要約

  • LACNIC RPKI ガバナンスリスクはプロトコルのチュートリアルではない。ホスト型カストディ、委任型カストディ、ROA 変更、バリデータのタイミングが商業的依存に影響を及ぼすとき、誰が認証状態を制御するかが問題である。
  • 誤った無効化、急な撤回、移転の曖昧さ、リースベースのルーティングは、小さな証明書アクションを顧客、貸し手、クラウド、アップストリームにとっての継続性ショックへと変えうる。
  • 正しい制度設計は、RPKI を証拠インフラとして維持しつつ、通知、修復、異議申し立て、緊急時範囲、移植性、そして薄い Number Resource Society スタイルの未来モデルを必要とする。

切り替え室

危機は、インターネットガバナンスの議論とは思えない部屋から始まる。ブラジルの決済企業が、四半期末までに顧客向けサービスをホスティングスタックからクラウドプラットフォームへ移行している。取締役会は、貸し手の現場レビューの前に移行を完了させたい。クラウドチームは契約を受諾し、上流キャリアはセッションをプロビジョニングし、ファイアウォールベンダーはルートマップをテストし、不正対策チームはすでに公開エンドポイントをホワイトリストに登録している。すると、切り替えシートの一項目が赤に変わる:プレフィックスは単にアナウンスされているだけではない。ROA と照合されており、あるバリデータのビューではアナウンスが無効と表示されている。

エンジニアたちは原因として考えられるものを知っている。ROA は古いオリジン AS のために作成されたものだ。売り手、レッシー、サービシズパートナーが認証をクリーンにせずにルーティング計画を変更した可能性がある。最大長値が、移行中に使用されているより特定されたルートに対して狭すぎたのかもしれない。証明書の発行遅延により、あるキャッシュが別のものとは異なる世界を見てしまった可能性もある。アドレス保持者はホスト型 RPKI サービスを使用しているが、エントリを修正できるアカウントは、2 回の買収前に退職した人物のままかもしれない。これらはいずれも憲法上の瞬間のようには聞こえない。それはルーティングセキュリティチェックの一行に過ぎない。しかし、貸し手は今、アドレスブロックが銀行融資可能かどうかを尋ね、クラウドプラットフォームはオンボーディングを一時停止すべきかどうかを尋ね、アップストリームは書面による保証を求め、取締役会はなぜ証明書フィールド一つで既に計上された収益が脅かされ得るのかを尋ねている。

これこそが RPKI ガバナンスリスクの正しい始まりである。証明書の講義ではない。ルーティング衛生のスピーチではない。セキュリティが不便になったという不満でもない。重要な事実は、狭い暗号認証が、顧客継続性、信用、移転価値、市場アクセスが決定される部屋に入り込んだことである。そうなると、その認証を維持、遅延、狭め、失効させ、発行し損なうことのできる機関は、アドレス空間の所有権を主張しなくとも、経済的影響力を獲得したことになる。

LACNIC にとって問題は、中南米・カリブ海ネットワークがルーティングセキュリティを改善すべきかどうかではない。そうすべきだ。ルートハイジャック、ルートリーク、ずさんなオリジン主張は、現実のコストを課す。問題は、認証インフラが、カストディ、通知、修復、移転オーバーラップ、運用継続性に対する厳格な制限なしに、稀少な番号資源に対する隠れた許可レイヤーになり得るかどうかである。到達可能性を保護するために構築されたシグナルが、それ自体、法的・商業的事実が整理されている間に有効なルートを有効に保つ信頼できる手段を保持者が持たない場合、到達可能性リスクとなる可能性がある。

これがレジストリ正確性の論争ではない理由

データベース正確性の議論は、保持者の名前、連絡先情報、移転状態、不正利用の通報先、ルーティング周辺フィールド、公開レジストリの事実が、購入者、貸し手、オペレーター、取引相手にとって十分に信頼できるかどうかを問う。これはレコード市場の問題である。不良データは検索コストを上げる。古い連絡先は取引を遅らせる。保持者の身元が不明確だと信用が弱まる。不正確なエントリは、記録の利用者すべてに、ビジネスを行う前に個別の検証を追加させることになる。

RPKI ガバナンスリスクは異なる。それは主に、公開記録が正しいことを述べているかどうかではない。それは、レジストリ関係から導出された暗号的表明が、どのように市場アクセスの認証情報になるかである。データベース正確性は可読性を支える。RPKI は到達可能性を変えうる。古い連絡先はデューデリジェンスを遅らせるかもしれない。誤った ROA は、ルートオリジン検証を使用するネットワークの目にはルートを無効に見せかねない。レジストリ記録の誤った住所は混乱を生むかもしれない。誤ったオリジン認証は、弁護士、購入者、顧客がファイルを読む間もなくフィルタをトリガーし得る。

救済策が異なるため、この区別は重要である。データベース正確性は、より良い記録、明確な修正経路、監査証跡、保持者権限の証拠、不確実性の公開表記を求める。RPKI ガバナンスは、カストディの保護、継続性のデフォルト、状態変更中のオーバーラップ、緊急時修正経路、バリデータを意識したタイミング、そしてセキュリティ表明が経済的武器になる前のレビューを求める。一方は記録の真実についてであり、他方は証明書の力についてである。

リスクはまた、正式な取消しよりもソフトなものである。レジストリは、RPKI の問題を重要視するためにリソースを取消す必要はない。証明書が更新されない、リポジトリが信頼できなくなる、ROA が十分な警告なしに削除される、移転中にオリジン変更が遅延するといった場合、リソースは依然としてレジストリデータベースに現れるが、使用可能性は低下する。市場では、部分的な使用可能性でも価格を変えるに十分である。貸し手は不確実性のため担保を減額し、クラウドプラットフォームは不確実性のために受入れを遅らせ、購入者は不確実性のためにエスクローの留保を要求する。

記録レイヤーは、誰がリソースについて語ることができるべきかを世界に伝える。RPKI レイヤーは、ある AS が特定のプレフィックスをオリジネートできるという機械可読な主張を提供する。この二つは関連しているが同一ではない。保持者は正しく記録されていながら、ROA が古いかもしれない。リースは商業的に有効でありながら、ルートオリジン認証が不明確のままかもしれない。移転は法的に完了していながら、バリデータはまだ古いルートオリジン状態を見ているかもしれない。裁判所命令は保有を保全できるが、証明書カストディが運用上捕捉されたままかもしれない。

それが、RPKI を単なるレジストリ正確性の延長と扱うことがリスクを過小評価する理由である。正確性は忠実な記述に関する。認証は証明書利用者の行動に関する。記述が誤っていても人間の判断の余地を残せる。ルートオリジンの有効性状態は、誰かが文書を見る前に自動化されたフィルタに読まれ得る。ゆえに経済学はより深刻である:RPKI は制度的信頼を機械速度の結果に変換する。

経済的許可としての認証

RPKI が魅力的なのは、ルーティングシステムに偽のオリジン主張を拒否するより良い方法を提供するからである。RPKI は魔法のようにインターネットを安全にするわけではなく、すべてのルーティング問題を決定するわけでもないが、長年オペレーターと顧客に損害を与えてきた種類のエラーを減らす。公開された技術記録は、その狭い機能を明らかにしている:リソース証明書は番号資源割り当て階層に従い、ROA は正統な保持者が特定の AS が特定のプレフィックスをオリジネートしてもよいことを検証可能な表明を行えるようにする。クラウド移行、金融プラットフォーム、公共サービス、越境商取引の世界では、それが重要である。

制度的問題は、認証が経済的に必要になりながら、自主的な技術改善として管理され続けるときに始まる。理論上、保持者は ROA を作成するかどうかを選択できる。理論上、各ネットワークは無効なルートをどのように扱うかを選択できる。理論上、市場はより良い衛生状態に報い、弱い実践を罰し得る。実際には、主要なアップストリーム、クラウドプロバイダー、セキュリティベンダー、公的購入者、保険会社、貸し手による採用は、シグナルを拒否しにくくする。法律が保持者に強制する必要はない。認証情報が受入れの一部となる。

これはソフトな力である。それは禁止の目に見える力ではない。それは、クリーンなルートオリジン状態がなければ取引を待たねばならない、サービスはオンボードできない、ローンは割り引かれる、契約には追加保証が必要となる、顧客はリスクを受け入れられない、と言う取引相手の静かな力である。それぞれの決定は合理的である。それらが合わさって制度的な事実を作り出す:認証レイヤーは市場の信頼のためのインフラとなった。

ソフトな力は自動的に悪いわけではない。市場はしばしば、技術的規律を商業的期待へと変えることで行動を改善する。基本的なセキュリティ証拠を維持することを拒むネットワークは、他者にリスクを課す。しかし、認証情報が、合法的な継続性を維持する同等の義務を欠く中央カストディアンに結び付けられている場合、ソフトな力は危険になる。保持者が有効性を維持するためにレジストリの協力を必要とし、商業的アクターが有効性を要求するならば、レジストリの裁量が市場における影響力となる。

LACNIC 地域は、そのネットワークがしばしば不均等な資本市場、通貨リスク、公共調達の要求、多国籍クラウド依存、地元キャリア、小規模 ISP、ケーブル陸揚げのボトルネック、国境を越えた企業構造にまたがって運用されるため、このことを可視化する。ルーティングセキュリティの失策は、単に NOC の問題ではない。それは決済サービス、アウトソースされたコールセンター、地域コンテンツ配信、港湾、銀行、大学、医療システム、小売プラットフォームに影響を及ぼし得る。地域のデジタル経済がグローバルに受け入れられた接続性に依存すればするほど、あらゆる認証ギャップが事業継続イベントとなる。

これは LACNIC を悪者にするわけではない。これは LACNIC を有用なテストケースにする。RPKI を提供または固定するレジストリは、信頼の結節点に位置する。サービスが良くなればなるほど、市場はそれに依存する。市場が依存すればするほど、サービスはオプションのサポートというよりカストディの規律に見えるルールを必要とする。これが成功のパラドックスである:セキュリティシグナルが機能すると、それは単に技術的なものではなくなる。

ホスト型カストディと利便性の罠

ホスト型 RPKI は普及のエンジンである。多くの中小規模ネットワークは、独自の認証局を運営し、鍵を維持し、リポジトリの健全性を監視し、新しいエンジニアをルートオリジンの実践について訓練することを望まない。ホスト型ポータルは障壁を下げる。専門的な運用体制を構築せずとも、リソース保持者が ROA を作成・維持することを可能にする。何千もの多様なネットワークが存在する地域にとって、その利便性は価値がある。ホスト型サービスがなければ、ルートオリジンのカバレッジは弱くなるだろう。

しかし、利便性は中立ではない。ホスト型カストディは、保持者のルートオリジン権限をレジストリサービス環境の内部に置く。保持者が選択を行うかもしれないが、レジストリがそれらの選択を公開された認証へと変換する機構を制御する。アカウントアクセス、企業権限、サービス状態、料金状況、制裁レビュー、移転レビュー、詐欺疑惑、連絡先紛争、サポート遅延はすべて、ROA が維持される同じ表面に触れ得る。システムはこれらの事柄を分離しようと意図するかもしれない。しかし保持者は一つのドアを通してそれらを経験する。

危険は故意の誤用だけではない。それは通常の管理的な結合である。企業の所有権が変わる。古い RPKI ユーザーに連絡が取れなくなる。新しい署名者は企業権限を持っているが、まだポータルで認識されていない。リース顧客が、保持者と顧客が更新を交渉している間に一時的な ROA 更新を必要とする。クラウド移行には、切り替えの週の間により特定された認証が必要である。レジストリの窓口はより多くの書類を求める。銀行はルートが有効であり続けることの証明を求める。誰もが慎重に行動している。ルートはそれでも待たされる。

充実したコンプライアンスチームを擁する大規模キャリアにとって、待つことは許容できるかもしれない。しかし地域のホスティング企業、公共サービス供給者、成長中の ISP にとって、遅延は存続の危機となり得る。顧客契約は、ポータルロールが検証されているからといって一時停止しない。公的購入者は、レジストリ記録、ROA、ルートアナウンスの違いを常に理解しているわけではない。クラウド受入チームは、問題が事務的であることを気にしないかもしれない。彼らはルートオリジンの不確実性を見て、オンボーディングをリスクがあるとマークする。

したがってホスト型カストディには、法的形式が信託でなくとも、真剣なトラストサービスの規律が必要である。無関係な問題がレビューされている間、既存の有効な ROA は軽率に乱されるべきではない。権限変更には文書化された証拠基準、時間目標、エスカレーション経路が必要である。アカウント紛争は、急性の詐欺や明らかなハイジャックの脅威がない限り、確立された到達可能性を保全すべきである。保持者は、証明書に影響する変更の前に、意味のある通知を受けるべきである。ただし、狭く定義された緊急時を除く。ログはレジストリだけでなく、保持者が使用可能であるべきである。

最も重要なのは、ホスト型サービスが微妙な囲い込みになってはならないということである。ホスト型から委任型カストディへ移行したい保持者は、継続性計画をもってそうできるべきである。レジストリがホスト型利用を容易にし委任型への脱出を遅くできるなら、市場は利便性を依存と読むだろう。その依存はリソース自体へのガバナンス割引となる。

委任型カストディと親鍵問題

委任型 RPKI は、鍵の取り扱いを保持者の近くに移すため、答えのように見える。高度なオペレーターは、独自の認証環境を運用し、公開を管理し、ROA 変更を自動化し、二重管理を構築し、記録を保存し、レジストリアカウントのドラマを日常のルートオリジン作業から分離することができる。委任は、コモンレイヤーは薄く保たれるべきであり、運用管理はリスクを負うネットワークの近くに置かれるべきであるというドクトリンに適合する。

しかし、委任型カストディは完全な独立ではない。委任された証明書は依然として親の関係に依存する。親証明書が発行されない、更新されない、狭められる、停止される、その他中断される場合、保持者の自律性は同じチョークポイントに崩れ得る。委任は一つの依存を減らすが、信頼の根元を取り除くわけではない。これが親鍵問題である:保持者はより多くの機構を制御するが、レジストリまたは上位の認証局は依然として認証チェーンにおいて保持者の上に位置する。

経済学は微妙である。ホスト型モデルでは、レジストリは ROA に直接影響を与え得る。委任型モデルでは、保持者の公開を有効にする証明書環境に影響を与え得る。貸し手やクラウドプラットフォームにとって、最終的なバリデータ結果が無効または利用不可であれば、区別は重要でないかもしれない。保持者は自身の RPKI を運用していると言うかもしれない。取引相手は、親が依然としてそれを中断できるかどうかを尋ねる。

委任はまたキャパシティの格差を生む。大規模キャリア、主要クラウド事業者、技術的に成熟したネットワークは委任型カストディを管理できる。小規模なネットワークはコンサルタントやマネージドプロバイダーに依存するかもしれない。それは効率的であり得るが、サービスプロバイダーをリソース保持者にすることなく委任リスクを追加する。誰が鍵を変更できるのか?誰がバックアップ資料を保持するのか?マネージドプロバイダーが買収されたらどうなるのか?顧客のリースが終了しても、サービスプロバイダーが公開環境を管理していたらどうなるのか?保持者がある法域にいて、技術オペレーターが別の法域にいる場合はどうなるのか?

中南米・カリブ海では、地域オペレーターがベンダーエコシステム、アウトソースされた NOC、持ち株会社、多国籍グループ、混合公私アレンジメントを通じて活動することが多いため、これらの疑問は重要である。ホスト型と委任型の単純な二分法は、生きた現実を描写しない。カストディは、法的保持者、ネットワークオペレーター、クラウドパートナー、セキュリティコンサルタント、移転購入者の間で分割され得る。RPKI ガバナンスは、それがクリーンであるふりをせずに、その分割された管理を扱わねばならない。

成熟した委任型モデルは、保持者に委任証明書の取得と維持の明確な能力、予測可能な更新、透明性のある停止基準、紛争中の継続性、技術的障害が顧客を脅かす場合のホスト型運用への復帰経路を提供するだろう。親は一意性とセキュリティ整合性を保全すべきである。親の役割を利用して、保持者のビジネスモデル、地理、リースアレンジメント、または移転戦略の一般的な判断者になってはならない。親が薄いままであってこそ、委任型カストディは価値がある。

ROA ライフサイクルは継続性ライフサイクルである

ROA はしばしば技術システムの中の小さなオブジェクトとして扱われる:プレフィックス、最大長、オリジン AS、有効期間。経済的な観点では、それは継続性の道具である。特定のルートオリジン主張が受け入れられるべきであることを依存するネットワークに伝える。その道具の作成、変更、置換、撤回が、稀少なリソースの使用可能性を変え得る。それが ROA ライフサイクルを継続性ライフサイクルにする。

作成が第一のリスクポイントである。保持者は正確なアグリゲートのために ROA を作成し、トラフィックエンジニアリング、DDoS 対応、地域フェイルオーバー、またはクラウドの BYO アドレス設計中に、より特定されたアナウンスが使用されていることを忘れるかもしれない。クリーンなダイアグラム上で慎重に見える最大長値が、実際の緩和計画を壊す可能性がある。逆に、広すぎる値は、認証情報が危殆化した場合に、より特定された誤用を許可しかねない。正しい設定は道徳的選択ではない。それはハイジャック耐性と運用柔軟性の間のリスク配分である。

変更が第二のリスクポイントである。ネットワークは進化する。合併、アウトソーシング契約、あるデータセンターから別のデータセンターへの移行、アドレス空間の販売、リース終了、またはクラウドオンボーディング中にオリジン AS が変更されることがある。昨日正確だった ROA が明日には罠になり得る。シーケンスのタイミングが悪ければ、新しいルートが受理される前に古いルートが無効になるかもしれない。バリデータが異なるビューをキャッシュする場合、一部のネットワークが拒否し、他は通過するかもしれない。新旧のアレンジメントが重なるなら、認証システムは崖端ではなく安全な移行を許さねばならない。

撤回が第三のリスクポイントである。ROA は、保持者がもはやオリジンを許可しなくなったため、リースが終了したため、ハイジャックが疑われるため、移転が完了したため、またはエラーを修正しなければならないために削除されるかもしれない。撤回は偽のオリジン主張に対する正当な保護であり得る。しかし、トラフィックが依然として古いオリジンに依存している場所で無告知で行われた場合、衝撃ともなり得る。市場はすべての撤回を無害なハウスキーピングとして扱えない。

失効と公開の健全性が第四のリスクポイントである。保持者は何も間違ったことをしていないかもしれないが、リポジトリの障害、タイミング不一致、古いマニフェスト、またはキャッシュ遅延が証明書利用者の見方を変え得る。リソースはデータベースに残っている。ルートはアナウンスされ続けている。証明書の証拠が不確実になる。その不確実性は、自動化システムやリスクデスクが反応するのに十分である。

救済策はライフサイクルの規律である。稼働中のルートに影響する ROA 変更には、理由コード、可能な場合の通知、移行ウィンドウ、ロールバック能力、ログが必要である。保存によるセキュリティリスクが変更の継続性リスクよりも大きい場合を除き、既存の有効な状態は保存されるべきである。レジストリは単に ROA が変更できるかどうかだけを問うべきではない。その変更の背後にどのような稼働依存があり、修正を停止に変えない方法を問うべきである。

無効、不明、そして小さなフィールドの代償

RPKI の経済的力が最も明白になるのは、小さなフィールドが大きな損失を生むときである。一つのオリジン AS 番号が間違っている。最大長エントリがより特定されたルートをカバーしていない。トラフィックエンジニアリングのためにプレフィックスが分割されたが、ROA はアグリゲートのまま残っている。委任された公開ポイントに古いデータがある。保持者は移転が新しいルートの準備ができるまで古い認証を保存すると考えたが、オーバーラップが発生しなかった。結果は哲学的議論ではない。それは無効なルートである。

無効性は一様ではない。一部のネットワークは無効を積極的に拒否する。あるものは選好、警告、または監視する。一部のクラウドやトランジットチームは独自のオーバーレイを適用する。一部の顧客向けリスクシステムは状態を緑か赤のマークに単純化する。そのばらつきは、部分的な障害を生むため、クリーンな停止よりも悪い場合がある。ある地理の顧客はサービスに到達できるが、他はできない。監視はある視点からは通過し、別の視点からは失敗するかもしれない。営業チームは、エンジニアが全体的な警報を見る前に苦情を聞くかもしれない。

無効と不明の間の移行は特に重要である。正式な検証用語では、カバーする認証のないルートは「見つからない」と扱われるかもしれない。多くの運用ダッシュボードは同じ商業的状態を「不明」と記述する。これは無効と同じではない。不明は、保持者がまだ ROA を作成していない、公開ポイントに到達できない、移転が十分に反映されていない、または移行が証拠を待っていることを意味し得る。無効はより強い:カバーする認証が存在するが、観測されたオリジンまたは長さを認証していないことを意味する。しかし市場はしばしばこれらの状態を圧縮する。銀行はクリーンな証拠を求める。クラウドレビュアーは明確なパスを望む。公的購入者はルートが安全かどうかを尋ねる。技術的にはニュアンスが重要だが、商業的反応は依然として遅延かもしれない。

誤った無効性は、責任が拡散するために高価である。保持者がエントリを作成したかもしれない。コンサルタントがそれを助言したかもしれない。売り手が古い状態を残したかもしれない。レジストリポータルがリスクのあるデフォルトを奨励したかもしれない。クラウドプラットフォームが保持者のフェイルオーバーパターンに合わない狭い認証を要求したかもしれない。バリデータが古いビューをキャッシュしたかもしれない。顧客は気にしない。到達不能なサービスを経験する。

小さなフィールドの代償は、したがって停止だけではない。それは、停止がより深い権原、カストディ、または能力の問題を露呈していないことを証明する負担である。いったんルートオリジンエラーがリスクファイルに入ると、取引相手はより広い質問をする。誰がリソースを管理しているのか?誰が証明書を更新できるのか?デフォルト後に同じ問題が再発し得るか?リースは法的に執行可能か?購入者はクロージング時にクリーンなカストディを得られるか?クラウドプロバイダーはその表明に依存できるか?

そのため RPKI ガバナンスは、設定ミスを単なるオペレーターの間違いとしてではなく、市場イベントとして扱わねばならない。良いツールは役立つが、ツールだけでは十分ではない。保持者には、安全なプリフライトチェック、ドライランビュー、リスクのある最大長選択への警告、オリジン変更のための移行テンプレート、そして小さなミスが大きな公的結果をもたらす場合の緊急修正経路が必要である。市場が有効性に依存するほど、制度は誤った無効性の修復を安価にしなければならない。

バリデータ伝搬と遅延の地理

RPKI は一箇所で操作される単一のスイッチではない。証明書利用者はリポジトリからデータを取得・検証し、ローカルキャッシュを維持し、独自のタイミングとポリシーで検証済みペイロードをルーターに渡す。その分散設計は、ルーティング判断がネットワークに委ねられるため強みである。また、証明書の変更が一度にあらゆる場所に到達するわけではないため、不確実性の源泉でもある。

伝搬遅延は切り替え時に重要である。保持者が新しい ROA を作成し、ある公開バリデータでそれを確認して問題が解決したと仮定するかもしれない。アップストリーム、ルートサーバー、またはクラウドプラットフォームはまだ以前の状態を見ているかもしれない。別のバリデータは公開ポイントを古いとみなすかもしれない。三つ目は異なるリフレッシュ間隔を持っているかもしれない。ルートがすでに稼働中であれば、これらのビューの差が移行の成功とパッチワーク的な停止の差となり得る。

同じ問題が撤回時にも現れる。古いオリジンを削除することは正しいかもしれないが、すべての依存ネットワークが同時に古いオブジェクトを見るのを止めるわけではない。新しいオリジンが関連するバリデータ集団全体にまだ見えていなければ、新旧の状態が衝突する期間があり得る。純粋に技術的な説明では、それは伝搬である。経済的な説明では、それは決済リスクである。市場はリソースが移るべきことに合意したが、取引相手を納得させるインフラは一様に決済していない。

地理がこの点を先鋭化させる。中南米のネットワークは、地域内のアップストリーム、グローバルトランジット、クラウドエッジロケーション、交換ルートサーバー、バリデータ運用が整列していないセキュリティベンダーに依存し得る。ルートはある地域的視点からはクリーンであり、別の視点からは疑わしいことがある。事業者は誤って「ある国でインターネットがダウンしている」と聞く。より良い説明は、認証証拠が、ルーターとリスクスクリーンが重要である機関間で同期されていないということである。

このことは、バリデータを意識したガバナンスを支持する。証明書に影響する変更は、レジストリデータベースのタイムスタンプだけで計画されるべきではない。公開の周期、キャッシュの挙動、監視視点、ルート可視性、取引相手の受入時間枠を考慮すべきである。バリデータ伝搬を無視した移転や切り替え計画は不完全である。証明書利用者が合理的に収束する前に満了する通知期間は意味がない。

解決策はバリデータへの中央集権的命令ではない。インターネットのレジリエンスはローカルな選択に依存する。解決策は運用上の謙虚さである:オーバーラップを維持し、早期に公開し、広く監視し、最後に既知の良好な状態の不必要な撤回を避け、クラウド、貸し手、アップストリームに移行を説明する十分な証拠を保持者に与える。RPKI は分散されたままでなければならない。ガバナンスは、分散システムにタイミングコストがあることを認識しなければならない。

移転には崖端でなくオーバーラップが必要

移転はリソースの権原とルートオリジン継続性の差異を露呈させる。購入者が IPv4 ブロックを取得し、売り手が書類に署名し、レジストリが変更を記録し、金銭が動くかもしれない。だからといって、新しいオリジン AS が至る所で有効と見えたり、古いオリジンを一度に安全に無効化できるわけではない。法的クロージングとルーティング決済は関連するイベントであり、同じイベントではない。

市場にはオーバーラップが必要である。売り手の確立されたルートオリジン状態は、購入者が新しいトランジットを立ち上げ、クラウドオンボーディングをテストし、顧客を更新し、バリデータの収束を待つ間、有効に保たれる必要があるかもしれない。購入者は、意図したオリジンがクロージング後に迅速に認証され得るというクロージング前の証拠を必要とするかもしれない。貸し手は、抵当権実行や強制売却がブロックを証明書のリンボに押し込まないことの安心を必要とするかもしれない。オーバーラップがなければ、移転価格は、法的に取得されたブロックが必要なときに商業的に使用できなくなる可能性に対するリスク割引を含まねばならない。

オーバーラップは白紙委任状ではない。時間、プレフィックス、オリジン、証拠によって範囲を限定すべきである。売り手は、もはや関連するルーティングを管理しなくなった後も、無期限に古い認証を保持できるべきではない。購入者は、リソースを使用する正当な根拠を持つ前に、稼働中の認証を取得できるべきではない。しかし、狭く文書化された移行ウィンドウは無秩序とは異なる。それは、市場がセキュリティを移転税に変えることを回避するためのメカニズムである。

同じ論理が合併、分割、企業再編にも適用される。グループはルーティング変更を意図せずに子会社を再編するかもしれない。データセンター事業が既存顧客にサービスを提供するアドレス資源とともに切り出されるかもしれない。銀行がデフォルト後に支配権を握るかもしれない。裁判所が運用継続中に資産を凍結するかもしれない。いずれの場合も、証明書継続性は副次的な問題ではない。それは経済的価値の保存の一部である。

レジストリが証明書を単なる記録所有権の瞬間的な表現として扱えば、回避可能な崖端を生むだろう。合法的管理に結びついた継続性証拠として扱えば、クリーンな移行を支援できる。レジストリの仕事は、当事者に権限があること、二重の主張が生じていないこと、計画されたルートオリジン変更に詐欺がないことを確認することである。購入者のビジネスモデルが十分に高潔かどうか、価格が受容可能かどうか、地域が稀少なアドレスの異なる配分を好むかどうかを決定することではない。

LACNIC のテストは実践的である。保持者はルートオリジン継続性を保全しながら、アドレス空間を移転、融資、再編できるか?購入者は最終切り替え前にクラウドとアップストリームの受入れを計画できるか?貸し手は証明書の崖を想定せずに回収をモデル化できるか?答えがイエスなら、RPKI は市場の信頼を支える。ノーなら、RPKI は移転と融資に対する隠れた税となる。

リースとサブアロケーションがカストディギャップを露呈させる

リースは、法的保有、商業利用、ルーティング運用、顧客依存、評判を分離するため、難しいケースである。保持者はホスティング会社にブロックをリースするかもしれない。ホスティング会社は自身の AS を通じてルーティングするかもしれない。マネージドプロバイダーが ROA を維持するかもしれない。顧客がその上にサービスを構築するかもしれない。不正利用の苦情がレッシーに届くかもしれない。レジストリ記録は依然として保持者を示すかもしれない。RPKI は、誰がどのオリジンをどれだけの期間認証できるかを決定しなければならない。

リースが存在しないふりをしても、リスクは消えない。稀少な IPv4 にはレンタル市場がある。オペレーターは正式な取得よりも速くアドレスを必要とし、保持者は販売よりも経常収入を好むかもしれないからだ。市場は乱雑になり得るが、不透明性はより悪い。私的リースがルートオリジン権限から切り離されたままなら、各参加者が不確実性を抱える:レッシーは警告なく有効性を失い、保持者はもはや監視していないルートに露出し続け、顧客は契約と証明書の間で板挟みになるかもしれない。

サブアロケーションはさらに別のレイヤーを追加する。地域 ISP は、企業顧客、リセラー、コンテンツプラットフォーム、マネージドセキュリティプロバイダーにアドレス利用を委任するかもしれない。彼らの一部は自身のオリジン AS を必要とするだろう。一部はプロバイダーの AS を使用するだろう。一部は顧客チャーン中に移動するだろう。トップレベルの保持者と一つの安定的なオリジンのみを認識する硬直した認証モデルは、商業現実を反映しない。主張する下流ユーザーなら誰でも認証を得られる緩いモデルは詐欺を招く。ガバナンス上の課題は、レジストリを一般的なリース警察にすることなく、統制された下流ルート権限を支援することである。

正しい答えは証拠、範囲、継続性である。保持者は、誰がプレフィックスをオリジネートできるかについて引き続き責任を負うべきであるが、実際の運用使用に対応する時間制限付き、プレフィックス制限付きのルートオリジン権限を付与できるべきである。レッシーや下流オペレーターは所有権の芝居を必要とすべきではない。取引相手が検証できるルート有効性を必要とする。保持者は契約終了時に撤回できるべきであるが、撤回は、修復期間や移行ウィンドウが商業的および技術的に可能な場合に、稼働中の顧客を驚かせないようにタイミングを計るべきである。

これは LACNIC 地域の小規模ネットワークにとって特に重要である。リースとサブアロケーションは参入ツールとなり得る。新しい ISP、ホスティング企業、フィンテックプラットフォーム、公共サービス供給者が、より大きなブロックを購入または移転できる前に、使用可能なアドレスを取得することを可能にする。RPKI ガバナンスがリースベースのルーティングをもろくすれば、その負担はそれを最も吸収しにくいネットワークにのしかかる。深いアドレスリザーブを持つ既存事業者は問題を回避する。新規参入者は市場へ借りて入り、証明書リスクを負う。

RPKI は、分割された管理をより読みやすく、より危険でなくすべきである。レジストリがリースの商業的判断者になったふりをせずに、どのオリジンが、誰によって、どのプレフィックスについて、どの期間認証されているかを示すべきである。それが複雑な市場に適用された薄い調整である。

クラウド、アップストリーム、貸し手の依存がソフトな力をハードにする

RPKI の市場力はルーターだけから来るわけではない。ルートオリジン状態をアドミッション、価格設定、クレジット決定に変換する機関から来る。アップストリームキャリアは無効なルートを拒否するかもしれない。ルートサーバーはフィルタリングを適用するかもしれない。クラウドプラットフォームは BYO アドレスオンボーディングにクリーンな RPKI 証拠を要求するかもしれない。公的購入者は調達にルーティングセキュリティ管理を含めるかもしれない。貸し手は、担保に供されたアドレス資産がデフォルト後も到達可能であり続けるかどうかを問うかもしれない。保険会社は無効ルートリスクを管理上の弱点として扱うかもしれない。

各アクターには理由がある。アップストリームは顧客視認障害を減らしたい。クラウドプラットフォームは紛争中またはハイジャックされたスペースのオンボーディングを避けたい。公的購入者は回復力のあるサービスを望む。貸し手は回収可能な担保を望む。保険会社は無制限の運用損失を減らしたい。彼らの誰もレジストリの政治的物語を是認する必要はない。彼らは自身の不確実性を減らすためにシグナルに依存している。

依存はレジストリの役割を変える。市場が RPKI 状態を利用可能な管理の証拠として扱うなら、RPKI 状態に影響を与える機関が市場アクセスに影響を及ぼす。LACNIC がそのような力を持っていると決して言わなくとも、これは起こり得る。経済力はしばしば、ガバナンス言語で認められる前に依存を通じて到来する。記録管理者は、他者がその記録を必要とするために重要になる。認証プロバイダーは、他者がその証明書を必要とするために力を持つようになる。

貸し手が最も明確な例である。IPv4 担保は、単純な書類で差押え、保管、競売できるトラックとは異なる。その価値は、認識された保持者ステータス、移転可能性、ルーティング受容、評判、リバース DNS、顧客継続性、RPKI 証拠に依存する。貸し手が、ルートオリジン有効性がデフォルト、売却、再編後も生き残ると確信できなければ、前貸率を引き下げるか、その資産を避けるだろう。したがって証明書ガバナンスは資本コストに影響する。

クラウドプラットフォームは別の圧力点を生む。地域企業が貴重な LACNIC 管理スペースを保持していても、顧客に効率的にサービスを提供するためにグローバルクラウドプラットフォームを必要とするかもしれない。クラウドのオンボーディングチームは、中南米レジストリの事実の裁定者にはならない。クリーンな証拠と明確な権限を望む。RPKI 状態が不確実であれば、最も簡単な答えは遅延である。その遅延は顧客、収益、交渉力を、より成熟したカストディを持つ大規模プレーヤーへと動かし得る。

アップストリームとエクスチェンジポイントは日々の規律を追加する。彼らが無効ルートをフィルタするなら、保持者は有効状態を維持するか、低下した到達可能性を受け入れねばならない。無効性が真の偽オリジンを反映している場合、これは良いことだ。無効性が管理上の遅れ、移転タイミングのギャップ、リースの曖昧さを反映する場合、それは高くつく。十分な数の取引相手が一度にそれを適用すると、ソフトな力はハードになる。

ガバナンスの答えは、貸し手、クラウド、キャリアに RPKI を気にするのをやめるよう頼むことではない。それは道理に反する。答えは、証明書レイヤーを、彼らの依存が恣意的な制度権力の経路とならないほど十分に信頼できるものにすることである。信頼に足る RPKI は市場コストを下げる。裁量的な RPKI はそれを上げる。

LACNIC の地域事情が裁量を高くつかせる

LACNIC は、制度適応がビジネス生活の恒常的事実である地域で運営されている。ネットワークは法体系、通貨、言語、公共調達文化、銀行制約、ケーブル地理、クラウド依存を横断する。一部の市場には強力な既存キャリアがいる。他は小規模 ISP、協同組合、キャンパスネットワーク、地元ホスティング企業、マネージドサービスプロバイダーに依存する。同じ RPKI ルールでも、その風景全体で異なる着地を見せるかもしれない。

この多様性は、分厚い地域権限の正当化にはならない。むしろ薄い共通調整を支持する。コモンレイヤーは一意性、レジストリ正確性、セキュリティ表明、移転記録、監査可能性、運用継続性を保護すべきである。あらゆるリース、あらゆるクラウド移行、あらゆる企業再編、あらゆる顧客地理問題の商業的意味を決定すべきではない。したがって RPKI ガバナンスは、ルーティングの整合性が要求する場合には厳格であるべきであり、私的契約や公法が決定すべき場合には控えめであるべきである。

どの RIR 地域にも存在する危険は、セキュリティの言葉が制度拡張への近道になることである。レジストリは常に、ルートオリジンセキュリティは重要だと言える。それはその通りだ。詐欺やハイジャックは現実だと言える。それらもその通りだ。保持者は権限証拠を最新に保たねばならないと言える。彼らはそうしなければならない。しかしながら、それらの真実から、レジストリが稀少資源の使用方法、融資方法、リース方法、移転方法について広範な裁量を得るべきだということにはならない。証明書はルートを保護すべきであり、役所を拡大すべきではない。

中南米・カリブ海市場は、小規模ネットワークが長期の不確実性をしばしば担えないため、行き過ぎのコストを可視化する。大規模多国籍企業は、複数の時間帯に弁護士、コンプライアンススタッフ、ルーティング専門家を維持できる。小さな ISP やホスティング企業は少数のエンジニアと狭い現金バッファに依存するかもしれない。認証問題がクラウド移行を遅らせたり、アップストリーム変更を遮ったりすれば、小規模企業はその資本のより大きな割合を支払う。紙の上で平等に見えるセキュリティルールは、実践において逆進的になり得る。

公共セクターの次元もある。地域の政府は、プライベートネットワーク、クラウドプラットフォーム、アウトソースされたサプライヤーを通じて提供されるデジタルサービスにますます依存している。彼らは番号資源レイヤーを直接管理しないかもしれないが、税、税関、教育、医療、身分証明システムが故障した場合、市民が責任を問う。証明書紛争が到達可能性を損なえば、信頼チェーンが地域の私的機関にあり、依存決定がグローバルプラットフォームによってなされても、政治的コストは地元に降りかかる。

これがレジストリ議論がしばしば隠す主権の反転である。公的アクターが中断のマイナス面を負い、私的調整機関が重要なレバーを握る。答えは RPKI の国家接収ではない。国家管理はルーティングセキュリティを断片化し、検証を政治化しかねない。答えは、中央集権化する必要のない問題を法律、市場契約、オペレーター実務に任せる、より薄く、審査可能で、移植性があり、継続性を守る証明書レイヤーである。

通知、修復、不服申立可能性

セキュリティ規律と経済的強制の違いは、しばしば修復にある。ROA が間違っていれば、保持者は修正すべきである。権限が疑わしければ、証拠を提供すべきである。ルートオリジン主張が詐取的に見えれば、保護措置が必要かもしれない。しかし証明書に影響するアクションが稼働中の到達可能性を損ない得る場合、保持者は通知、理由、修復ウィンドウ、誤りに異議を唱える有意義な方法を必要とする。

修復ウィンドウはリスクに結びつくべきである。疑わしいハイジャックは、継続する有効性が他者を急性の害に晒す場合、即時の縮小や停止を必要とするかもしれない。古い最大長エントリや企業連絡先の不一致は、より遅い修正を許容し得る。移転移行はオーバーラップを必要とするかもしれない。リース紛争は、当事者が移行する間、確立されたルートの保存を必要とするかもしれない。あらゆる欠陥を緊急事態として扱うことは行き過ぎを招く。あらゆる欠陥を無害として扱うことは乱用を招く。ルールは区別しなければならない。

理由は重要である。なぜならそれによって市場がイベントを理解できるからだ。「RPKI 無効」は状態であり、説明ではない。保持者が権限を撤回したのか?証明書が失効したのか?リポジトリが故障したのか?移転がオリジンを置き換えたのか?レジストリが変更を拒否したのか?裁判所命令が権限を凍結したのか?疑わしい危殆化が措置を必要としたのか?各説明には異なる経済的意味がある。貸し手、購入者、クラウドプロバイダー、アップストリームは、カテゴリーを知らずにリスクを価格付けできない。

不服申立可能性は重要である。なぜなら RPKI エラーは人間のレビューより速く動き得るからだ。アクションが誤っていた場合、保持者は紛争がレビューされている間に有効性を回復するか、到達可能性を保存できるチャネルを必要とする。不服申し立ては、あらゆる技術的変更に対する法廷スタイルの手続きを意味する必要はない。それは分離されたレビュー機能、文書化された証拠、時間目標、稼働停止中のエスカレーション、取引相手に示せる記録を意味する。

ログは不服申立可能性の一部である。保持者は、誰が、いつ、何から何へ、どの権限で、どのような通知をもって ROA を変更したかを知るべきである。委任型保持者は親証明書のイベントを知るべきである。ホスト型ユーザーは公開に影響するアカウントアクションを知るべきである。購入者は、隠れたルートオリジン欠陥を継承していないことを検証するのに十分な履歴を入手できるべきである。ログがなければ、市場は証拠を疑惑に置き換える。

ここで、レジストリは記録できても支配できないというドクトリンが具体化する。レジストリはセキュリティサービスを維持し、明確な技術的害に対し措置を取ることができる。無関係な行為に対する罰として、商業的不合意におけるレバレッジとして、または通常の法的権限の代用として証明書管理を用いてはならない。通知、理由、修復、不服申し立ては官僚的贅沢ではない。それらはルーティングセキュリティが私的強制になるのを防ぐ保護策である。

収用なき緊急事態

緊急事態は現実である。認証情報は危殆化し得る。ルートはハイジャックされ得る。悪意あるアクターがホスト型アカウントへのアクセスを得るかもしれない。顧客が稼働中のまま保持者が消えるかもしれない。裁判所命令が保存を要求するかもしれない。自然災害がトラフィックを別のオリジンへ強制するかもしれない。そのような場合に迅速に行動できないレジストリは無責任であろう。問題は、緊急例外を一般的な収用ツールに変えずにどう設計するかである。

第一の制限は範囲である。緊急措置は、周囲のあらゆる紛争ではなく、ルートオリジンの危険に対処すべきである。権限のない AS が認証されているなら、認証を狭める。証明書公開ポイントが危殆化しているなら、影響を受けた資料を停止または交換する。保持者が災害中にアカウントにアクセスできないなら、検証済みの一時的な修正チャネルを作成する。リソースの権原、リースの道徳性、地域使用、移転政治を再訪するために緊急ラベルを使用してはならない。

第二の制限は時間である。緊急措置は速やかに失効するか、通常のレビューへ移行すべきである。一時的な ROA、破壊的変更の一時的凍結、最後に既知の有効な状態の一時的回復、または一時的委任証明書修復は、事実が確認されている間、顧客を保護できる。措置が無期限になれば、もはや緊急例外ではない。それは新しい支配体制である。

第三の制限は可視性である。影響を受けた保持者、関連取引相手、後のレビュアーは何が起こったかを見られるべきである。これは機密のセキュリティ詳細を世界に暴露することを要求するものではない。保持者がアクションを理解し、市場が不正応答と恣意的な混乱を区別するのに十分な情報を必要とする。ブラックボックスはその瞬間には便利かもしれないが、いったん貸し手、クラウド、顧客が何が起こったかを尋ねると高価につく。

第四の制限は可逆性である。緊急措置は、不可逆的な破壊よりも、最後に既知の正当な到達可能性の保存を優先すべきである。不確実性がある場合、より安全なデフォルトはしばしば、新たな疑わしい変更をブロックしながら、既存の有効なルートを作動させ続けることである。これはすべてのハイジャックケースで正しいとは限らないが、デフォルトの質問であるべきだ:事実が検証される間に、どのオプションが最も正当な依存を保護するか?

緊急権限は、機関が真の権力理論を露わにする場である。狭いレジストリは緊急措置を、ルーティング継続性を保全し詐欺を防止する義務として扱う。主権者スタイルのレジストリは緊急措置を、リソースの運命を決定できることの証左として扱う。前者はインターネットの自発的秩序と両立する。後者はそうではない。

LACNIC にとって、RPKI の信頼性は部分的にこの境界にかかっている。保持者が、緊急事態は狭く、文書化され、レビュー可能であると信じるなら、彼らはサービスを採用し依存するだろう。緊急ラベルが裁量的管理になり得ることを恐れるなら、リスクを価格付けし、可能な限り依存を避け、代替構造を探すだろう。セキュリティ信頼は、保持者にその機関を信頼するよう求めることで構築されるのではない。機関がなし得ることを制限することで構築される。

アンカールールとしてのルーティング継続性

中心的原則はルーティング継続性であるべきだ。制度的便宜ではない。ポリシーの芝居ではない。象徴的権限ではない。認識されたリソースを使用している稼働中のネットワークは、到達可能性を保存することが明確かつより大きなセキュリティ上の害を生む場合を除き、到達不能にされるべきではない。これはすべてのルートが永久に受け入れられねばならないことを意味しない。認証状態の変更は、正式な記録ステータスだけでなく、正当なトラフィックへの影響によって判断されるべきことを意味する。

ルーティング継続性は、セキュリティと市場経済学の間の欠けている架け橋である。RPKI が存在するのは、偽のオリジン主張が到達可能性を損なうからである。その治療法が、自身で回避可能な到達可能性障害を生んではならない。ハイジャックを防ぐが、気軽に誤った無効性を生み出すシステムは信頼を失うだろう。悪い状態を修正しつつ継続性を維持するシステムは信頼を得るだろう。市場は規律あるセキュリティを価格付けできる。恣意的な脆弱性には大幅な割引を行う。

継続性には最後の安定状態の証拠が必要である。紛争前にどの ROA が有効だったか?どのルートが見えていたか?どの顧客がそれらに依存していたか?どのオリジン AS が歴史的に使用されていたか?どの移転またはリースイベントが変更を引き起こしているか?どのバリデータがいつ何を見たか?この証拠は埋もれさせるべきではない。それは、認証を保存するか、狭めるか、オーバーラップさせるか、撤回するかを決定するための事実的根拠である。

継続性はまた、証明書状態と無関係な紛争との分離を必要とする。料金問題、書類不備、ポリシー不一致、商業的対立が、稼働中のルートオリジン証拠を自動的に乱すべきではない。それらには注記が必要かもしれない。レビューが必要かもしれない。将来の変更の制限を正当化することさえあるかもしれない。しかし、既存の有効性を破壊することは厳しい行為である。重要インフラの経済学において、継続性の否定は事務的ではない。明確なルーティングセキュリティの脅威または保護策付きの合法的命令によって正当化されない限り、それは強制的である。

移植性は同じ原則から導かれる。一つのホスト型環境、一つの親証明書、一つのレジストリオフィスに閉じ込められた保持者は、限られた交渉力しか持たない。認証レイヤーが定義された条件下で移植可能であれば、保持者は制度的失敗、捕捉、紛争、サービス劣化を生き延びられる。移植性はグローバルな真実の複製を意味しない。認識された保持者状態と関連するセキュリティ表明が、制度的紛争のために顧客に代償を払わせることなく、合法的な移行を通じて移動できることを意味する。

狭い台帳ドクトリンも同じ結論を示す。レジストリは一意性、正確性、セキュリティ表明、継続性を保護するために存在する。資本、顧客地理、リースモデル、道徳的物語を管理するために存在するのではない。RPKI はその抑制の最も明確な例であるべきだ:市場が依存するからこそ、その力が制限される強力なセキュリティサービス。

Number Resource Society とポストゲートキーパーモデル

肯定的な未来モデルは Number Resource Society である。その意義はブランディングや制度的対抗ではない。それは、グローバルな番号資源システムが単一の裁量ポイントへの依存を減らすべきだという構造的アイデアである。NRS は分散化をシステム工学として枠づける:強制された永続性の替わりに退出、ロックインの替わりに移植性、独占の替わりに冗長性、道徳的言語の替わりにメカニズム。RPKI ガバナンスリスクは、そのモデルが必要な理由を示している。

ポストゲートキーパーモデルにおいて、保持者がルートオリジン有効性を維持する能力は、単一のオフィスの広範な裁量に依存しないだろう。コモンレイヤーは依然として一意性とセキュリティ整合性を保護するだろう。相容れない二つの主張が同じ真実として扱われるのを依然として防ぐだろう。ルートオリジン主張を行う当事者が合法的管理を持つという証拠を依然として要求するだろう。しかし、カストディが移動でき、レビューが行われ、継続性が制度的ストレスを生き延びられるようにシステムは設計されるだろう。

RPKI にとって、それはいくつかの実際的なコミットメントを意味する。ホスト型カストディは便利であるが、囲い込むものであってはならない。委任型カストディは恣意的な親鍵の中断なしに利用可能であるべきである。ROA ライフサイクルルールは合法的変更中に継続性を優先すべきである。誤った無効性は迅速に修復可能であるべきである。移転とリースは、運用上の現実がそれを必要とする場合、時間制限付きのオーバーラップを持つべきである。貸し手、クラウド、アップストリームは、レジストリが神託として扱われるからではなく、シグナルが規律されているから、シグナルに依存できるべきである。

これは反セキュリティではない。保持者が恐れるセキュリティシステムは完全には信頼されないため、それはプロセキュリティである。RPKI が驚きの無効性、カストディによるロックイン、不透明な停止と結びつけられるようになれば、オペレーターはそれをヘッジすべきもう一つのレジストリリスクとして扱うだろう。移植可能なカストディ、監査証跡、修復、不服申し立て、継続性と結びつけられれば、オペレーターはそれを銀行化可能なインフラレイヤーとして扱うだろう。採用と正統性はアーキテクチャに従う。

NRS はまた建設的な答えである。なぜなら古い議論は二つの悪い選択肢を提供するからだ。一つは私的ゲートキーパー主権であり、レジストリオフィスがコミュニティの言語を援用して責任を回避しつつ、重要な認証を管理する。もう一つは国家接収であり、政府がルーティングセキュリティを管轄命令に変えるかもしれない。インターネットにはどちらも必要ない。薄いコモンレイヤー、ローカルな検証、自発的な取引相手の受け入れ、永続的な退出が必要である。

したがって冒頭の切り替え室こそが真の憲法の部屋である。エンジニアが高度な理論を書いているからではなく、理論がコストになる場所だからである。一つの誤った認証が収益を遅らせ、担保を弱め、クラウド移行を中断させ、顧客の到達可能性を脅かし得るなら、RPKI ガバナンスはルーティング衛生から制度経済学へと越境したことになる。証明書は技術的かもしれない。リスクはそうではない。

正しいテストはシンプルである。ルールは稼働するインターネットを守るのか、それともゲートキーパーを拡大するのか?偽のルートを修正しながら正当なルートを保存するのか、それとも不確実性をレバレッジに変えるのか?保持者に修復、不服申し立て、退出の方法を与えるのか、それとも決定を逃れられないオフィスを信頼するよう求めるのか?LACNIC の RPKI の未来はそれらの質問によって判断されるべきである。レジストリは記録してよい。調整してよい。セキュリティ表明を支援してよい。証明書を玉座にしてはならない。

参考文献と推奨文献

これらの参考文献は本記事の公開ドクトリンと背景文脈を提供するものであり、特定のレジストリや公的機関のナラティブを採用するためのものではありません。