要約

  • NRS はポータブルな認識を追求すべきである:これは保有者が制御し、独立して検証可能な継続記録であり、レジストリサービス、証明書キー、リポジトリ、法人格の変更を生き延びつつ、認識された IANA-RIR 割り当て階層を保持できるものである。
  • RPKI トラストアンカー移行は、特に段階的な後継キーと共存に関する有用な工学的教訓を提供するが、NRS クレデンシャルは署名されたからといってグローバルに権威を持つことはできない。依存パーティ、認識されたレジストリ、オペレータはトラストを選択し、管理しなければならない。
  • ポータブルレコードは、保有者のアイデンティティ、資源範囲、権限履歴、現在の連絡先、RDAP の所在、RPKI 状態、逆引き DNS 委譲、紛争、受領書、失効を、私的な証拠を公開したり過去の誤りを固定化したりすることなく結び付けるべきである。
  • これは肯定的な制度的提案であり、完成した能力の報告ではない。NRS が必要なキー、立会人、独立レビュー、継続性演習、広範な依存パーティの採用を運用しているという公的な証拠はまだ限られている。

ポータビリティはレジストリ関係が終わるところから始まる

番号資源保有者は、最初にそれを記録した機関よりも長く存続し得る。企業は合併、分割、改名、移転し、破綻する。レジストリはポリシーを変更し、運用能力を失い、裁判所命令を受け、または責任を移管する可能性がある。証明書キーは期限切れになる。リポジトリアドレスは移動する。担当者は去る。逆引き DNS 委譲は、基盤となる事業が変更された後も古いアカウントに結び付いたままになることがある。

一般的な対応は、現在の権威に新しい状態を認識してもらうことである。その対応は必要だが不完全である。それは、ほとんどすべての継続性証拠を、保有者が異議を唱えているか離れようとしている同じ門の後ろに置いてしまう。レジストリが運用できず、前提を拒否し、関連する移転ポリシーを欠くか、受け入れられた後継者がいない場合、保有者は契約書、通信文書、履歴記録を所持していても、他のネットワークが検証できるコンパクトな証明を持たないことになる。

ポータビリティは保有者の立場を変えるだろう。それは保有者に割り当てを創作させたり、有効なポリシーを回避させたりするものではない。保有者が、何が、誰によって、どの資源について、どの条件で、いつの時点で認識され、その後の変更や紛争が何であったかという署名済みの説明を携帯できるようにする。独立した依存パーティは、スクリーンショットや私的な主張を信頼することなく、その連鎖を検証できる。

Number Resource Society は、この将来の方向性を追求する上で適切な立場にある。なぜならその公的な哲学は、番号資源機関を、正確な記録と自発的な認識に依拠する簿記係として扱うからである。機会は、より良い帳簿を作ることである:制度変更を生き延びるのに十分なポータビリティを持ちながら、恣意的な権力の競合源とならないように制約されたものだ。

トラストアンカーは証明書ファイルではなく、決定である

暗号学において、トラストアンカーとは、依存パーティが検証の開始点として受け入れる情報である。ファイルには公開鍵と場所が含まれ得るが、決定的な行為は、オペレータが定義された目的のためにその鍵を信頼することを選択したときに起こる。署名は、対応する秘密鍵がデータを承認したことを証明する。署名者が権威に値したことを証明するものではない。

この区別は NRS にとって重要である。NRS は明日にでも美しく署名された声明を公開できるが、インターネット番号資源を認証するために認識された地位を欠いたままである。ネットワークは、誰が保有者を検証したのか、重複主張がどのように防止されるのか、どの既存権威が同意したのか、誤りがあった後に何が起こるのか、署名者が継続性を破壊することなく除去できるのかを問うのが合理的である。

したがって、ポータビリティは二つの平面で運用されなければならない。権威平面は、IANA、RIR、国別または地域レジストリ、その他の認知された発行者による決定を記録する。証拠平面は、検証可能な受領書、アイデンティティ移行、資源範囲、異議申し立て、サービス継続性を保存する。NRS は、権威平面上でいかなる役割も持つ前に、証拠平面をリードすることができる。

それは臆病な役割ではない。信頼できる証拠は交渉力を変える。検証可能な履歴を持つ保有者は、不良記録に異議を唱え、サービスを移動し、相手方に継続性を証明し、秩序ある継承を支援できる。オペレータは、一つの現職者に過去の排他的管理権を与えることなく、主張を比較できる。権威が移管可能になる前に、認識がポータブルになる。

現在の階層は可視的でなければならない

RFC 7020は、インターネット番号レジストリシステムを調整された階層として文書化している。IANA は大きな範囲を地域インターネットレジストリに割り当て、RIR はさらに直接または他のレジストリを通じて割り当てまたはアサインを行う。登録の正確性と一意性が中核的な要件である。ルーティングの選択は、割り当てレジストリの直接的な範囲外の運用上の事項である。

この階層を隠すいかなる NRS 設計も混乱を生むであろう。自己主張の保有者声明は、RIR 登録と同一に見えるべきではない。後により認識された移転が状態を変更した場合、歴史的契約が現在の権威の証明として提示されるべきではない。NRS 会員資格の決定が IANA 委譲のように見えるべきではない。

ポータブルレコードは権威を正確にラベル付けすべきである。各主張には、発行者、資源範囲、有効期間、証拠クラス、現在の状態が必要である。「ARIN が日付 Z に組織 X にプレフィックス Y を登録した」は、「組織 X が Y を管理していると NRS に伝えた」とは異なる。両方を記録できるが、最初のものだけが ARIN からのレジストリ証拠である。もし認知されたレジストリがその主張に異議を唱えるなら、その紛争はレコードと共に移動しなければならない。

ポータビリティが成功するのは、管理権が変わっても履歴が理解可能なままであるときである。新しい機関が、権威についての証拠と権威そのものとの区別を消し去るときに失敗する。

NRS は証明すべき整合的な前提を持っている

NRS 憲章は、番号資源機関が無制限の規制権力ではなく、自発的認識、正確な登録、抑制された管理に基づいて地位を導き出すと論じる。それは NRS を安定性、自由企業、透明性、説明責任の擁護者として提示する。これらは第一者の主張であり、能力の独立した証明ではない。

真剣に受け止めれば、この憲章は厳しい設計を意味する。自発的認識はスローガンによる信頼を意味しない。明確な条件、検査可能な制御、データ拘束なしの退出が必要である。正確性は最も声の大きい保有者を受け入れることを意味できない。証拠基準、競合検出、修正、レビューが必要である。制限された権力は弱い説明責任を意味できない。創設者、理事会、検証者、商業パートナーが静かに認識を書き換えることができないように、役割分離が必要である。

NRS の公表された会員規約は、最初の試験場となり得る決定を既に明らかにしている。入会には更なる情報が必要な場合があり、裁量を伴う。資格停止や除名は会員の地位に影響を与える。NRS はそれらの決定に対して署名付きの理由付き受領書を発行し、最初の決定を下さなかった人々によるレビューを提供し、元会員が以前の地位の証明を保持できるようにできる。

それはまだ番号資源トラストアンカーを確立しないだろう。それは NRS が自身の領域でアイデンティティ、権威、時間、理由、修正、退出を維持できることを示すだろう。制度的な信頼性は、より広範な認識が求められる前に、実証された抑制から成長すべきである。

ポータビリティには定義されたオブジェクトが必要である

「ポータブルトラストアンカー」という語句は、何が移動するのかを指定しなければ漠然としたものになり得る。有用な NRS ポータブル認識レコードは、小さな公開コアと保護された裏付け証拠を含むだろう。

公開コアは、資源範囲または ASN、認識された保有者名、安定した保有者識別子、各権威声明の発行者、有効日および廃止日、現在の状態、保有者の公開継続性キー、権威ある RDAP 発見情報、RPKI 参照、逆引き DNS 委譲参照、紛争マーカー、裏付け証拠への暗号的コミットメントを特定すべきである。不必要な個人住所、本人確認書類、秘密契約は含めるべきでない。

保護された証拠は、意思決定を再構成するために必要な文書と証明を保存すべきである:レジストリ受領書、署名された保有者要求、企業継承証拠、移転承認、キーローテーション承認、レビュー担当者の決定、通知。アクセスは目的に拘束され、ログが取られるべきである。異なるレビュー担当者は異なるビューを必要とするかもしれない。

保有者は、公開レコード、自身の受領書、包含証拠、以前のバージョン、発行者証明書、独立検証のための手順を含むポータブルパッケージを受け取るべきである。パッケージは、アクティブな NRS アカウントがなくても検証可能なままでなければならない。そうでなければ、資格停止や料金紛争が、約束されているポータビリティそのものを消し去る可能性がある。

このレコードは権利証書ではない。それは認識と変更の構造化された説明である。法的権利、契約上の権利、ルーティング利用、ポリシー適合性は別個の問題である。

保有者制御は継続性キーから始めるべきである

保有者は、レジストリアカウント、従業員、サービスプロバイダが変わっただけでは変化しない暗号アイデンティティを必要とする。そのアイデンティティは、保有者自身のガバナンスの下で制御される継続性キーによって表すことができる。それは要求に署名し、受領書を確認し、キーの継承を承認すべきである。

一台のラップトップのキーでは十分ではない。企業は閾値制御、ハードウェア保護、指定された役割、復旧手順、従業員退職後の継承を必要とする。小規模組織は認定されたカストディアンを使用できるが、そのカストディアンが資源を移動する一方的な権力を得るべきではない。通常の署名者が利用できない場合、裁判所が任命した管理者は文書化された復旧経路を必要とするかもしれない。

継続性キーは永久的な罠になってはならない。暗号は古くなり、デバイスは故障し、キーは侵害される。ポータブルレコードは、署名された後継キー声明、受け入れ期間、既知の依存パーティへの通知、保護された異議申し立て経路をサポートすべきである。緊急交代は通常のローテーションよりも強力な証拠とより多くのレビュー担当者を必要とする。

保有者制御にも限界がある。継続性キーの所持は、認識された移転、有効な裁判所命令、証明された侵害を覆すことはできない。それは絶対的な権利ではなく、保有者が承認する声の継続性を確立する。NRS はこの境界をすべての検証者に見えるようにすべきである。

RPKI は、信頼が資源委譲に従うことを示す

RFC 6480は、RPKI を番号資源割り当てに沿った証明書階層として記述している。証明書は ROA などの署名付きオブジェクトの検証をサポートする。RFC 6487は、資源証明書がサブジェクトキーを列挙された IP アドレスまたは AS 番号資源にどのように結び付けるかを規定する。

この階層は本質的な教訓を提供する:権威は認識された委譲を通じて継承される。その連鎖の外部で作成された証明書は、単独では暗号的に有効であるかもしれないが、そのルートを信頼しないオペレータにとっては無関係である。また、資源証明書は一般的な企業アイデンティティ証明書として機能しない。そのサブジェクト名は通常のアイデンティティの意味で意図的に説明的ではない。

NRS への教訓は、権威よりも強く見える装飾的な証明書を避けることである。ポータブルレコードは RPKI 状態を含み、受け入れられたトラストアンカーの下で署名付きオブジェクトを検証できる。歴史的な RPKI 受領書を保存し、保有者の認可がいつ変更されたかを示すことができる。宣言によって NRS ルートをグローバルなルーティングセキュリティの一部にすることはできない。

肯定的な経路は相互運用である。認識されたレジストリはポータブルな受領書に署名できる。保有者は自身の継続性キーを、委譲された RPKI サービスに使用されるキーにリンクできる。依存パーティは、認識された RPKI チェーンと NRS 継続性履歴の両方を、それぞれの適切な命題のために検証できる。時間の経過とともに、広範な参加がより正式な NRS の役割を正当化するかもしれない。信頼は証拠に従うのであり、それに先行するのではない。

トラストアンカーロケータがブートストラップ問題を明示的にする

RFC 8630は、RPKI トラストアンカーロケータ(TAL)を定義している。これは依存パーティに、トラストアンカー証明書を取得するための1つ以上の場所と、その証明書を検証するための公開鍵を与える。依存パーティは他の手段で配布された信頼済みマテリアルから始め、それから現在の証明書を取得し検証する。

これは有用なアナロジーであり、警告でもある。TAL は複数の場所を保持でき、一つのリポジトリアドレスの喪失を生き延びるのに役立つ。証明書の内容が変わっても依存パーティは設定されたキーを認識し続けることができる。しかし依存パーティは依然として TAL を取得し受け入れなければならなかった。もし間違ったキーが信頼されるなら、正しい暗号は忠実に間違った権威を検証する。

NRS ポータブルパッケージは、それ自身のブートストラップストーリーを必要とする。誰がネットワークに最初の NRS キーを与えるのか?ネットワークはそれが詐称者でないことをどうやって知るのか?代替キーはどのように告知されるのか?二つの NRS サイトが異なる履歴を提示できるか?管轄区域が一つのホストにデータの削除を命令したらどうなるのか?

答えは複数の独立したチャネルを使うべきである:公開されたキー儀式、広く立会いされたチェックポイント、再現可能な検証者リリース、複数のリポジトリ設置場所、会員受領書、第三者によるアーカイブコピー。単一のウェブサイトセッションが信頼の唯一の基盤となるべきではない。

後継キーは突然の切り替えよりも優れている

RFC 9691は、計画された RPKI トラストアンカーキー移行のためにトラストアンカーキー署名付きオブジェクトを追加する。これはトラストアンカーオペレータが現在のキーと後継キー、および関連する証明書の場所を通知できるようにする。対応する依存パーティは、移動前に定義された受け入れ期間にわたって後継を観察し、一方で古いクライアントは個別に更新されるまで以前のマテリアルを継続して使用することができる。

特定の RPKI メカニズムは異なる制度に盲目的にコピーされるべきではない。その価値は移行の規律にある。将来の NRS ルートキー変更は、古いキーによって告知され、新しいキーによって確認され、独立したチャネルを通じて立会いされ、宣言された期間共存することを許されるべきである。依存パーティは、依存する前に後継をテストできるべきである。履歴が分岐したり検証者が失敗した場合のロールバック計画が存在すべきである。

緊急時の侵害はより困難である。なぜなら、古いキーはその後継を祝福するために信頼できないからである。復旧には、分離されたカストディアンによる閾値承認、独立したインシデント調査結論、公開通知、保存された証拠、依存パーティが最後の争いのないチェックポイントを固定する機会が必要である。いかなる幹部も、ルートを静かに置き換える私的な上書きを所有すべきではない。

移行記録自体がポータブルでなければならない。保有者やオペレータは、後の NRS 署名が以前の信頼された状態からどのように派生したかを、たとえ古いサービス拠点が消滅しても検証できなければならない。

独立した証明はオペレータよりも長生きすべきである

すべての証明が使用の瞬間に NRS から取得されなければならないならば、ポータビリティは弱い。停止、法的拘束、組織の失敗は検証を除去するだろう。保有者は、以前に立会いされた状態に含まれていることを証明するのに十分なマテリアルを所持すべきであり、独立した観察者は対応するコミットメントを保持すべきである。

RFC 9162は、追加専用ログのための署名付きツリーヘッド、包含証明、一貫性証明を含む証明書透明性メカニズムを定義する。NRS は認識イベントに対してその構造的アイデアを適応させることができる:定期的に順序付き履歴にコミットし、保有者に受領書が含まれていることを証明させ、監視者に後の履歴が以前のものを拡張していることをテストさせる。

このアナロジーには厳格な限界がある。包含はデータがコミットされた履歴に現れたことを証明するが、その主張が真実、合法または公正であったことを証明しない。一貫性はコミットされた状態間の追加専用の関係を証明するが、意思決定者が悪い証拠を受け入れることを防がない。私的または予測可能な事実は不注意なコミットメントを通じて漏洩する可能性がある。

したがって、NRS はログと同様に立会人を必要とするだろう。大学、オペレータ、市民社会グループ、RIR、商業的依存パーティは署名済みのチェックポイントを保持できる。検証者は、十分に多様な立会人と調整できない履歴を拒否すべきである。立会人セットは、それが永久的なクラブにならないように透明にローテーションされなければならない。

修正は削除ではなく追加しなければならない

ポータブルレコードは最終的に誤りを含むであろう。もし修正が古いエントリを削除するなら、保有者はなぜ第三者が昨日異なる状態を見たのかを説明できない。もし不変性が誤りを凍結するなら、システムは虚偽の効率的な配信者になる。

答えは追加専用の修正である。古い声明は歴史的証拠として残るが、その現在の状態は廃止、修正、または失効となる。新しいイベントは、変更された命題、変更の権威、発効時期、理由クラス、以前のエントリへのリンクを特定する。公開ビューはデフォルトで現在の状態を示し、検証者は履歴を再構築できる。

争われた主張はそれ自身の状態を必要とする。異議申し立ては現在の保有者を自動的に失効させるべきではない。なぜならそれはサービス拒否を容易にするからである。またシステムは、最終判断まで信頼できる対立を隠蔽すべきではない。境界付けられた争いマーカーは、主張や私的文章を公開することなく、問題のフィールド、審査機関、次のマイルストーンを特定できる。

すべての修正は、保有者と影響を受ける発行者のために受領書を生成すべきである。報告者はより狭い受領書を受け取るかもしれない。独立した監視者は新しいコミットメントを観察すべきである。もし修正されたレコードが以前にエクスポートされていたなら、NRS は機械可読の失効または廃止通知を発行し、下流のユーザーがそれを現在のものとして提示し続けないようにすべきである。

RDAP 継続性は認識された発見を必要とする

RDAP は番号資源利用者に構造化された登録応答を提供するが、彼らは最初に権威あるサービスを見つける必要がある。RFC 9224は、IPv4、IPv6、AS 番号空間に対する IANA ブートストラップレジストリを定義する。クライアントは資源をリストされたサービス URL と照合し、権威あるサーバーに問い合わせる。

これは、NRS が単にポータブルクレデンシャルにそれをリストするだけで、あるエンドポイントを権威あるものにすることはできないことを意味する。IANA ブートストラップ状態と認識されたレジストリ委譲は、通常の RDAP 発見にとって決定的なままである。NRS エンドポイントは、認識されたブートストラップ経路が変わるまで、継続性ビュー、歴史的証拠、または参照補足を提供できるが、自身を正確にラベル付けしなければならない。

ポータビリティは依然として RDAP を改善できる。保有者パッケージは、以前および現在の権威あるベース URL、応答ハッシュ、イベント時間、発行者受領書を記録できる。移行中、NRS は古いサービスと新しいサービスが一致しているか、リダイレクトが機能しているか、IANA ブートストラップデータが受け入れられた権威を反映しているかを監視できる。もし認識されたサービスが失敗した場合、継続性エンドポイントは、顕著な経過時間と権威通知付きで、最後に立会いされた状態を返すことができる。

将来の目標は、ポータブル認識証拠のための標準 RDAP リンク関係である可能性がある。採用にはオープンな技術的合意と慎重なプライバシー処理が必要であろう。専用の NRS クライアントや私的ライセンスに依存すべきではない。

RPKI 継続性はコピーではなく移行である

RPKI マテリアルは単にある認証局から別の認証局にコピーすることはできない。証明書、失効リスト、マニフェスト、署名付きオブジェクトは特定のチェーンとリポジトリコンテクストを通じて検証される。RFC 9286は、依存パーティが期待される公開セットを決定し、特定の形式の改ざんや消失を検出するのを助けるためにマニフェストを使用する。RFC 8182は、依存パーティがリポジトリのスナップショットと差分を同期することを可能にする。

ポータブルな移行は、依存パーティが新しいものを観察するのに十分な期間、古いチェーンを保持しなければならない。現在の権威は適切な後継または代替マテリアルを発行すべきであり、新しいリポジトリは完全な有効なセットを公開すべきであり、監視者は両方のビューの下で結果を比較すべきである。撤回と失効は、不必要な検証ギャップを回避する順序で行われなければならない。

NRS はルートキーを保持することなく、その移行を巡る証拠を調整できる。誰が移動を承認したか、どの資源範囲が影響を受けるか、各リポジトリ状態がいつ立会いされたか、バリデータが何を観察したか、保有者が完了を受け入れたかを記録できる。もし古い権威が拒否するなら、NRS は単独で認識されたチェーンを修復できると偽ることなく、紛争と技術的影響を保存できる。

この証拠は、RIR の承継や緊急オペレータイベントの間に価値があるだろう。それは制度的変更の前にどの署名状態が存在し、どの保有者が後継を確認したかを示すだろう。実際のルーティングセキュリティ継続性は、依然として受け入れられたトラストアンカー、有効な証明書、リポジトリの可用性、オペレータの取得に依存する。

不利益な行為こそが管理を分離すべき理由である

RFC 8211は、認証局またはリポジトリ管理者が、RPKI マテリアルを削除、変更、失効させることによってどのように害を及ぼし得るかを検証する。原因は誤り、攻撃、法的強制、または意図的な行動であり得、修復が行われるまで可視的な効果は類似して見えることがある。

もし同じ機関が登録認識、証明書発行、リポジトリ公開、紛争判断、および歴史的証拠のすべてのコピーを管理するなら、一つの不利益な行為が正当性の全体の説明に影響を与え得る。ポータビリティはこれらの権力を分割すべきである。

認識されたレジストリは依然として割り当て記録の権威であり得る。保有者は自身の継続性キーを制御する。NRS はポータブルな受領書と公開コミットメントを保存する。独立した立会人はチェックポイントを保持する。別個のレビュー担当者が NRS の入会と紛争を決定する。依存パーティは NRS 証拠を受け入れるか選択し、以前の争いのない状態を固定できる。

いかなる取り決めも強制や侵害を排除しない。分離は、履歴を消去したり継続性を捏造するのに必要な独立した失敗の数を増やす。また、権威が一致しないときに証拠を生成する。レジストリは現在の証明書を失効させることができ、一方で立会いされた NRS レコードは証明書が以前存在した事実を保存し、争われた移行を特定する。

その保存は失効した経路を有効に保つものではない。それは何が起こったかを再検討し、救済を求め、合法的に移行する能力を保護する。

逆引き DNS は親委譲の限界を明らかにする

逆引き DNS は正直なポータビリティのもう一つのテストである。in-addr.arpaip6.arpaの下の権威は DNS 委譲チェーンに従う。RFC 3172は、arpaドメインの管理とアドレス割り当てと逆引きゾーンの関係を記述する。IANA、RIR、保有者はそれぞれ異なる境界を制御し得る。

保有者は、優先ネームサーバー、DNSSEC マテリアル、以前の委譲、変更受領書をポータブルパッケージに携帯できる。子ゾーンを継続的に運用し、同じ継続性キーが新しいサーバーを承認したことを証明できる。それでも親に委譲を公開することを強制しない。親の協力または認識された継承が必要なままである。

NRS はそのギャップを見えるようにできる。検証者は「保有者ゾーン準備完了;現在の親変更なし」、「親更新受入;伝播観測」、または「委譲争い」を表示できる。独立した DNS チェックは複数のネットワークからのビューを記録できる。計画された移行中、技術的に適切な場合、古いネームサーバーと新しいネームサーバーが共存できる。

これが制約付きポータビリティの見た目である:保有者の能力と証拠を保持し、回避可能なダウンタイムを減らすが、どの門が保有者の制御の外にあるかを明確に述べる。親の権威なしにシームレスな逆引き DNS 移動を約束する設計は誤解を招くであろう。

移転履歴は資源と共に移動すべきである

IPv4 移転、組織承継、レジストリ境界変更は証拠を断片化する可能性がある。ソースレジストリは一つのアカウント、受領レジストリは別のアカウント、ブローカーは第三の記録セット、保有者はメールの確認のみを保持するかもしれない。数年後、デューデリジェンスレビュー担当者は、なぜ現在のエントリが以前のものから続くのかを再構築するのに苦労するかもしれない。

ポータブルレコードは移転チェーンを作るべきである。各イベントは、ソースと受領者のエンティティ、影響を受ける資源、承認権威、有効時期、廃止されたクレデンシャル、新しい継続性キー、開示可能ないかなる条件も特定する。両当事者は署名付き受領書を受け取るべきである。各 RIR は自身が制御する部分のみを証明できる。

機密の価格、交渉、本人確認書類は公開される必要はない。暗号的コミットメントは保護された証拠をイベントに結び付け、後の紛争のために選択的開示を可能にする。公衆は商業的条件を知ることなく継続性を理解するのに十分な情報を必要とする。

ポリシーが移転を許可しない場合、NRS は私的な売買を認識された登録として再ラベル付けしてはならない。当事者が合意を主張し、現在のレジストリが変更を認識していないことを記録できる。ポータビリティは不一致の証拠を保護する;それは合意を製造しない。

認識は企業変更を跨いでポータブルでなければならない

保有者自身は静的ではない。法的名称はエンティティが継続する間に変わり得る。合併は権利を後継者に移動できる。グループは資産を関連会社間で再編できる。破産は管理を管理者に委ねる可能性がある。古い会社名だけに結び付けられたポータブルキーは、継続性が重要であるまさにその瞬間に使用不能になるかもしれない。

NRS は証拠基準を伴うアイデンティティ移行イベントを定義すべきである。単純な名称変更は現在の公開登録と保有者からの権限を必要とする。合併は承継の証明とどの資源が移動したかのレビューを必要とする。破産は公式の任命記録と誰が署名できるかの制限を必要とするかもしれない。国境を越える変更は複数の法制度を含むかもしれない。

公開レコードは、個人文書を公開することなく、正規の名称と日付を保存すべきである。それは法的エンティティの継続性を別のエンティティへの移転と区別すべきである。保有者キーは名称変更を通じて継続し得るが、支配権の変更後はローテーションするか後継の承認を得るべきである。

同じ人物が新旧両方の権威を主張する場合、独立したレビューが重要である。口座保有者がアップロードしたいかなる企業文書も受け入れるポータブルシステムは、買収詐欺を容易にするだろう。ポータビリティは、アイデンティティ保証を低下させることなく、現職の裁量への依存を減らさなければならない。

捕捉を避けるには構造的な退出権が必要である

レジストリの門番行為を減らすために作られた機関は、新しい門番になり得る。NRS は認識キー、検証者ソフトウェア、会員入会、証拠アーカイブ、商用ライセンスを制御するかもしれない。後に依存パーティがそれらすべてに依存するようになれば、NRS は料金を引き上げ、パートナーを優遇し、退出を技術的に困難にすることができる。

治療法は善意の約束ではない。レコード形式、検証者、暗号ルールはオープンであるべきである。誰もが NRS に接触したり、変更される商業条件を受け入れたりすることなく、ポータブルパッケージを検証できるべきである。保有者はいつでも現在および歴史的レコードをエクスポートできるべきである。立会人は多様で交換可能であるべきである。キー管理には複数の機関が必要であるべきである。

ガバナンスは、一つの会員クラス、レジストリ、ブローカー、創設者、国家、投資家が認識ポリシーを制御するのを防ぐべきである。利益相反ルールは、移転や紛争から収益を得る組織を対象とすべきである。証拠基準、料金、ルートキー、検証者の動作に対する主要な変更には、公開通知、理由付き決定、遅延した発効日が必要であるべきである。

退出はテストされなければならない。NRS は、独立チームが公開履歴を再構築し、検証者を運用し、NRS のライブシステムにアクセスすることなくエスクローされたマテリアルから立会人サービスを継続できることを定期的に実証すべきである。自身が移植できないポータビリティ機関は、その中心的主張に失敗している。

認識には独立した上訴が必要である

NRS の会員資格や認識は時として拒否、停止、失効させられるであろう。もし同じスタッフが調査、決定、上訴審理を行うなら、署名付き受領書は単に集中された裁量を文書化しやすくするだけである。

最初のレビューはアイデンティティ、資源証拠、利益相反チェックを検証すべきである。別個の機関が異議申し立てを審理すべきである。その構成員は固定任期、公表された資格、利益相反開示、不人気な決定に対する解任からの保護を必要とする。上訴人は、合法的な墨消しを条件として、依拠された理由と証拠クラスを受け取るべきである。

キーが侵害されたり、重複主張が利用者を脅かす場合、完全な審理の前に緊急保護措置が行われるかもしれない。そのような措置は確認されない限り失効し、影響を受ける当事者に通知し、最後の争いのない状態を保存すべきである。後の覆しは現在の認識を回復し、中断を消去するのではなく修正を追加すべきである。

裁判所や認識されたレジストリの紛争メカニズムは依然として関連する。NRS は、いつ従うか、いつ別個の証拠的見解を保存するか、競合する命令がどのように処理されるかを述べるべきである。すべての管轄区域を同意させることはできないが、静かなフォーラムショッピングを防ぐことができる。

上訴の結果は集計で公開されるべきである:維持、修正、覆し、取り下げ、係属期間。この証拠は NRS が自らを修正するか、単に最初の決定を認証するかを示すであろう。

プライバシーとポータビリティは共に設計されなければならない

ポータブル証拠は監視資産になり得る。パッケージは企業の連絡先、移転時期、セキュリティ配置、以前の紛争、レビュー担当者の名前を明らかにするかもしれない。すべての依存パーティが完全なファイルを受け取るなら、ポータビリティのコストは受け入れられない露出である。

したがって、公開コアは広範な検証が必要とするものだけを含むべきである。保護された証拠は定義されたレビュー担当者の役割のために暗号化できる。保有者は全履歴を開示することなく一つの命題を開示できる。公開コミットメントは、その内容を明らかにすることなく、証拠が決定前に存在したことを証明できる。

失効もプライバシーにとって重要である。現在のレコードから削除された個人的な連絡先は、歴史的証拠に残るかもしれない。アクセス制御と保持ルールは、誰がそれを取得できるかを制限すべきである。公開履歴は人物名ではなく安定した役割識別子を参照できる。法的消去義務は、変更の理由とコミットメントを保存しつつ、個人的コンテンツの除去を要求するかもしれない。

NRS は各検証者がそのサーバーに何を送信するかを公開すべきである。理想的には、オフライン検証は利用者がどの資源を確認しているかについて何も明らかにしない。オンライン状態サービスは、クエリログを商業的関心や調査のマップに変えることに抵抗すべきである。

プライバシーは説明責任と対立しない。慎重に設計された受領書は、それを正当化した文書を保護しつつ、機関の権威、時間、結果を暴露することができる。

継続性は境界付けられた方法で失敗すべきである

すべてのトラストサービスは最終的に失敗を経験する。キーが利用不能になり得る。リポジトリが分割され得る。立会人が不一致を示し得る。検証者がバグを含み得る。設計は利用者が何を見るか、どの最後の既知の状態が使用可能なままかを述べるべきである。

可用性の失敗は、静かに権威の失敗になってはならない。NRS が新鮮なチェックポイントを公開できない場合、検証者は最後に立会いされた時間を表示し、それ以降の主張を現在のものとして扱うことを拒否できる。もし一つのリポジトリが故障した場合、他の署名付き場所が同じコミットされたデータを提供できる。立会人が不一致の場合、検証者は最も都合の良い履歴を選ぶのではなく、分裂を表面化すべきである。

侵害された保有者キーは、自動的にすべての以前の受領書を無効化すべきではない。システムは侵害時刻をマークし、レビュー後に後継にローテーションし、争われたイベントの前に行われた署名を保存できる。侵害された NRS 署名キーはより深刻であり、独立した復旧憲法を作動させるべきである。

継続性演習では、サイト、キーカストディアン、クラウドプロバイダ、統治機関、法的エンティティの喪失をテストすべきである。結果は復旧時間、欠落証拠、是正措置を特定すべきである。公衆はセンシティブな復旧詳細を見る必要はないが、その機関が自身を生き延びられることを証明したかどうかを知るべきである。

採用は権威ではなく証拠から始めるべきである

最初のフェーズは控えめで達成可能である。NRS は自身の会員に対して、ポータブル会員受領書、保有者継続性キー、追加専用の決定履歴を発行できる。独立した立会人はチェックポイントを保持できる。オープンな検証者はオフラインで動作できる。上訴は実際の入会や資格停止の決定に対してテストできる。

第二のフェーズでは、自発的な番号資源認証を追加できる。保有者は認識されたレジストリ記録、RPKI 参照、RDAP 応答、逆引き DNS 状態を提出する。NRS は引用された公開証拠が存在したことを検証し、その権威を正確にラベル付けする。結果は認識された証拠のポータブルな調書であり、代替登録ではない。

第三のフェーズはパートナーシップを必要とする。RIR、国別レジストリ、移転促進者、その他の認識されたエンティティは、ポータブル形式に直接署名付き受領書を発行できる。オペレータはデューデリジェンスやインシデントレビューの間に NRS 継続性証拠を使用できる。技術グループはリンク関係やクレデンシャルフィールドを標準化できる。

広範な採用、独立監査、成功したキーローテーション、テストされた継承の後にのみ、NRS は、証拠を超えたトラストアンカー扱いをいかなる声明も保証するかどうかを問うべきである。その時でさえ、依存パーティは定義された目的のためにオプトインすべきである。いかなるデフォルトも NRS 会員資格をルーティング権威に変えるべきではない。

この順序は、NRS に意義に至る信頼できる経路を与えるため、NRS を肯定的に位置付ける。信頼性を実証する前に権威を告知する致命的な誤りを避ける。

パフォーマンスはポータビリティの主張に照らして測定されなければならない

NRS はその中心的な約束をテストする尺度を公開すべきである。すべての保有者は完全な検証可能パッケージを輸出できるか?アカウント閉鎖後、検証はどれだけ長く機能するか?受領書のうち独立した包含証拠を持つものの割合は?各チェックポイントを何人の立会人が観察したか?キーローテーションにどれだけ時間がかかるか?上訴のうち最初の決定を変えるものはいくつか?外部チームがエスクローされたマテリアルから公開履歴を再構築できるか?

集計には分母と制限が必要である。依存パーティのいない成功したキー儀式は、採用についてほとんど証明しない。一つの企業グループからの千の署名付き認証は、多様性についてほとんど証明しない。一つの復旧演習は、あらゆる法的または技術的失敗に対する回復力を確立しない。

プライバシー尺度は可用性の隣に属する。NRS は保護された証拠へのアクセス、不正な試み、墨消し要求、保持例外を集計で報告すべきである。ガバナンス尺度は、利害の衝突、忌避、集中した投票権、重大な商業的依存を示すべきである。

最も重要な尺度は、不一致後のポータビリティである。元会員、敗訴者、批評家は依然として以前の受領書を検証し、保有する権利のあるレコードをエクスポートできるべきである。満足した会員だけがポータビリティを実証できるなら、設計はその真のテストに直面していない。

独立保証は式典ではなく決定を検査すべきである

公開キー式典は有用であるが、保証がハードウェアと署名で止まるなら演劇になり得る。難しい質問は、誰が資源を主張することを許されたか、競合する証拠がどのように処理されたか、レビュー担当者が独立していたか否か、修正がすべての公開ビューに達したかどうかに関する。

査定者は入会、拒否、キー変更、企業承継、紛争、資格停止、退出をサンプルすべきである。証拠から権威を再構築し、受領書を検証し、公開コミットメントをテストし、保有者が使用可能なパッケージを持って退出できることを確認すべきである。バックアップからの復旧を試み、立会人が保持するチェックポイントを比較すべきである。

技術的テストは、分岐したリポジトリビュー、古いデータ、悪意ある置き換え、侵害された保有者キー、検証者のダウングレードを含むべきである。ガバナンステストは、集中した制御、関係者決定、レビュー担当者の利害相反、緊急権限を検査すべきである。プライバシーテストは、コミットメントが予測可能な事実を明らかにするかどうかを問うべきである。

レポートは設計遵守と有効性を分離すべきである。NRS はすべてのルールに従いながら、証拠基準が弱ければ依然として虚偽の認識を生み出す可能性がある。上訴がアクセス不能でありながら、堅牢な暗号を運用するかもしれない。ポータブルトラストアンカーは、機関が技術的失敗と判断失敗の両方を修正するときに信頼を得る。

最強の異論が設計を改善する

一つの異論は、別の認識レイヤーが複雑性を加えるということである。それは真実である。下手に設計された NRS クレデンシャルはオペレータを混乱させ、重複主張を生み出す可能性がある。答えは狭い命題、正確な権威ラベル、不一致を隠すのではなく表示する検証者である。

第二の異論は、ポータビリティがポリシー遵守を弱めるということである。保有者は NRS を使ってレジストリの移転制限や失効を回避するかもしれない。答えは、NRS 証拠が認識された権威を変更できないということである。それはポリシー決定を見えるままにしつつ、保有者の主張と履歴を保存する。

第三の異論は、既存機関が協力しないであろうということである。一部はポータブル受領書を挑戦と見なすかもしれない。NRS は公開証拠と保有者管理レコードから始め、その後紛争コストの削減とより良い継続性を実証できる。受領書が古いケースの再構築の負担を下げるとき、協力は魅力的になる。

第四の異論は、暗号は制度的正当性を解決できないということである。正しい。それは改ざん、包含、承継、不整合をより観察可能にすることができる。正当性は依然として公正なルール、有能な検証、レビュー、多様性、継続的な認識を必要とする。

第五の異論は、NRS 自体が捕捉され得るということである。それが決定的なリスクである。オープンフォーマット、独立した立会人、輸出権、分散キー管理、テストされた制度的継承はオプションの付加物ではない;それらは主張の条件である。

現在の証拠は限定的なままである

この提案は実証された NRS の能力を超えて広がっている。公開された NRS マテリアルは、擁護の立場、会員規約、制度的野心を確立している。それらは、運用中の番号資源認証局、グローバルに受け入れられたトラストアンカー、立会いされた追加専用認識履歴、規模における独立上訴、クロス RIR 署名付き受領書、またはテストされた RDAP、RPKI、逆引き DNS 移行を示していない。

より広範な標準は有用なビルディングブロックを確立するが、提案された機関は確立しない。RPKI トラストアンカーキー移行は定義された証明書問題を解決する。RDAP ブートストラップは認識された権威サービスを特定する。透明性ログは境界付き証明をサポートする。逆引き DNS は親委譲に従う。どれも NRS を任命せず、オペレータがその声明を受け入れることを保証しない。

コストも未知である。高保証アイデンティティレビュー、キー管理、立会人の多様性、プライバシー保護、上訴、長期保存は高価である。小規模保有者が、大規模ブローカーやネットワークだけが負担できる設計によって排除されてはならない。一つの商業クラスによる制御なしの持続可能な資金調達は未解決の問題である。

これらの制限は NRS のアジェンダとして扱われるべきであり、それを放棄する理由としてではない。将来の方向性は、権威が主張される前に未知が挙げられたときに信頼できるものになる。

静かに崩壊し得る境界線を見守れ

NRS が発展するにつれ、観察者は会員資格証明書が資源の権原の証明として販売され始めるかどうかを見守るべきである。自己主張が RIR 認証と視覚的に区別されているか、紛争がエクスポートと共に移動するか、検証者が NRS ホストデータのみを受け入れるかを確認すべきである。

キー管理を見守るべきである。誰が緊急権限を作動させられるか?一人の幹部やベンダーがルートを置き換えられるか?後継キーは十分長く立会いされているか?依存パーティは最後の争いのない状態を保持できるか?

認識の経済を見守るべきである。移転ブローカー、大規模保有者、レジストリパートナーは特権的な入会を得るか?料金は公開され比較可能か?元会員は支払いなしに受領書を検証できるか?上訴は小規模オペレータの手の届かない資源を必要とするか?

相互運用性を見守るべきである。RDAP リンクはオープンな規約を使用しているか?RPKI 証拠は標準の依存パーティツールで検証されるか?逆引き DNS 状態は独立して確認できるか?エクスポートは完全で文書化され耐久性があるか?

何よりも、NRS が失敗を公開するかどうかを見守るべきである。成功した式典と成長する会員数だけを明らかにするポータブルトラスト機関は、説明責任を実証していない。

認識は、係留されずに移動すべきである

インターネット番号レジストリシステムは、耐久性のある権威と変化する能力を必要とする。これらの目標は、現職の記録が制度記憶の唯一の容器であるときのみ対立するように見える。ポータブル証拠は、保有者がアイデンティティ、証明書、リポジトリ、サービスを移動させながら、認識されたチェーンとその中のすべての争われた断絶を保存することを可能にする。

NRS はこれをその決定的な貢献にできる。保有者に継続性キー、署名付き受領書、独立した立会人、追加専用修正、輸出権、一つの認識された状態から別の状態への規律ある経路を与えることができる。オペレータが、保有者または現職レジストリのいずれかに対する盲目的な信頼を要求することなく、履歴を検証するのを助けることができる。

「アンカー」という言葉は要求の厳しいままでなければならない。NRS は、それが批判する門番よりも捕捉されにくく、改善しようとする機関よりも退出しやすく、確実性の市場が通常許容するよりも署名の限界について正直でなければならない。永続性を約束する前に承継を証明し、敬意を求める前に独立したレビューを証明しなければならない。

もしそれができれば、ポータビリティは番号資源権威を断片化しないだろう。それは、認識履歴、保有者証拠、サービス継続性が一つの機関が変わったときに消えないようにすることで、権威をより強靱にする。それは構築する価値のある未来であり、それが既に存在するふりをせずに始めることができる未来である。

情報源