたままとなり、黙って再出現することはできません。運用サービスは、回復中は最後の非競合状態に留まるべきです。
監視者の多様性が重要です。すべての監視者が NRS または一つのベンダーによって支配されている場合、アーキテクチャは実質的に中央集権化されています。RIR、オペレーター、大学、監査人、政府、商業プロバイダーが独立したモニターを運営できます。いかなる監視者も一方的な拒否権を得るべきではありません。彼らの仕事は不整合を暴露することです。
クライアントは安全な機能低下も必要です。チェックポイントが調整できない場合、最後に検証された状態を提供し続けつつ、新しい競合する変更を拒否すべきです。変更のための可用性は一時停止するかもしれませんが、稼働中のネットワークが撤回されてはなりません。
システムが信頼を獲得するのは、フォークが不可能だと主張することによってではなく、それらを検出可能、限定的、生存可能にすることによってです。
プロトコル変更がゲートキーパーを再創出してはならない
当初は薄かった台帳も、更新を通じて厚い制度に成長する可能性があります。ある委員会が強制力のある受益用途フィールドを追加します。別の更新は価格の開示を要求します。後のバージョンでは不人気な業界を排除します。やがて共通プロトコルは、最初のバージョンが拒否した商業的管理を担うようになります。
答えは、最小限の初期仕様と規律ある変更です。Lu Heng の最小限の初期仕様、局所的な将来の決定、自発的採用は、共通層には一意性、相互運用性、共有安全性、セキュリティに必要な決定的なルールのみを含めるべきだと論じています。後の選択は、継続的な権威によって課されるのではなく、実装を通じて採用されるべきです。
ここに適用すると、プロトコル変更がグローバルにクリティカルであるのは、新旧のプロバイダーがそれなしでは一意性を維持したり移行を検証したりできない場合のみです。新しい表示フィールド、分析、デューデリジェンスサービス、地域の法的チェックはオプションの拡張に留めることができます。それらはコアの互換性セットを分裂させる必要はありません。
NRS は提案、リファレンス実装、テストを公開できます。プロバイダーと保有者はオプションの機能を採用するかどうかを決定します。真に必要なセキュリティ変更には、移行期間、後方互換性計画、脅威の明確な証拠が必要です。
変更プロセスは、著者、資金提供、実装状況、影響を受ける当事者を開示すべきです。必須フィールドから商業的に利益を得るプロバイダーは、その利害を宣言しなければなりません。投票数だけで、ある選好をグローバルな不変条件に変えるべきではありません。
競合する一意性ルールは危険であるため、フォークを安易に扱うことはできません。まさにそれが、当初の共通層を小さく保たなければならない理由です。答える質問が少なければ少ないほど、将来の政治的論争が互換性を脅かすことも少なくなります。
NRS の正当性は、多くのプロバイダーが拒否するルールを追加したいときに最も厳しく試されるでしょう。正しい対応は、その機能を共通層の外に置いておくことかもしれません。意見の相違の際の抑制は弱さではありません。それは、アーキテクチャが置き換えようとしていた機関になることからの保護です。
既存の RIR はこのモデルの中で競争できる
グローバル台帳は、5 つの RIR の消滅を必要としません。彼らは経験豊富なスタッフ、歴史的記録、運用システム、保有者との関係を有しています。共通レシートと移植性を受け入れれば、彼らは高品質な記録サービスプロバイダーになり得ます。
RIR は、その馴染み深い地域で会員にサービスを提供し続け、RDAP、RPKI、逆引き DNS、サポート、ポリシーアドバイスを提供し、それらのサービスに対して料金を請求できます。その専門知識が、彼らを好ましいプロバイダーにするかもしれません。サービスを通じて獲得された選好は、地理によって強制される排他性とは異なります。
移行は共通のイベントレシートから始まります。各 RIR は、共有フォーマットで移転に署名し、監視されたチェックポイントを公開できます。そうすれば、RIR 間の案件は、ゆるく同期された 2 つの更新ではなく、両方のプロバイダーによって認識される 1 つのアトミックな変更になります。
次にプロバイダー移植性が来ます。保有者は、同じ請求と履歴を保持したまま、サービスを別の RIR や新しい適格プロバイダーに移行できます。旧プロバイダーはレシートチェーンに残り、引き続き検証可能です。
IANA の役割は、番号空間の最上位に留まり、グローバルな割り振り境界とブートストラップ情報を維持することができます。下流の各商業移転を承認する必要はありません。台帳は、IANA を世界の取引デスクに変えることなく、現在のサブ割り振り状態の検証可能なビューを提供します。
オプションサービスに関する RIR ポリシーは、地域的または契約的なままでありえます。移転の共通の有効性を変更するポリシーは、共有された不変条件に適合する必要があるでしょう。ある地域は、会員に取引に対して助言することはできます。しかし、世界の他の地域に 2 つの競合する保有者を認識させることはできません。
一部の既存プロバイダーは、移植性が彼らの収入と権限を変えるため、拒否するかもしれません。それは技術的な反論ではありません。パイロットは、サービス継続性と一意性が維持できるかどうかを測定すべきです。もしできるなら、排他性はオープンに防御されなければならないガバナンス上の選択となります。
このモデルは RIR に前向きな未来を与えます:競争的で相互運用可能なシステムにおける信頼されるプロバイダー。それは彼らに、無関係ではなく、置き換え可能になるよう求めます。
NRS は自らの設計によって制約されなければならない
既存プロバイダーへの制限を要求することは容易ですが、挑戦者自身を制限することを忘れてはなりません。NRS も置き換え可能でなければ、正当性を持たないでしょう。
プロトコル文書、テストスイート、公開鍵、レシートフォーマット、リファレンスコードは公開されなければなりません。独立したプロバイダーは、商業的会員として NRS に参加したり許可を購入したりすることなく、サービスを実装できるべきです。
NRS は適合性を認証できますが、認証が相互運用性への唯一の経路であってはなりません。プロバイダーは、透明なテストと独立した監査を通じて互換性を実証できるべきです。競合する認証機関が存在し得るべきです。
NRS は唯一のルート鍵を保持すべきではありません。マルチパーティの信頼アレンジメント、透明な鍵変更、プロバイダー固有の署名が単一障害点の管理を減らします。緊急権限は、制限され、期限付きで、公的に監査可能でなければなりません。
NRS は移転価格のパーセンテージを受け取るべきではありません。価値ベースの手数料は、契約に対する支配を拡大するインセンティブを生み出します。資金調達は、プロトコル保守、テスト、公開モニタリング、継続性に関連づけられるべきです。商業的サービスプロバイダーは、自らのオプション製品を競争的に価格設定できます。
ガバナンス記録は、決定、利益相反、財務を開示すべきです。しかし、透明性だけでは不十分です。構造的な離脱可能性がより重要です。NRS が失敗した場合、プロバイダーはプロトコル、記録、相互運用能力を保持しなければなりません。後継のスチュワードが公開仕様を維持できます。
NRS の目的に関する説明は、番号資源の利益に関わるグローバルな非営利会員組織について述べています。その公的アイデンティティは、招集とアドボカシーを支援し得ます。それはすべての保有者に対する権限を付与するものではありません。技術モデルは、組織の自己記述ではなく、検証可能なルールの上に立たなければなりません。
NRS は、恒常的な非目標リストを公表すべきです:価格設定の禁止、商業目的の承認の禁止、強制契約開示の禁止、排他的アイデンティティ発行者の禁止、単一プロバイダーの禁止、ルーティング指令の禁止、サービス停止による没収の禁止。このリストは、単に約束されるのではなく、アーキテクチャを通じて執行可能であるべきです。
退出を防ぐことによって自らを不可欠にする挑戦者は、既存プロバイダーの問題を再現しています。NRS が異なるという最良の証拠は、NRS が生き残るシステムです。
価格形成は台帳の外側にある
IPv4 の価格は、不足、ブロックサイズ、評判、断片化、地域、時期、資金調達、買い手の必要性、売り手の切迫度、交渉から生じます。グローバル移転台帳は、それらの取引に関する証拠を改善できます。アドレスの為替レートボードになるべきではありません。
より良い記録は不確実性を減らせます。買い手は管理履歴、紛争状況、以前の移転、プロバイダーの継続性を検証できます。売り手は現在の認識された管理を証明できます。エスクローは最終レシートに依存できます。貸し手は切れ目のない連鎖を検査できます。これらの改善は、リスク割引を狭め、より比較可能な価格を支えるかもしれません。
その効果は価格を管理することとは異なります。NRS は、契約が従わなければならない公式の「公正価値」を公表すべきではありません。価格がベンチマークと異なるという理由で変更を拒否すべきではありません。取引を価格のパーセンテージとして課税すべきではありません。
自発的な調査は、機密保持の下で価格を集約できます。ブローカーや当事者は独立した分析者にデータを提供できます。その結果は、カバレッジと利益相反を開示すべきです。いずれも認識の条件であってはなりません。
同じ境界は集中にも適用されます。公開台帳は、プライバシーとエンティティ解決の制限を条件として、保有と移転の分析を支援できます。競争当局は合法的な証拠を使用できます。記録プロバイダーがグローバルな反トラスト機関になってはなりません。
市場操作、詐欺、マネーロンダリングは現実の法的懸念です。該当する当局や規制された仲介者が義務を課す場合があります。グローバルな記録は、関連する命令や証拠参照を保持できます。技術的な適合性を通じて世界的な商法を発明すべきではありません。
台帳の経済的貢献は、取引リスクの低下であり、行政的な価格決定ではありません。記録の最終性を移植可能で検証可能にすることで、当事者がより良い情報を持って交渉することを可能にします。それは彼らに代わって交渉するものではありません。
商業的目的は事業者と適法な当局に委ねられる
買い手は、アクセスネットワーク、クラウドプラットフォーム、ホスティングサービス、企業移行、セキュリティ製品、予備、リースポートフォリオ、将来のプロジェクトのために IPv4 を取得するかもしれません。一部の用途は法域で規制されているかもしれません。一部は商業的に劣っているかもしれません。グローバル台帳はそれらを決定する権限がありません。
目的の審査は 3 つの問題を生み出します。第一に、プロバイダーは一意性に不要な機密の事業計画を受け取ります。第二に、スタッフの判断が隠れた資本配分の決定になります。第三に、プロバイダーが異なる基準を適用し、地域を越えた経路を閉ざします。
客観的な権限審査は異なります。プロバイダーは、移転元が変更を承認でき、受領者がそれを受け入れられることを知らなければなりません。合法的なアイデンティティとサービス契約が必要な場合があります。これらのチェックは記録を保護します。
受領者の展開計画は記録を保護しません。計画は承認後に失敗したり、懐疑の後に成功したりする可能性があります。市場と経営陣がそのリスクを負います。ルーティングは RFC 7020 と整合的に、レジストリ機能の外側にある運用上の決定のままです。
公法が取引を禁止する場合、プロバイダーは拘束力のある義務に従わなければなりません。イベントレコードは法的制限と裁量的なポリシー拒否を区別すべきです。開示が適法である場合には、法域、発行機関、範囲、審査経路を特定すべきです。別のプロバイダーは、普遍的に適用可能な命令を合法的に無視することはできませんが、機関の裏付けのない選好を引き継ぐべきでもありません。
NRS は政治的圧力をグローバルな商業目的ルールに変換すべきではありません。異なる国は、産業、所有権、資本について意見が分かれるでしょう。共通層は、グローバルに必要な技術的事実に付随し続けることによってのみ、その不一致を乗り切ることができます。
したがって、「グローバルなゲートキーパーなしで」というフレーズには実際的な内容があります。それは、いかなる常設機関も、一意で検証可能な登録変更の前提条件として、事業目的に対する承認を行うことができないことを意味します。法律は存続します。商業リスクも存続します。台帳は単にその両方を装うことを拒否します。
移転イベントは 10 の可視的な段階で処理できる
アーキテクチャは、通常のケースを追うことで具体的になります。
第一:現在の状態を取得する。移転元は、最新の資源記録、レシートチェーン、プロバイダーのチェックポイント証明、紛争状況、アクティブなサービス委任を取得します。
第二:非公開条件を準備する。買い手と売り手は、公開台帳の外で、価格、支払い、保証、時期、エスクロー条件を交渉します。
第三:当事者を特定する。各側は、サポートされた保証経路の下で、選択したプロバイダーに対して組織のアイデンティティと署名権限を証明します。
第四:イベントを構築する。提案は、資源、正確な以前の状態のダイジェスト、移転元、受領者、イベントタイプ、選択されたプロバイダー、意図された有効期間、証拠コミットメントを指定します。
第五:承認する。移転元と受領者が正規のイベントに署名します。委任された代表者は範囲を定められた権限を添付します。
第六:競合をチェックする。プロバイダーは、署名、現在のシーケンス、重複する資源、リプレイ防止、紛争制限、プロトコル適合性を検証します。短いロックが同時の後続を防ぎます。
第七:受理しレシートを発行する。責任を負うプロバイダーが次の状態に署名し、変更レシートを発行します。2 つのサービスが関与する場合、相手方プロバイダーが検証し確認応答します。
第八:公開し監視する。最小限の公開イベントが追記専用履歴に入ります。独立した監視者がチェックポイントを受け取り、レシートは宣言された遅延内に包含証明を取得します。
第九:サービス引き継ぎを完了する。RDAP、RPKI、逆引き DNS、連絡先が、明示された移行ウィンドウの下で移動します。それらのステータスは保有者の最終性とは別に表示されます。
第十:非公開で決済する。エスクローまたは当事者は、契約に従って検証されたレシートに基づいて行動します。彼らが自発的に別の場所で開示しない限り、台帳が価格を見ることは決してありません。
すべての拒否は段階とルールに対応付けられます。すべての遅延には所有者がいます。すべての受理されたイベントは、当事者が持ち運べる証拠を生み出します。このプロセスは、買い手の目的が望ましいかどうかを委員会に尋ねません。
この可視性自体が正当性の改革です。権力は、不透明な制度的意見ではなく、テスト可能なチェックの集合になります。
4 つの事例がこの区別の重要性を示す
カナダの保有者からブラジルの事業者への移転を考えてみましょう。当事者は異なる記録プロバイダーを使用します。両方のプロバイダーが同じ正規イベントと現在の状態を検証します。署名され受理されると、一つのグローバルレシートが変更を記録します。プロバイダーは、ブラジルの展開が効率的かどうかについて互換性のある理論を必要としません。彼らは権限と一意性の互換性のある証明を必要とします。
次に、サービスに不満があるが何も売却していない欧州の保有者を考えてみましょう。その保有者は、プロバイダー A からプロバイダー B にその記録を移行します。保有者、プレフィックス、レシートチェーンは同じままです。RDAP とセキュリティサービスはオーバーラップの下で移行します。プロバイダー A は、この移動を商業移転と再ラベル付けしたり、必要性の証明を要求したりすることはできません。
第三に、争われている倒産を考えてみましょう。管財人が裁判所命令を提示し、前取締役が異議を唱えます。プロバイダーは紛争をマークし、競合する移転を防ぎます。既存の経路とサービス状態を保持します。独立したフォーラムが権限を決定します。最終的な修正または移転は、決定の参照と共に新しいイベントとして記録されます。プロバイダーは、裁判官として行動しながら資源を破壊することはしません。
最後に、リースされたブロックを考えてみましょう。登録された保有者は変更されず、オペレーター役割と RPKI 発信元承認が更新されます。公開記録は、賃料や顧客を明らかにすることなく、認可された運用連絡先を表示できます。リースが終了すると、別の運用イベントが役割を変更します。偽の保有者移転は作成されません。
これらのケースは法的にも運用的にも異なります。厚いゲートキーパーは、アカウントを管理しているため、それらを一つの承認チャネルに通そうとする傾向があります。薄い台帳は、異なるイベントタイプを使用し、共通の事実のみを保存します。
通常のエッジケースが通常のままであり続けるとき、アーキテクチャは信頼できるものになります。NRS リーダーによる英雄的な介入を必要とすべきではありません。優れたシステムは、困難な権力の問題を、限定的でレビュー可能な状態変更に変換します。
障害シナリオは開始前に設計されるべき
このモデルは、プロバイダーの倒産、鍵漏洩、破損した記録、ネットワーク分断、監視者の共謀、悪意のある内部関係者、プロトコルの欠陥を想定しなければなりません。障害を無視する前向きな提案は、別の制度上の約束に過ぎません。
プロバイダーがオフラインになった場合、保有者は最新のレシートと監視された履歴を別のプロバイダーに提示すべきです。複製された公開イベントと保護された証拠のエスクローが回復を可能にします。サービスエンドポイントは、事前承認された継続性ルールの下でフェイルオーバーできます。
署名鍵が漏洩した場合、プロバイダーはオフラインの回復権限から署名付き失効を公開し、監視者は漏洩した鍵からの新しいイベントを凍結し、交換用の鍵が最後に受理されたチェックポイントから再開します。不確実なウィンドウ中のイベントは審査を受けます。実行状態は安定したままです。
プロバイダーが非公開証拠を破損した場合、当事者は自らの文書とコミットメントを保持します。公開レシートはプロバイダーが検証したと主張したことを示します。責任と監査は、移転チェーンを消去することなく追跡できます。
監視者が共謀した場合、多様な独立したモニターと保有者が保持するチェックポイントが、後で矛盾する履歴を暴露できます。高額なイベントには単一の監視者では不十分です。監視者のリストと閾値は公開されるべきです。
プロトコルに欠陥がある場合、プロバイダーは影響を受けるイベントタイプを一時停止しつつ、読み取りサービスと無関係の変更を継続できます。プロトコルスチュワードは、限定された修正とテストベクトルを公開します。緊急権限は期限切れになります。
NRS 自体が失敗した場合、公開された仕様、テスト、チェックポイント、プロバイダーネットワークは継続します。別のスチュワードが共通資料を維持できます。既存のレシートは、生きている NRS サーバーに依存しません。
これらの対応は原則を共有しています:影響を受ける最も小さな変更面を凍結し、最後に検証された運用状態を保持し、証拠を移植可能なままに保ちます。それに依存するネットワークを無効にすることによって台帳を「救って」はなりません。
パイロットは革命を宣言するのではなく、相互運用性を証明すべき
最初の展開は、監査できるほど小さく、制度的境界を露出させるのに十分広くなければなりません。有用なパイロットには、少なくとも 2 つの地域が代表され、両方のシステムが調整されるまで既存の認識に影響を与えない、複数のプロバイダー間での自発的な移転が含まれ得ます。
フェーズ 1 では、過去の公開移転イベントを再生すべきです。独立した実装が同じ記録を取り込み、正規形式を生成し、それらが同一の現在の状態を導くことを検証します。相違は、ライブ使用前に命名、断片化、イベントタイプの問題を明らかにします。
フェーズ 2 では、既存のチャネルを通じて処理された実際の移転に対してシャドーレシートを発行すべきです。当事者は、レシート時刻と状態を現在の制度上の結果と比較します。シャドーシステムは、法的完了シグナルになることなく、署名、プライバシー、チェックポイント、サービス移行フィールドを試行します。
フェーズ 3 では、既存プロバイダーが同意する記録の自発的なプロバイダー移動を許可しつつ、ミラーリングされた RDAP とセキュリティサービスを維持すべきです。これは販売とは別に移植性をテストします。
フェーズ 4 では、共通レシートが参加プロバイダー間で受理された決済シグナルになり得ます。エスクロー、貸し手、当事者は契約上それに依存できます。パイロットはサービス指標と失敗を公開します。
成功はスローガンではなく適合性によって測定されるべきです。独立した実装は同じ結果に達したか?保有者はプロバイダーを離脱できたか?分割ビューは検出されたか?RPKI と逆引き DNS は整合性を保ったか?当事者はレシートをオフラインで検証できたか?商業条件は非公開に保たれたか?いずれかのプロバイダーが非公開の条件を適用したか?
パイロットは敵対的なテストを招くべきです。研究者は、リプレイ、重複移転、古い署名、プロバイダーのエクイボケーション、不正な形式の範囲、プライバシー漏洩を試みるべきです。結果と修正は公開されるべきです。
トークンセール、壮大なローンチ、即時の置き換えの主張は必要ありません。制度的正当性は、システムが障害下でも機能し、いかなる主催者も静かに権限を拡大できないという退屈な証拠から成長します。
指標はサービス品質と権力の伸展の両方を可視化すべき
グローバル台帳には公開パフォーマンス尺度が必要です。そうでなければ、競争は証拠なしに主張されるでしょう。
運用指標には、受付時間、拒否理由、ロック期間、レシート発行、監視者包含遅延、プロバイダー移動の完了、RDAP 移行、RPKI 引き継ぎ、逆引き DNS 継続性、修正率、未解決紛争の経過時間、障害後の回復時間が含まれます。平均よりもパーセンタイルが重要です。
相互運用性の指標には、適合性テストの結果、実装間のイベント合意、レシート検証の成功率、チェックポイントの一貫性、複製の鮮度、別のプロバイダーによる履歴インポートの成功が含まれます。
移植性の指標には、プロバイダー移動の数、離脱完了時間、手数料、失敗した移動とその理由が含まれます。離脱がないプロバイダーは、優れたサービスか隠れたロックインかを意味する可能性があり、理由データが明らかにします。
権力の伸展に関する指標も同様に重要です。共通プロトコルで要求されていないフィールドのリクエスト数を数えます。プロバイダーが事業目的の文書、価格情報、顧客計画を求める頻度と、それらのリクエストがオプションであったかどうかを公開します。発動された緊急権限とその有効期限を記録します。
プライバシー指標には、公開フィールドの最小化、不正アクセス、証拠保持コンプライアンス、必要なレシートを保持しつつ当事者がオプション資料を削除できる能力が含まれるべきです。
監査結果には文脈が必要です。複雑な倒産案件を扱うプロバイダーは、単純な移転を扱うプロバイダーよりも時間がかかるかもしれません。案件の種類と紛争状況は分離されるべきです。リスク調整なしのランキング表はゲームを招きます。
NRS は自らの指標を公開すべきです:変更提案、実装採用、資金源、利益相反、認証収入、必須フィールド拡大の要求。スチュワードはシステムの一部であり、観察可能でなければなりません。
最も重要な指標は最も単純かもしれません:別の適合プロバイダーが、受理されたすべての記録を独立して検証し継続できるか?もしできないなら、台帳はそのマーケティングがどれほど分散的に聞こえようとも、制度依存のままです。
正当性は能力、抑制、退出から生まれる
制度はしばしば、広範な代表制を通じて正当性を求めます:委員会、公開会議、地域的バランス、協議。それらは助言を改善し得ます。それ自体では、グローバルな資産移転に対する管理を正当化するものではありません。
移転台帳は異なる方法で正当性を獲得します。
それは能力を、一意性を維持し、競合する変更を防ぎ、鍵を保護し、サービス継続性を維持し、信頼できるレシートを発行することによって獲得します。
それは抑制を、価格、目的、投資規模、顧客の地理、政治的価値が記録に必要でない場合に、それらを支配することを拒否することによって獲得します。
それは退出を、保有者がプロバイダーを移行することを可能にし、NRS や既存プロバイダーが失敗した場合にシステムが継続することを可能にすることによって獲得します。
これらの特性はテスト可能です。ある委員会のインターネットを代表するという主張はそうではありません。保有者はレシートを検証し、プロバイダーを比較し、離脱できます。監査人はチェックポイントを検査できます。裁判所はどの機関が行動したかを特定できます。オペレーターは紛争中もルーティングを継続できます。
このモデルはまた、権限と責任を一致させます。偽のレシートに署名したり、矛盾する履歴を提供したりするプロバイダーは、その行為の証拠を残します。その契約上の責任は定義され得ます。署名が自身のものである場合、それは曖昧な「コミュニティ」の背後に隠れることはできません。
いかなるアーキテクチャも政治を取り除きません。プロバイダーの参加、プロトコル保守、アイデンティティ保証、紛争ルールは争われるでしょう。答えは、それらの紛争がグローバルな不変条件を拡大するのを防ぐことです。一つの一意性ルールが共有されたまま、多くのサービスが異なり得ます。
NRS は台帳を、完璧な制度としてではなく、意図的に限定されたものとして提示すべきです。その最も強い約束は、善良な人々が賢明に統治するだろうということではありません。それは、いかなるプロバイダーも市場を統治するのに十分な権限を必要としないということです。
グローバル台帳は地域間競争を現実のものにできる
現在、地域サービスは主に歴史と地理によって割り当てられています。サービスを移行することが認識や運用の継続性を脅かす場合、保有者は容易にプロバイダーを比較できません。これにより、手数料とガバナンスは弱くしか競争に晒されません。
移植可能な記録は市場を変えます。プロバイダーは、応答時間、多言語サポート、セキュリティ、紛争処理、RPKI ツーリング、逆引き DNS の信頼性、資金調達統合、価格で競争できます。専門化されたプロバイダーは、すべてが同じコア有効性ルールを実装している限り、高ボリュームのオペレーター、小規模ネットワーク、政府、または倒産案件に対応できます。
競争はコストも明らかにします。共有プロトコルと公開チェックポイントは公共財です。アカウントサービス、デューデリジェンス、運用サポートはプロバイダー製品です。それらを分離することで、すべてを不可避な会費の下にバンドルする代わりに、保有者が何に対して支払っているかが示されます。
地域の専門知識は依然として価値があります。ある法域の会社法に精通したプロバイダーは、権限証拠を効率的に処理するかもしれません。別のプロバイダーは特定の言語やタイムゾーンでより良いサポートを提供するかもしれません。台帳はローカルな知識を消し去るのではなく、ローカルな知識がグローバルな排他性になるのを防ぎます。
移植性は底辺への競争を避けなければなりません。プロバイダーは一意性、署名、競合チェックを放棄することはできません。彼らは共通の安全最低基準の上で競争します。監査と監視された履歴が不正を可視化します。
競争も断片化になってはなりません。オプション機能は異なっていても構いませんが、レシートと現在の状態は相互運用可能でなければなりません。プロバイダーは独自のイベントフィールドを通じて保有者を閉じ込めることはできません。保有者の完全な記録は保有者に帰属します。
これが NRS にとっての前向きな制度的根拠です。それは「分散化」をスローガンから、共通の証明と実際の離脱によって規律されたサービス市場へと変えることができます。その結果は制度の不在ではありません。それは、記録を人質に取ることができないために有用であり続ける複数の制度の存在です。
グローバルゲートキーパーは構造上不要である
これでアーキテクチャを比喩なしに述べることができます。
現在の登録請求のグローバルに互換性のある単一の履歴があります。複数のプロバイダーがその履歴を提供します。すべての変更は以前の状態を参照し、必要な署名を伴います。受理された変更は移植可能なレシートを生成します。プロバイダーは監視されたチェックポイントを公開します。クライアントはフォークを検出できます。資源移転とプロバイダー移動は異なるイベントです。RPKI、逆引き DNS、RDAP は、サービス継続性を制度的な所有権に変えることなく移行します。
非公開の契約は非公開のままです。価格は当事者に委ねられます。事業目的は事業者と適法な当局に委ねられます。NRS は最小限のプロトコルとテストを維持しますが、別のスチュワードがそれを置き換えることができます。RIR はプロバイダーとして参加できます。IANA は、下流の取引を承認することなく、最上位の割り振りと発見の役割を保持できます。
このモデルは、事実がグローバルでなければならないところではグローバルです:一意性、継続性、承認、検証可能な変更。選択が可能なところでは多元的です:プロバイダー、商業サービス、アイデンティティ経路、法的フォーラム、分析、運用モデル。
この分割は技術的な整然性以上のものです。それは正当性の問題に答えます。記録サービスは、すべての参加者が変更が承認されたことを知る必要があるため、署名をチェックすることを正当化できます。一意性の必要性だけから、24 か月の使用率予測を要求することを正当化することはできません。最初の要件は共有された事実から導かれます。二番目は資本配分の選好です。
番号資源社会は、この境界に対して評価されるべきです。もし保有者が検証し、持ち運び、離脱できるプロトコルを構築するなら、それは基盤を創り出します。もし価格や目的のために自らの承認を必須にするなら、それは王座を創り出します。
インターネットは前者を必要としています。希少なグローバル資源には、一つの信頼できる移転履歴が相応しいですが、希少性は一つの商業的主権者のための権限ではありません。台帳は、まさにゲートキーパーが設計上不在であるがゆえに、グローバルであり得るのです。
情報源
- RFC 7020(インターネット番号レジストリシステム)- 現在の階層、グローバルな一意性、登録の正確性、レジストリ機能からのルーティング決定の分離について。
- ARIN、NRO 移転ログフォーマット- RIR 内および RIR 間の移転イベントのための既存の共通表現。
- RFC 7480(RDAP における HTTP 使用法)、RFC 9082(RDAP クエリフォーマット)、およびRFC 7484(権威ある RDAP サービスの発見)- 相互運用可能な登録クエリ、構造化された応答、権威あるサービスのグローバルな発見。
- RFC 8785(JSON 正規化スキーム)- ハッシュ化と署名前の決定的な JSON 表現のための具体的な方法。
- RFC 9162(証明書透明性バージョン 2.0)- ここでは番号資源ポリシーとしてではなく、アーキテクチャ上の比較対象として使用されている、追記専用ログ、署名付き約束、包含証明、一貫性証明、モニターの概念。
- RFC 6480(安全なインターネットルーティングをサポートするインフラストラクチャ)およびRFC 6811(BGP プレフィックス発信元検証)- 発信元承認、分散検証状態、署名付きアサーションとローカルルーティング決定の境界。
- RFC 2317(クラスレス IN-ADDR.ARPA 委任)- 移植可能なサービス引き継ぎが維持しなければならない逆引き DNS 委任の仕組み。
- 番号資源社会、よくある質問- NRS 自身によるグローバル非営利会員組織とアドボカシーの役割に関する説明。展開された台帳能力の証明としてではなく、制度上の自己記述として扱う。
- Lu Heng、最小限の初期仕様、局所的な将来の決定、自発的採用- 共通調整層には一意性、相互運用性、安全性、セキュリティに必要な決定的なルールのみを含めるべきであるという原則。
- Lu Heng、レジストリ継続性の誤謬- 登録、RDAP、逆引き DNS、RPKI 機能の継続性と、既存機関の永続性との区別。
- Lu Heng、NRS が存在する理由について- NRS の移植性、冗長性、離脱、存続可能性の議論。置き換え可能な実装によって執行されなければならない設計上の主張としてここで使用。
- Lu Heng、番号資源の移植性と ICP-2 改訂について- 説明責任と継続性のメカニズムとしての資源プロバイダー離脱の根拠。

