要約
- このテーマにおける NRS の役割は、アドボカシー、研究、キャンペーン、召集、および権限を与えられた会員の代表です。運営行為は RIR、IANA 番号サービス、標準化団体、および認定された独立事業者に属します。NRS の立場を引用することは、NRS がそれらを実行するという証拠でも、BTW の承認でもありません。
- レジストリの相互運用性は、独立して発行された主張を組織境界を越えて理解可能かつ検証可能にするものでなければなりません。すべての割り当て、登録、審査、サービス決定を単一の企業、委員会、または管轄に移してはなりません。
- 最小限の共通セマンティックコントラクトは、リソース ID、保持者 ID、権限、ステータス、有効時間、イベントタイプ、出典、および証拠参照を定義しなければなりません。地域の機関は詳細を追加できますが、共通フィールドの意味を暗黙のうちに変更することはできません。
- すべての重要な主張には、発行者の ID、権限範囲、リソース範囲、バージョン、有効期間、証拠ダイジェスト、およびデジタル署名を含める必要があります。署名は原本性と整合性を証明しますが、発行者が管轄権を持っていたことや正しい決定を下したことを証明するわけではありません。
- コンフリクトルールは、無害な表現の違いと運用上の矛盾を区別しなければなりません。フォーマットの違いは共存でき、古い主張は期限切れとなり、係争中の主張は可視のステイが付与され、互換性のない現在の支配権主張は定義された審査経路を通じて収束しなければなりません。
- ディスカバリーと公開登録は、ユーザーを1つの承認された現在の回答に導くべきであり、その背後にある地域決定の連鎖を保持します。RDAP は有用な共通応答モデルを提供しますが、ポリシーの意味、出典、発行者の権限には追加の規律が必要です。
- 機関の複数性は、権限、鍵、サービス運用、審査、および責任が単一の障害ドメインに集中していない場合、復元力の特徴となります。メンバーが独立した機関が互いの行為をどのように認識するかを予測できない場合にのみ、断片化になります。
- 成功は、適合性、収束時間、原因不明のコンフリクト率、署名検証、出典の完全性、移植性、審査結果によって測定されるべきであり、グローバルな親組織に吸収された機関の数ではありません。
役割の境界は証拠の一部
NRS の自身の表明は、この分析の最初の境界を提供します。NRS は、分散化、退出、移植性、冗長性、および裁量的なボトルネックの削減を推進する会員制アドボカシー組織です。Lu Heng による NRS の存在理由に関するノートでは、NRS は製品を販売したり商用ソリューションを実装したりせず、その役割はガバナンスの方向性を変えることであると直接述べています。したがって、NRS は研究を発表し、キャンペーンを組織し、影響を受ける事業者を招集し、メンバーを支援し、権限を与えた組織を代表することができます。その代表権を他の誰かに対するレジストリ権限に変えることはできません。
実装層は別です。RIR、IANA 番号サービス、標準化団体、および認定された独立事業者は、権威あるレジストリ記録、割り当て、移管認識、RPKI または RDAP 運用、技術的フェイルオーバー、拘束力のある審査、破産行為、またはこの記事に関連する法的に義務付けられた救済に対して責任を負います。NRO は5つの RIR を調整しますが、NRS の別名ではありません。IANA 番号サービスは定義された調整役割を実行しますが、NRS の部門ではありません。裁判所および合法的な公的機関は、その法制度が実際に与える権限を保持します。
BTW の役割も別です。BTW は観察可能な構造を報告し、一次情報源を確認し、提案を提案としてラベル付けします。NRS のアドボカシーを事実に変換したり、NRS に代わってキャンペーンを行ったり、整合性から権限を推測したりしません。この現実(アドボカシーではない)の規律が、この記事の機関名詞が重要である理由です。NRS からの勧告、RIR による行為、裁判所の命令は3つの異なるものです。
目的は共有所有権ではなく共有事実
相互運用性は、事実を保存または表示する機関から分離することから始まります。特定の組織が、特定の時間に定義されたプレフィックスの承認された保持者であるという命題は、別の機関が理解できる形式で表現できます。相手方の機関は、最初の機関を所有したり、そのすべてのルールブックを受け入れたり、同じソフトウェアを運用する必要はありません。発行者を特定し、命題を解釈し、発行者が認識された範囲内で行動したことを検証し、後のイベントがそれを無効にしたかどうかを判断できなければなりません。
このアプローチはインターネット全体で馴染みがあります。ネットワークは単一のキャリアに統合されることなく経路を交換します。証明書利用者は、すべての発行者を単一の企業内に配置することなく、多くの発行者によるアサーションを検証します。RDAP クライアントは、共通の仕様が重要な構造と動作を定義しているため、異なる登録サービスからの応答を解釈します。これらの取り決めのいずれもガバナンスを排除していません。それぞれが、技術的認識が権限、ポリシー、障害処理によって制限されている場合にのみ機能します。
レジストリ運営者にとって、共有所有権は解決するよりも多くの問題を生み出します。単一の雇用者がスタッフ、署名鍵、サービス可用性、アクセスポリシー、および紛争の公的説明を管理する可能性があります。1つの企業の破産、経営陣の掌握、裁判所命令、または運用上のミスがすべての参加者に影響を与える可能性があります。地域のメンバーは、唯一の選択肢がグローバル機関自体を置き換えることである場合、実質的な救済手段をほとんど持たないでしょう。
共有事実は別の解決を可能にします。機関は法的および財務的に独立したままです。それぞれが自らのメンバーおよび適用される法律に責任を負います。共通のクレームは、チェックされるのに十分なコンテキストを伴って境界を越えて移動します。共通層は意図的に狭く、リソースの一意性、継続性、証拠、発見可能性を保護します。ローカルサービスバンドル、言語、スタッフ、選挙、通常の料金などの問題は、影響を受けるメンバーに最も近い機関に残ります。
相互運用性には3つの別個の層がある
第一の層はセマンティック相互運用性です。参加者は重要な用語に同じ意味を付与します。リソース範囲はどこでも同じアドレスを識別しなければなりません。「現在の保持者」は、ある機関では法的登録者を意味し、別の機関では請求先連絡先を意味することはできません。「移管完了」は、あるサイトでは承認、別のサイトでは単に要求と解釈されることはできません。意味がずれると、同一に見える記録が不一致を隠します。
第二の層は証拠的相互運用性です。参加者は、クレームの出所と変更の有無を評価できます。発行者 ID、権限範囲、時間、バージョン、署名、および証拠参照により、受信者は原本性と順序を検証できます。この層は、非公開の証拠への無制限のアクセスを必要としません。保護された証拠が存在すること、それがどの命題を支持するか、適切な権限の下でどの審査者がそれを検査できるかについての信頼できる記述が必要です。
第三の層は制度的相互運用性です。参加者は、別の機関の決定をいつ認識すべきか、どのように異議を唱えるか、不一致の際に何が起こるかを知っています。認定された機関からの技術的に有効な署名であっても、その機関の割り当てられたリソース範囲を超えている可能性があります。有効な現地裁判所命令は、一方の当事者を拘束するかもしれませんが、グローバルに調整されたリソースを自動的に再割り当てすることはありません。認識ルールは、技術的証明を正当な権限に結び付けます。
これらの層は統合されるべきではありません。共通のファイル形式で管轄権を解決することはできません。デジタル署名で虚偽の主張が真になることはありません。政治的合意で曖昧なリソース境界を補うことはできません。システムは、各層が自身の質問に答え、他の層が機能するのに十分な証拠を公開するときに信頼できるものになります。したがって、相互運用性は複合的な制度能力であり、データエクスポート機能ではありません。
共通のセマンティックコントラクトは小さく正確でなければならない
連合は、一意性、説明責任、継続性を保持するために必要な概念のみを標準化すべきです。コアは、正規のリソース識別子で始まります。アドレスファミリ、開始アドレスと終了アドレスまたはプレフィックス、および該当する場合は自律システム番号です。同等のテキスト表現は同じリソースに解決されなければなりません。コントラクトは、不正な範囲、曖昧な境界、および親子権限として明示的に関連付けられていない重複するクレームを拒否すべきです。
保持者 ID は、表示名とは別の安定した参照を必要とします。法的な名前は変更され、組織は合併し、翻字は異なり、連絡先は変わります。共有クレームは、永続的な保持者参照、現在の公開名、ID タイプ、決定機関、有効日を保持すべきです。保護された ID の証拠は、承認された保管者のもとに残ることができます。名前の変更は、誤って2番目の保持者を作成するのではなく、歴史的なイベントになります。
権限は明示的でなければなりません。同じ組織が、保持者、登録サービスプロバイダ、委任管理者、または証拠保管者になることができます。各役割は異なる行為を許可します。クレームは、発行者がリソースを割り当てたのか、保持者を認識したのか、サービス任命を記録したのか、連絡先を公開したのか、移管を受け入れたのか、一時的な制限を課したのかを述べるべきです。「所有者」のような一般的なラベルはこれらの区別を曖昧にし、互換性のない解釈を招きます。
ステータス、時間、履歴が最小限を完成させます。すべての現在のクレームは、有効時間、先行者参照、「提案済み」「アクティブ」「ステイ」「無効」「失効」などの明確なステータスを必要とします。イベントクレームは、状態がなぜ変わったかを説明します。ローカル拡張はサービスやポリシーの詳細を追加できますが、共通の用語を再定義してはなりません。拡張を理解しない受信者でも、コアクレームを理解し、どの情報を解釈していないかを知るべきです。
正規表現は説明責任の管理
2つの機関が意味に同意しても、フィールドの順序、空白、アドレス圧縮、文字正規化によって異なるバイトシーケンスを生成することがあります。これは、署名と証拠ダイジェストが独立した実装間で検証可能であることが期待される場合に重要です。署名された表現は、したがって、決定的な形式を持たなければなりません。同等のクレームは同じダイジェストを生成すべきであり、意味のある変更は異なるダイジェストを生成すべきです。
正規化は編集上の整理ではありません。発行者が人間が読めるバージョンを提示しながら別のバージョンに署名することを防ぎます。また、無害なシリアル化の選択が誤ったコンフリクトを生み出すのを防ぎます。RFC 8785は、決定論的な JSON 表現が繰り返し可能なハッシュ化と署名をどのようにサポートできるかを示しています。レジストリサービス運営者のプロファイルは、正規の IP 範囲、名前の Unicode 処理、時間の精度、繰り返し値の順序など、番号リソースに固有のルールを依然として必要とします。
人間が読めるレンダリングは、署名されたクレームにリンクされたままでなければなりません。公開ページは読者のために役割ラベルを翻訳したり日付をフォーマットしたりできますが、クレームダイジェストと基礎となる命題を特定する発行者情報を提供すべきです。翻訳によってイベントが保留中か完了かを変えることはできません。短縮されたカードは、保持者が完全に現在であることを示しながらステイを省略することはできません。
正規表現は、審査中の証拠交換も支援します。2つの当事者は、スクリーンショットを電子メールで送信したりページ更新について議論したりすることなく、争っている正確なクレームを特定できます。審査者は、ダイジェストが署名されたか、いつ受け入れられたか、どの後のダイゲストがそれを無効にしたかを尋ねることができます。一般の人々はエンコーディングを理解する必要はなく、静かに書き換えられない記録の恩恵を受けることができます。
署名されたクレームには権限エンベロープが必要
署名は、どの鍵がこれらのバイトに署名したか、およびそれらのバイトが変更されたかという2つの貴重な質問に答えます。署名者がリソースに対して行動する権限があったかどうかには答えません。したがって、すべての署名されたクレームは権限エンベロープを必要とします。エンベロープは、発行機関、署名役割、認識された権限付与、リソース範囲、クレームタイプ、有効期間、および鍵ステータスを識別します。
地域機関が、受け入れられたサービス範囲外のプレフィックスに対する保持者認識イベントに署名したとします。署名は完全に有効でありながら、イベントは許可されていないままです。受信者は暗号と管轄権の両方をチェックしなければなりません。同様に、登録サービスプロバイダは保持者を認証した証拠に署名できますが、承認されたプロバイダ参照を変更するイベントに署名できるのは、認識された調整機関だけです。
エンベロープは、クレームをバージョンと先行者にバインドすべきです。これにより、スタンドアロンのステートメントのコレクションではなく、順序付けられた履歴が作成されます。2人の発行者が同じ現在のクレームの後継者に署名した場合、受信者は即座にフォークを検出します。遅延メッセージが古い先行者を参照する場合、新しい状態を上書きするのではなく、古いものとして扱われます。
署名は耐久性のある検証も必要とします。決定時に使用された公開鍵と権限付与は、ローテーション後や機関閉鎖後も発見可能でなければなりません。失効は、鍵が将来の使用に対して信頼されていないのか、過去の期間に侵害されたのか、単に引退したのかを識別すべきです。そうしなければ、日常的な鍵変更によって有効な履歴が検証不可能になり、実際の侵害によって偽造された履歴が正当に見える可能性があります。
出典は観測、アサーション、決定を区別しなければならない
番号リソース記録は、異なる種類の知識を組み合わせます。ネットワークオブザーバーは経路広告を見るかもしれません。保持者は企業支配を主張するかもしれません。レジストラは連絡先認証を確認するかもしれません。レジストリは移管がポリシーを満たすと決定するかもしれません。裁判所は命令を発行するかもしれません。これらすべてを互換性のある「データ」として扱うことは、説明責任を弱めます。
各クレームはその認識論的役割を識別すべきです。観測は、情報源が特定の時間と場所で何を測定したかを述べます。アサーションは、当事者が真実として表現するものを述べます。検証は、指定されたチェックが完了したことを述べます。決定は、権限のある機関が認識された状態を変更したことを述べます。証拠リンクは、どの観測とアサーションが検証または決定を支持したかを示しますが、証拠自体が権限を行使したふりをしません。
この区別はルーティングにおいて特に重要です。経路収集者は、自律システムがプレフィックスを発信しているのを観測するかもしれません。それは関連する運用上の証拠ですが、それ自体では合法的な保持者 ID や割り当てを証明しません。逆に、登録記録は認識された保持者を示すかもしれませんが、リソースが現在ルーティングされていない場合があります。相互運用性は、すべての信号を1つの所有権フィールドに強制するのではなく、違いを公開すべきです。
出典は、噂や古い複製も制約します。受信者は、連絡先値が現在の発行者から直接来たのか、許可されたミラーから来たのか、過去のエクスポートから来たのか、サードパーティの観測から来たのかを知るべきです。ミラーは可用性を提供できますが、発行者、署名、バージョンを保持すべきです。再公開者は、自分が決定しなかったクレームの目に見えない作成者になってはなりません。
RDAP は公開回答の基盤であり、完全な解決ではない
RDAP はすでに、登録情報を照会し、IP ネットワーク、自律システム番号、関連エンティティに対して構造化応答を返す標準化された方法を提供しています。RFC 9083は、共通の応答構造、リンク、イベント、ステータス値、通知、拡張シグナリングを定義しています。これは、クライアントがすべての登録サービスに固有のパーサーを必要としないため、相互運用性の重要な資産です。
しかし、応答互換性だけでは機関間の権限を解決しません。2つの RDAP サービスは、それぞれ整形式ではあるが矛盾する現在の保持者を返すことができます。応答はローカルポリシーの下でオプション情報を省略できます。拡張は、別のクライアントが無視する有用な詳細を運ぶことができます。ブートストラップディスカバリーはサービスを見つけることができますが、ディスカバリーは係争中の委任がどのように解決されたかを説明しません。
レジストリ運営者のアプローチは、RDAP を公開クエリ表面として保持しつつ、重要なクレームに検証可能な発行者と出典情報を追加するべきです。応答は、受け入れられた状態バージョン、発行機関、署名参照、および関連するコンフリクトステータスを識別すべきです。歴史的イベントは、認識された変更の順序を示すべきです。ミラーは、自身を元の意思決定者として提示するのではなく、別の発行者の署名された状態を提供していることを明らかにすべきです。
公開応答はまた、正直な制限を必要とします。プライバシー編集、法的制限、審査保留中、不完全な観測は異なる条件です。それぞれに異なる通知が必要です。「データなし」は、読者に情報が存在しないのか、差し控えられているのか、一時的に利用不可能なのか、別の権限に属するのかを推測させるべきではありません。不在に理由が記載されている場合、説明責任は向上します。
ディスカバリーは企業のゲートキーパーを作らずに収束しなければならない
ユーザーは、リソースに対して責任を持つサービスを見つけるための信頼できる方法を必要としています。RFC 9224は、権威あるサービスを見つけるための RDAP ブートストラップレジストリを説明しています。連合レジストリシステムはこの原則に基づいて構築できます。狭いディスカバリーマップは、リソース範囲を認識されたサービスエンドポイントと権限記録にマッピングします。
マップは、単一の企業によって制御される裁量的なマーケットプレイスになるべきではありません。エントリは、署名された委任イベントから派生し、公開された適格性ルールに従い、独立した異議申し立て経路を持つべきです。複数のニュートラルミラーが同じ受け入れられたマップを提供できます。すべてのミラーはバージョンと署名セットを公開し、ユーザーが遅延や改ざんを検出できるようにすべきです。
ディスカバリーは、複数の現在の真実を生み出すことなく、複数のエンドポイントをリストできます。権威あるサービス、読み取り専用ミラー、言語固有のプレゼンテーションサービスは、すべて同じリソースに対して回答できます。それらの役割は可視でなければなりません。クライアントは近くのミラーを好みながら、その状態が受け入れられた発行者バージョンと一致することを検証できます。
ディスカバリーの変更は、通常のプロファイル編集よりも強力な保護を必要とします。誤った方向転換は正しい記録を隠す可能性があるためです。委任更新は、以前のバージョンを参照し、認識された権限セットからの署名を必要とし、鍵が侵害された場合の緊急停止を許可すべきです。歴史的マップはレビューのために利用可能なままにすべきです。署名されていない設定変更や文書化されていない商用決定によって、事業者が地域全体をリダイレクトできるべきではありません。
紛争解決は分類から始まる
すべての違いが紛争ではありません。あるサービスは保持者の完全な法的名称を表示するかもしれませんが、別のサービスは承認された略語を使用するかもしれません。一方は現地言語の住所を表示し、他方は翻字を表示するかもしれません。タイムスタンプは異なる表示ゾーンを使用しながら同じ瞬間を参照するかもしれません。これらは、基礎となる ID、リソース、イベント参照が一致する場合、表現上の違いです。
陳腐化は第二のクラスです。ミラーが後のクレームを受け取っていないか検証していないため、無効になったバージョンをまだ表示している可能性があります。陳腐化は可視で時間制限があるべきです。クライアントはバージョン参照を比較し、遅延したミラーが低リスクの読み取りに許容できるかどうかを判断できます。救済策は同期とサービス説明責任であり、メリット審問ではありません。
ポリシーの違いは第三のクラスです。プライバシー法や開示ルールが異なるため、2つの機関が異なる量の連絡先情報を公開する場合があります。共通記録は、保持者参照、リソース、権限、ステータスについて依然として一致すべきです。公開詳細の違いは、通知で説明され、必要な場合に承認された要求経路が存在する場合、共存できます。
運用上の矛盾は深刻なクラスです。同じリソースに対する2つのアクティブな保持者クレーム、2つの現在のプロバイダ任命、互換性のない移管イベント、委任なしの重複割り当て、または現在として提示された無効状態。これらは同等の選択肢として残すことはできません。封じ込め、可視の紛争ステータス、保存された証拠、収束決定が必要です。分類により、機関は無害な違いをエスカレートさせながら、一意性を脅かす矛盾を無視することを防ぎます。
紛争処理は1つの承認された現在の状態を保持しなければならない
運用上の矛盾が現れた場合、最初の義務はそれ以上の発散を止めることです。最も最近の異議のない状態は、権限のある緊急ステイが別段の指示をしない限り、承認された参照として残ります。新しい高影響の変更は、影響を受けるリソースに対して保留され、無関係のリソースと通常の読み取りサービスは継続されます。両方の矛盾するクレームは保存され、どちらも静かに削除されません。
第二の義務は、争われている命題を特定することです。発行者がリソース範囲外でしたか?2つの有効な指示が同じ先行者を参照しましたか?署名鍵が侵害されましたか?裁判所のステイは有効イベントの前か後に到着しましたか?不一致は保持者 ID、サービス任命、または公開開示に関するものですか?狭い質問は狭い救済策を生み出します。
第三の義務は、理由のある収束です。指定された一次審査者は、権限付与、署名、イベント順序、保護された証拠を審査します。その決定は、承認された後継者、拒否または無効にされたクレーム、および修正イベントを特定します。上訴は、行為が異議を唱えられた発行者から独立した機関に行きます。緊急保護は完全な審査に先行できますが、確認されない限り期限切れになります。
履歴は紛争が発生したことを示すべきです。敗訴したクレームを消すように記録を書き換えると、証拠が破壊され、誰が公開を管理しているかが報われます。公開された現在の回答はシンプルなままにできますが、イベント履歴はフォーク、ステイ、解決を記録します。補償またはサービス改善が義務付けられている場合、それは説明責任のあるエラーから生じますが、損害賠償が2番目の現在の状態を作る権限に変わることはありません。
裁判所には認識ルールが必要であり、自動的なグローバルリーチではない
独立した機関は、異なる裁判所から命令を受け取ります。一部の命令は、管轄区域内の保持者、プロバイダ、またはレジストリを拘束します。他の命令はより広い効果を主張するかもしれません。連合は、提出されたすべての文書をグローバルに決定的なものとして扱うことはできません。また、参加者に影響を与える合法的な命令を無視することもできません。
共通コントラクトは、裁判所の措置を、発行管轄権、当事者、リソース範囲、有効時間、期間、および運用効果を含む署名された法的イベント参照として表現すべきです。公開記録は、保護された提出書類を公開せずに、ステイまたは制限が存在することを述べることができます。命令を受け取った機関は、自国の法律に基づく即時義務を評価し、命令が共有状態に影響を与える場合、認識された国境を越えた審査機関に通知します。
認識は、次に構造化された質問をします。裁判所は拘束された当事者に対する管轄権を持っていましたか?命令は最終的ですかそれとも暫定的ですか?それは当事者の行動を指示しますか、証拠を保存しますか、それともリソースステータスを変更しようとしますか?認識は重複する現在のクレームを生み出しますか?別の場所に矛盾する命令がありますか?これらの質問は法的な不確実性を排除しませんが、ある管轄区域の書記官の入力が説明のないグローバルな状態変化になるのを防ぎます。
差し迫った害がありそうな場合、狭い一時的なステイが移管またはプロバイダ変更を凍結できますが、通常のルーティングと公開登録は続行します。ステイは、理由のある審査によって更新されない限り、公開された日付で失効します。この扱いは裁判所を尊重しますが、どの単一の機関や管轄区域にもすべての参加者に対する目に見えない拒否権を与えません。
プライバシーと公開説明責任は共存できる
相互運用性は、機関にすべての基礎ファイルを共通リポジトリにコピーするよう誘惑するかもしれません。それは不必要で危険です。身分証明書、非公開の連絡先、契約、支払い記録、保護された証言は、結果として得られる保持者クレームが検証可能でなければならないという理由だけでグローバル配信を必要としません。
共有クレームは、一意性と説明責任に必要な最小限の公開事実を公開すべきです。リソース、認識された保持者参照と公開名、権限、ステータス、関連イベント、発行者、バージョン、証拠クラス。機密資料は、定義された保持、アクセス、審査ルールの下で資格のある保管者に残ります。そのダイジェストは、資料を公開せずに決定に結び付けることができます。
選択的開示は検証不可能な裁量になってはなりません。公開通知は、プライバシー編集と不在を区別すべきです。権限のある審査者は、ソース資料を検査するための合法的な経路を必要とします。アクセスは記録され、目的が制限され、異議申し立ての対象となるべきです。元の保管者が閉鎖した場合、機密性と後の審査の両方を保持する方法で保管を移管しなければなりません。
この分離は、侵害の影響も制限します。共通の公開サービスは、境界のあるデータを運ぶため、広くミラーリングできます。保護された証拠は、単一のグローバル顧客ファイルに蓄積されるのではなく、説明責任のある機関に分散されたままになります。したがって、相互運用性はデータ最小化と両立します。参加者は共通の行動に必要なクレームを共有し、機関がそれに到達するのに役立ったすべての文書ではありません。
鍵ガバナンスは制度ガバナンスである
署名鍵は単なる技術的認証情報ではありません。鍵は、保持者認識、割り当て、移管、サービス任命、緊急ステイを承認する可能性があります。それを使用できる者は、見知らぬ人が信頼する可能性のあるクレームを作成できます。したがって、鍵の管理は、財務権限や公印に適用されるのと同じ権力分立に値します。
高い影響の鍵は、複数の承認された参加者、保護されたデバイス、役割分離、立会い式を必要とすべきです。日常的なサービス鍵は、より狭い権限とより短い有効期間を持つことができます。権限エンベロープは、これらの区別を機械検証可能にし、低リスクの公開鍵が割り当てイベントに署名できないようにします。
ローテーションには継続性が必要です。新しい鍵は、既存の信頼された権限または承認されたリカバリカオラムの下で署名されたイベントを通じて導入されます。古い鍵は引退時刻を受け取ります。歴史的なクレームは検証可能なままです。緊急侵害は、疑わしいウィンドウ中に署名されたクレームが自動的に消えることなく追加の精査を受ける境界のあるレビュー期間を作成します。
どの機関もすべての信頼のルートを制御すべきではありません。連合は、共通の信頼リストへの変更に対して、複数の独立した権限にわたる閾値承認を使用できます。公開ログと遅延アクティベーションにより、メンバーは不正な追加や削除を検出する時間を得ます。リカバリは、1つの機関が利用できなくても機能するべきですが、1人の幹部が単独で行動する場合には機能しません。これらの措置は、暗号層における機関の複数性の実践的な意味を保持します。
共通ルールには複数の変更管理が必要
セマンティックコントラクトは進化します。新しいリソースサービス、プライバシー要件、署名方法、証拠タイプが登場します。単一の企業が一方的に共通の意味を再定義できる場合、技術的相互運用性は政治的管理への静かな経路になります。したがって、変更権限は分散されなければなりません。
レジストリ運営者は、安定したコアと明確な拡張パスを公開すべきです。保持者、リソース、権限、現在のステータス、イベント順序の意味を変更するコア変更は、地域機関と影響を受けるメンバークラスにわたる広範な承認を必要とすべきです。追加的な拡張は、既存のクレームを再解釈できない場合に、より迅速に進めることができます。すべての変更には、発効日、互換性ステートメント、移行期間が必要です。
独立した実装は重要な保護手段です。1つのベンダーしか解釈できない標準は、オープンな言語をまとった独占的管理です。少なくとも2つの独立して開発された実装が、同じクレームを生成および検証できることを実証すべきです。テスト資料には、有効なケース、不正なケース、古いバージョン、重複リソース、鍵変更、紛争を含めるべきです。
メンバーは、責任を移したり権利を弱めたりする変更に異議を申し立てる資格を持つべきです。技術委員会はエンコーディングを指定できますが、制度的承認なしに誰がリソースを移管できるかを再定義すべきではありません。逆に、政治機関は一貫して実装できない曖昧なフィールドを義務付けるべきではありません。共同変更管理により、意味、証拠、権限が整合します。
地域のバリエーションは禁止ではなく明示的であるべき
相互運用性は同一の機関を必要としません。ある地域はリソース保持によって会員を組織するかもしれません。別の地域は公共の利益の議席を含めるかもしれません。ある地域は多言語サポートや強化された検証を提供するかもしれません。別の地域は他の場所には存在しない特定の法的形態を認識するかもしれません。これらの違いは、可視で境界がある場合、正当性を支援できます。
共通層は、ローカルの追加を効果で分類すべきです。プレゼンテーション拡張は言語やレイアウトを変更します。サービス拡張はオプションのオファリングを追加します。証拠拡張は認識された証明タイプを追加します。ポリシー拡張は機関の権限内でローカル条件を課します。いずれもリソースのグローバルに重要なアイデンティティを変更したり、矛盾する現在の保持者を作成したりしてはなりません。
受信者は、理解できない拡張に遭遇したときに知るべきです。未知のプレゼンテーションヒントを無視することは安全かもしれません。未知の移管制限を無視することは安全でないかもしれません。拡張宣言は、理解がオプションか、特定の行為に必要か、名前付きの管轄区域でのみ必要かを指定すべきです。
このアプローチは2つの極端を回避します。強制された均一性は、正当な地域の選択を消去し、変更を非常に遅くする可能性があります。無制限のカスタマイズは、すべての交換を特注の交渉に変える可能性があります。小さな共通コア、型付き拡張、可視の結果により、機関は収束を必要とする事実について互いに驚かせることなく革新できます。
機関の複数性は、退出が可能な場合にのみ復元力を向上させる
複数の機関が自動的に健全な連合を作るわけではありません。それらはカルテルとして運営されるか、1つのベンダーを共有するか、1つの鍵サービスに依存するか、それらの間の移動を不可能にするかもしれません。名目上の複数性は、共通の障害ドメインを隠します。
相互運用性は、プロバイダおよび機関の退出を実用的にするべきです。保持者の署名された履歴、アイデンティティ参照、リソースクレーム、公開イベントは、共通の形式で移植可能でなければなりません。受け入れ機関は、退出機関がカスタムの説明を作成するよう要求することなく、それらを検証できるべきです。保護された証拠は、法的管理の下で資格のある保管者に移管でき、公開クレームは安定したままです。
サービスの移植性は、品質も規律します。機関が公開を遅らせたり、連絡先を誤って扱ったり、不透明な料金を請求したりする場合、メンバーは認識された履歴を放棄せずにサービスを移動できます。退出は、同じ係争中の事実に対してより有利な回答を求めることを意味しません。承認された保持者と制限は、有効なイベントを通じて変更されるまでリソースと共に移動します。
連合は、相関する依存関係を開示すべきです。共通のクラウドリージョン、共有署名サービス、共通の請負業者、単一のディスカバリーオペレーター。組織図にのみ存在する多様性は、共有障害を乗り切ることはできません。定期的な機関間訓練により、1つの参加者が別の参加者が利用できなくなった場合に、承認されたクレームを提供し審査を継続できることを検証できます。
市場競争は真実ではなくサービスの周りにあるべき
競争は、検証、サポート、言語アクセス、監視、紛争支援を改善できます。機関が互換性のない保持者を認識したり制限を見落としたりすることで競争する場合、破壊的になります。リソース保持者は、どのバージョンの現実が公開されるかを選択せずにサービスを選択できるべきです。
したがって、共通コントラクトは交渉不可能な事実を定義し、その周りにサービスの差別化を残します。プロバイダは、より速い通常の更新、より強力な認証、より良い報告、またはより低い価格を提供できます。認識された権限の外で現在の保持者クレームを販売することはできません。機関は高リスクの行為に対してより厳格な証拠を採用できますが、それが国境を越えた認識と上訴にどのように影響するかを説明しなければなりません。
この境界は、規制当局や裁判所にも役立ちます。責任は、クレームを認証、決定、公開、または更新しなかった機関に課せられます。単一のグローバル企業は責任を集中させますが、エラーを争いにくくする可能性もあります。共通の事実のない緩い市場は、すべての参加者が互いに責め合うことを可能にします。署名された役割とイベント履歴は、誰が何をしたかを示します。
経済的インセンティブは、正確な収束を報奨すべきです。料金は、検証、ミラー、審査、継続訓練をサポートできます。ペナルティは、説明のない古いサービス、権限のないクレーム、または期限切れの紛争に対処できます。どの参加者も、曖昧さを長引かせたり移植可能な記録を差し控えたりすることによって多くを得るべきではありません。相互運用性は、商業モデルが技術設計と同じ真実の規律をサポートする場合に信頼できるものになります。
国境を越えた移管は境界を示す
ある国で設立され、別の国のレジストラにサービスを受け、複数の地域にまたがってネットワークを運用するリソース保持者を考えます。それは合併を経験し、法的名称と登録サービスプロバイダの両方を変更しようとしています。企業イベントは保持者が認識されている場所で審査されます。プロバイダ変更はサービスの移植性ルールの下で審査されます。どちらのイベントも他方の中に隠されていません。
決定機関は、安定した保持者参照を保持しながら新旧の名称を結び付ける保持者継続クレームに署名します。プロバイダコーディネーターは、同じリソースバージョンに対するサービス変更イベントに署名します。両方のイベントは、保護された証拠ダイジェストと有効時間を引用します。複数の地域の RDAP プレゼンテーションサービスは、以前のイベントを保持しながら新しい名前とプロバイダを表示できます。
債権者が合併決定後、プロバイダ変更前に暫定裁判所命令を取得したとします。命令は、定義された範囲を持つ法的イベントとして表現されます。リソースの処分を差し止めるが、同じ保持者によるサービス切り替えは差し止めない場合、プロバイダ変更は進行できます。その意味が争われる場合、狭いステイはその行為のみを一時停止し、現在の登録とルーティングは可視のままです。
保持者、レジストラ、証拠を所有するグローバル企業は必要ありません。相互運用性は、各機関の役割が明示的であり、クレームが意味を共有し、署名が決定を発行者に結び付け、紛争ルールが1つの承認された状態を保持するため機能します。この例は、単なる共通データダンプでは不十分である理由も示しています。決定的な情報は、権限、順序、法的効果です。
障害ケースは設計を形作るべき
最初の障害はセマンティックドリフトです。参加者が「保持者」をリセラーや管理連絡先に使い始めます。その記録は技術的に検証されますが、受信者は名前付きの当事者が持っていない権限を推測します。適合性テストと公開定義は、用語が現在のクレームに入る前にこれをキャッチしなければなりません。
第二の障害は、有効に署名された権限超過です。認識された発行者がリソースまたは役割範囲外のイベントに署名します。権限エンベロープ検証は自動的に拒否し、両方の機関に警告すべきです。署名は、誰がその行為を試みたかの証拠として残ります。
第三の障害は、未解決のフォークです。2つの後継者が同じ先行者を参照します。おそらく遅延や妥協のためです。影響を受けるリソースは可視の保留に入り、後の変更は一時停止し、独立した審査が承認された後継者を選択します。公開サービスは、権限を審査せずに最初に到着したクレームを選択してはなりません。
第四の障害は、静かな陳腐化です。ミラーが移管後に古いバージョンを現在として提供します。バージョン経過時間、署名されたチェックポイント、監視が遅れを明らかにします。ミラーは警告とともに利用可能にできますが、重要な決定を下すクライアントは別の認識されたエンドポイントに照会すべきです。
第五の障害は、信頼の集中です。複数の機関が1つのベンダー、1つのルートキー、または1つのディスカバリーオペレーターに依存しています。障害や掌握はすべてに影響します。依存関係の開示、独立した実装、閾値信頼変更、テストされた代替サービスがそのリスクを軽減します。これらの障害から設計することで、協力的な機関の理想的な図から始めるよりも強力な相互運用性が生まれます。
適合性は意味と逆境条件をテストしなければならない
参加者は、ハッピーパスの記録を交換できるという理由だけで相互運用可能と宣言されるべきではありません。認定は、正規のリソース表現、保持者参照、役割範囲、署名、先行者リンク、鍵ローテーション、プライバシー通知、拡張、公開レンダリングをテストしなければなりません。独立した実装は、同じ署名されたクレームから同じ解釈に到達すべきです。
逆境テストはより重要です。リソースが既存の割り当てと重複する場合、イベントが順序通りに到着しない場合、鍵が失効する場合、ミラーが古い場合、裁判所のステイが移管と競合する場合、または2つの機関が権限を主張する場合、何が起こりますか?準拠する参加者は、それぞれのケースを予測可能に拒否、保留、またはエスカレーションすべきです。新しい現在の状態を発明すべきではありません。
テストには、多言語名と法的形式を含めるべきですが、ID 文字列を自由に翻訳可能として扱ってはなりません。また、IPv4 および IPv6 正規化、自律システム範囲、履歴記録、委任権限をテストすべきです。公開 RDAP 応答は、正しいステータス、イベント、通知、リンク、バージョン参照をチェックする必要があります。
結果は、保護された顧客データを公開せずに機関を規律するのに十分公開されるべきです。証明書には有効期限と対象能力があります。重大な障害は是正措置と再テストを引き起こします。メンバーは、制度的約束に頼るのではなく、実際の相互運用性を比較できます。認定は、テストされた行動の証拠であり、責任や審査からの免疫ではありません。
指標は複数性が機能しているかどうかを明らかにすべき
第一の指標はクレームの有効性です。検証可能な署名、現在の権限付与、完全な出典、途切れのない先行者リンクを持つ重要なクレームの割合。高い公開数は、受信者が誰が何を決定したかを確認できない場合、ほとんど意味がありません。
第二は収束パフォーマンスです。機関は、矛盾する現在のクレームがどのくらいの頻度で発生するか、どのくらい迅速に封じ込められるか、審査にかかる時間、無関係のリソースが正常に続行されるかを報告すべきです。中央値だけでは不十分です。最も古い未解決のケースは、一時的な保留が恒久的な拘束になるかどうかを明らかにします。
第三は公開の一貫性です。認識されたエンドポイントへの独立したクエリは、同じ承認されたバージョンに対して同じコア保持者、リソース、権限、ステータスを返すべきです。言語や許可された詳細の違いは分類されるべきです。説明のない違いは測定され、修正されるべきです。
第四は移植性と復元力です。訓練では、保持者がサービスを移動できるか、発行者の停止中にミラーが継続できるか、鍵ローテーション後に歴史的な署名が検証可能なままかを示すべきです。依存関係の集中は開示されるべきです。1つのメンバーの障害を生き残れない連合は、名ばかりの複数性です。
第五は正当性です。メンバーは、争われている決定を下した機関を確認し、その機関から独立した審査経路を使用し、理由のある結果を得るべきです。上訴の覆り、繰り返される発行者のエラー、期限切れの審査は、ガバナンス改革に情報を提供すべきです。これらの措置は、相互運用性を単なる技術的成功として扱うのではなく、公開説明責任に結び付けます。
独立した証人は制御を奪わずに収束を強化できる
連合は、受け入れられたイベントを観測し、署名されたチェックポイントを保持する証人の恩恵を受けます。証人はリソースを割り当てたり、保持者を認識したり、移管を決定したりしません。特定のクレームが存在し、指定された署名を持ち、受け入れられたシーケンス内の指定された場所を占めていたことを確認します。複数の独立した証人は、静かな修正や選択的な履歴をはるかに困難にします。
証人の多様性は重要です。すべての機関が同じ共通企業によって運営される証人に依存する場合、その取り決めは異なる名前で中央管理を再現します。大学、公益団体、資格のある商業事業者、地域機関は、透明な適格性と保持ルールの下でチェックポイントを提供できます。通常のイベントには単一の証人は必要ありませんが、高い影響の信頼変更には複数の間の合意が必要です。
証人は分割中にも役立ちます。2つの地域が一時的に通信を失うが、最後に受け入れられた状態を提供し続ける場合があります。接続が回復すると、署名されたチェックポイントは、どちらかの側が互換性のない後継者を試みたかどうかを明らかにします。無害な遅延イベントは順序付けできます。真のフォークは紛争処理に入ります。証人記録は勝者を選ばず、順序と可視性について中立的な証拠を提供します。
公開の透明性は範囲内に留めるべきです。チェックポイントは、非公開の連絡先や保護された証拠を公開せずに、ダイジェスト、発行者参照、イベントクラス、時間を含むことができます。包含証明により、保持者はイベントが記録されたことを示すことができます。一貫性証明により、観察者は証人が異なる聴衆に異なる履歴を提示するかどうかを検出できます。この能力は、決定を行い審査する権限を説明責任のある機関に保持しながら、公共の信頼を強化します。
責任は失敗した役割に従うべき
相互運用性は誘惑的な防御を生み出す可能性があります。すべての参加者が別の機関を指さします。レジストラはレジストリに依存したと言い、レジストリは署名された検証を受け入れたと言い、ミラーは単に再公開したと言い、共通サービスはメッセージを運んだだけと言います。明確な役割の帰属は、連合全体で責任が溶解するのを防ぎます。
保持者を認証する機関は、必要なチェックを実行し証拠を保存する責任があります。移管を受け入れる権限は、リソース範囲、イベント順序、適用される制限に対して責任があります。公開サービスは、承認されたバージョンを正確に提供し、陳腐化を開示する責任があります。証人はチェックポイントの整合性に対して責任があります。審査者は、その権限と期限内の理由のある決定に対して責任があります。
責任は制御に対応すべきです。発行者の署名された虚偽のクレームを忠実に提供するミラーは、迅速に修正すべきですが、元の意思決定者として扱われるべきではありません。虚偽の検証を提供したレジストラは、コーディネーターが最終コミットを実行したからといって逃れることはできません。明白な範囲違反を無視したコーディネーターは、すべての責任を署名者に転嫁することはできません。
イベント履歴はこれらの区別を証明可能にします。各役割は自身の行為に署名し、すべての受け入れられた移行は依存した行為を参照します。メンバーは、失敗が証拠、決定、公開、審査のいずれから生じたかを特定できます。補償と是正は、継続措置が保持者を保護しながら、責任のある機関を対象とできます。分散された権限は、責任が抽象的な集合体にプールされないため、まさに説明責任があるのです。
最小限の認識コンパクトは政治的過剰リーチを防ぐことができる
独立した機関は、互いのどの行為を受け入れるかを述べた短い認識コンパクトを必要とします。コンパクトは、権限付与、保持者継続決定、プロバイダ任命、移管、ステイ、失効、紛争結果をカバーすべきです。認識は、有効な範囲、署名、証拠クラス、イベント順序、審査可用性を条件とします。
コンパクトはまた、認識が何を意味しないかを述べなければなりません。別の機関の保持者決定を受け入れることは、その機関を企業親会社にしたり、税務上の居住地を移したり、現地のプライバシー法を放棄したり、無関係の料金の採用を要求したりしません。一時的なステイを受け入れることは、発行体の最終的な管轄権を認めることにはなりません。別の発行者の署名された公開記録を提供することは、基礎となる顧客関係の所有権を移転することにはなりません。
これらの否定的な境界は正当性を保護します。それらがなければ、メンバーはすべての相互運用性のコミットメントが遠くの機関の権限を拡大することを恐れるかもしれません。機関は有用な共通ルールにも抵抗するかもしれません。狭いコンパクトは、地域機関が共有リソース状態を脅かさない事項に対して法的自治を保持しながら、重要な行為を認識できる自信を与えます。
コンパクトからの離脱にもルールが必要です。機関は既存のクレームの認識を突然停止し、現在の保持者に不確実性を生み出すことはできません。通知、継続、記録エクスポート、移行期間がメンバーを保護します。既存の受け入れられたイベントは歴史的事実のままです。機関が後の共通変更を拒否する場合、競合する歴史を捏造せずに新しい参加を制限できます。これにより、制度的同意は意味を持ちながら、退出が断片化になるのを防ぎます。
レジストリ運営者の解決は憲法上の範囲であるべき
レジストリ運営者は、世界の番号資源省を必要としません。いくつかの共有された必要性の周りの憲法上の解決が必要です。リソース ID は曖昧であってはなりません。現在の権限は収束しなければなりません。重要な行為は帰属可能でなければなりません。履歴は制度的変更を生き残らなければなりません。紛争は封じ込められ審査されなければなりません。公開ディスカバリーは1つの不透明なゲートキーパーに依存してはなりません。
そのコアを超えるすべては、中央集権化される前に正当化の負担に直面すべきです。サービス設計、会員代表、通常の価格設定、言語、地域の証拠慣行、政策は、共通の事実を汚染しない場合、多様であり続けることができます。この権力の配分により、連合は適応可能でありながら、どの単一の機関が引き起こす可能性のある損害を制限します。
法的および技術的手段は互いに強化すべきです。セマンティック定義は、署名されたクレームの意味を制約します。権限付与は誰が署名できるかを制約します。公開履歴は静かな修正を制約します。審査は発行者を制約します。移植性はサービスプロバイダを制約します。閾値信頼変更は共通層自体を制約します。
制度的合併は、階層が1つの回答を発行できるため、単純さの外観を提供します。しかし、階層は1つの掌握ポイント、1つのバランスシート、1つの管轄ボトルネックも作成します。相互運用性は、正確な意味、帰属可能なクレーム、互いに意見を異にし、審査し、生き残ることができる機関間の規律ある収束を通じて、異なる方法で一貫性を獲得します。
結論
決定的な設計選択は、中央データベース対切断されたレジストリではありません。共通の事実が、機関全体を運ぶことなく移動するのに十分強いかどうかです。安定したリソース識別子、永続的な保持者参照、明示的な役割、署名されたイベント、保存された出典、可視の紛争ステータスは、クレームを発信元を超えて理解可能にすることができます。
その意味の移植性により、レジストリ運営者はグローバルな調整と機関の複数性の両方を保持できます。ユーザーは1つの承認された現在の回答を発見できます。保持者はサービスを変更しながら履歴を保持できます。裁判所や審査者は正確に争われている命題を特定できます。地域機関は共通のコアを書き換えずに法的詳細を追加できます。1つの参加者が失敗した場合、他の参加者は検証可能なクレームを提供し続けることができます。
規律は近道を拒否することにあります。権限のない署名は正当性ではありません。紛争ルールのない共通応答形式は一貫性ではありません。退出と独立したインフラのない複数の機関は復元力ではありません。分散された審査のない単一のグローバル企業は中立的な調整ではありません。
したがって、レジストリの相互運用性は、独立した当事者が同じ本質的な事実を検証でき、各発行者の権限の境界を理解し、紛争後に証拠を消去せずに収束できるかどうかによって判断されるべきです。それができれば、制度的合併は不要です。共有される成果は、すべての記録の単一の所有者ではありません。それは、どの機関も他の機関が調べることができるクレーム、権限、証明を超えて信頼される必要のない公開秩序です。
NRS および BTW の役割に関する情報源
- Number Resource Society— NRS 自身の公開ポジショニング:グローバルな非営利会員制組織であり、RIR ガバナンスにおいてキャンペーン、事業支援、会員代表を行う。
- Lu Heng, “On Why NRS Exists — and Why Decentralization Is No Longer Optional”— NRS を製品ベンダーや商用実装機関ではなく、アドボカシーグループとして定義するソースドクトリン。
- Lu Heng, “On Why BTW.Media Exists — and Why Reality, Not Advocacy, Is the Product”— BTW が観察可能な構造と提案を、それらを推進せずに説明することを要求する編集上の境界。

