概要

  • 新たな番号サービスは、既存事業者がそれを好む、ライバルよりは嫌悪が少ない、あるいは政治的理由で容認する、といった理由だけで相互運用可能になるべきではない。一意性、セキュリティ、移行安全性、監査可能性、継続性、紛争表記に関する公開された再現可能な試験を通過して初めて、相互運用可能になるべきである。
  • 既存の認知の歴史には有用な原則が含まれている。レジストリには技術的能力、公平な取り扱い、文書化されたポリシー、運用基盤、信頼できる調整が求められる。弱点は、旧来の地域モデルが認知を単一の広大な領域と既存事業者の移行に結びつけ、IPv4 枯渇と現代的な RPKI、RDAP、逆引き DNS 依存がリスクを変化させた後では、移行可能なサービス競争の余地がほとんどなかったことである。
  • Number Resource Society(NRS)は、そのポジティブな主張を保証プログラムに転換できる。すなわち、すべてのエントリが認知された IANA または RIR の履歴に追跡可能であること、競合する主張は黙って受け入れるのではなく隔離されること、すべての保有者の移動には可逆的なリハーサルが伴うこと、すべての鍵とサービスエンドポイントに復旧ルールがあること、すべての監査が公開コミットメントと保護された証拠から状態を再構築できることを証明する。
  • 得られるものは、ネットワークを支配する許可ではない。より限定的で価値の高いものだ。依拠当事者は NRS の記録を高信頼性の証拠として扱うことができ、時間をかけて、IANA 向けの認知は庇護ではなく実績に基づく条件付きのものになり得る。

認知は試験台から始めるべき

将来の番号サービスが認知を求めるべき最初の場所は、会議室ではない。試験台である。オペレーターは、サンプルのプレフィックス、サンプルの自律システム番号、サンプルの保有者変更、サンプルの紛争を取り出し、それらをサービスに通して、結果が一意性を保持し、権限を説明し、鍵を保護し、公開発見を一貫性あるものに保ち、別の有能な当事者が検証できる監査証跡を残すかどうかを確かめるべきである。

その試験台の原則は重要である。なぜなら、インターネット番号の認知はロマンチックに語られやすいからだ。地域インターネットレジストリ(RIR)をめぐる公の言説は、しばしば歴史、コミュニティ、領域、企業形態、政策の伝統、技術サービスを一つの考えに混ぜ合わせる。新しいサービスは、その系譜から派生していないという理由で不当なものとして拒否されることもある。また、その系譜の失敗からの解放を約束するという理由で、あまりに早く受け入れられることもある。いずれの反応も、運用上の問いに答えていない。すなわち、人々がそれに依拠するとき、記録は安全で、一意で、移植可能で、再検証可能なままか、という問いだ。

Number Resource Society が有用なのはまさに、その問いを先鋭化するからである。その公開された憲章は、番号資源機関を簿記係として提示し、その正当性は正確な登録、自発的な依拠、限定的な権限に依存し、ネットワークを支配するという主張には依存しないとする。それは魅力的な出発点だが、憲章は保証ではない。門番行為に反対するサービスは、その自身の参入、鍵の保管、訂正、紛争ルールが不透明なら、門番になりうる。移植性を称揚するサービスは、既存のグローバルな履歴と整合しない魅力的な主張に署名すれば、番号体系を断片化しうる。

証明による認知は、友人関係による認知よりも高い基準を設定する。それは NRS に対し、依拠を要求する前に、保有者管理の資格情報と権威ある割り当て、移転受領書とルーティング許可、紛争注記と制裁、サービス移動と重複割り当てを区別できることを示すよう求める。また、IANA、ICANN、NRO、運用コミュニティに対し、非既存事業者のサービスが、自らが規律しうる機関から政治的庇護を得なくても相互運用できる条件を、測定可能な形で定義するよう求める。

このモデルは反レジストリではない。反神秘主義なのだ。現在のインターネット番号レジストリシステムは、RFC 7020に文書化されており、グローバルに一意な IP アドレス空間と AS 番号の配布を説明し、登録の正確性を強調している。IANA の現在の番号リソースページには、グローバルな IP アドレッシングシステムと AS 番号を調整し、グローバルポリシーに従って RIR にプールを割り当て、通常は ISP やエンドユーザーに直接割り当てを行わないことが記されている。これらは保存すべき事実であり、崇拝すべき神話ではない。証明に基づく NRS は、事実を保存しつつ、サービス依拠を議論の余地があるものにするだろう。

古い認知モデルが正しかった点

古い認知モデルは退けるべきではない。新しい地域インターネットレジストリを設立するための基準であるICP-2は、技術的能力、文書化されたポリシー手続き、提案地域での広範な支持、中立性と公平な取り扱いを求めていた。本番グレードのインターネット接続性、逆引き DNS サポート、適切な基盤、有能なスタッフも要求された。また、保全、集約、登録というグローバルな目標と整合したポリシーも求められた。

これらの要件は、いくつかの永続的な真実を体現している。番号サービスが私的なノートであってはならない。安定したサービスをオンラインで維持しなければならない。データを必要とする人々が到達可能でなければならない。同等の申請者を不平等に扱ってはならない。番号リソースの状態が変化する際のルールを文書化しなければならない。一つのリソースが一つの現在の権威ある状態を持つように、他のレジストリと調整しなければならない。下流のシステムが使用するため、逆引き DNS 委任と公開登録サービスをサポートしなければならない。

弱点は、ICP-2 が支持や地域を重視したことではない。初期の地域拡大期には、LIR からの広範な支持とサービス契約の移行は、地理的領域内でサービスが分裂するのを避ける実際的な方法だった。弱点は、モデルが大きな地域に一つのレジストリという前提で構築されていることだ。断片化は、一意性のグローバルルートと厳格な相互運用性試験によってではなく、領域的独占によって防がれると仮定している。その仮定こそが、今や検討の対象となっている問題なのだ。

IPv4 の枯渇が経済的な利害を変えた。リソース記録はもはや、将来の割り当てへの単なる管理上の経路ではない。それらは、購入者、貸し手、クラウドプラットフォーム、不正利用対策デスク、上流ネットワーク、裁判所、監査人、保険会社、顧客が使う証拠なのだ。RPKI は、割り当て権限と経路認可を結びつけることで、セキュリティ上の利害を変えた。RDAP は、構造化された登録データを機械可読とし、ブートストラップレジストリを通じて発見可能にすることで、発見の利害を変えた。逆引き DNS は、メール、不正利用処理、サービスオンボーディングにとって静かな依存物として残っている。新しいサービスは、この依存物の完全な積み重ねに対して判断されなければならない。

したがって、将来の認知試験は、ICP-2 の運用上の義務を保持しつつ、それを領域的特権から分離すべきである。サービスは、一つの大陸を支配しなくても中立性を証明できる。ある地域で唯一の事務所にならなくても、技術的能力を証明できる。コミュニティの依拠は、既存事業者の同意ではなく、採用、監査結果、苦情対応、移行の成功を通じて証明できる。グローバルポリシーの不変条件を、古いモデルの裁量的な習慣をすべて継承することなく、保存できる。

第一の証明は一意性

番号体系の第一の不変条件は一意性である。誰がブロックに値するか、契約が何を意味するか、売買を成立させるべきか、どの程度の詳細を公開すべきか、どのサービスプロバイダがより効率的か、といった多くの意見がありうる。同じアドレス範囲や同じ AS 番号に対して、相容れない保有者への二つの有効な現在の割り当てが存在してはならない。重複する現在の状態が常態化されたなら、インターネットの他の部分は、経路混乱、不正利用処理、調達失敗、訴訟という代償を払う。

NRS の認知は、重複する現在の状態を黙って受け入れられないことを証明することから始めなければならない。つまり、主張されるすべてのリソースは、IANA レジストリ、関連する RIR もしくはレガシー履歴、利用可能な既存の公開移転ログ、RDAP データ、RPKI 資料、および保有者が提供する保護された証拠と照合されなければならない。サービスは、紛争クラスをチェックしたことを証明するために、すべての文書を公開する必要はない。競合する主張が解決されたか、隔離されたか、紛争中とマークされたことを示すのに十分なコミットメント、理由、連署付きタイムスタンプを公開する必要はある。

一意性の証明は、プレフィックス境界でも機能しなければならない。/16は、移転、リース、委任、サブ割り当て、紛争中の断片を含みうる。ブロックを分割不可能なラベルとして扱う状態チェッカーは、重複を見逃すだろう。認知試験には、正確な範囲、カバー範囲、より詳細なレコード、返却空間、予約範囲、レガシー範囲、AS 番号範囲、IPv6 アグリゲートを含めるべきだ。敵対的なケースをシミュレートすべきだ:二つの当事者が隣接部分を主張する;ある当事者が、別の当事者がより詳細な運用記録を持った後にカバーブロックを主張する;歴史的保有者が、古い RPKI 資料が可視のままの間にブロックを返却する;企業承継者が新しい法人名で能力を主張する。

その証明は、秘密の裁判になってはならない。証拠の中には、契約、身分証明書、セキュリティ資格情報、裁判資料を含むため非公開のものもあるだろう。しかし、公開状態は、使用された証明のクラス、レビュー日、現在の状態、もしあれば紛争フラグ、保護証拠へのハッシュコミットメント、レビュー担当者の役割、異議申し立て経路を特定できる。暗号コミットメントは真実を証明しないが、後の記録が変更の痕跡を残さずに書き換えられるのを防ぐ。

したがって、証明による認知は、立証責任を逆転させる。NRS は「私たちは未来だから受け入れよ」とは言わないだろう。むしろ「重複する現在の状態に署名させようとしてみてください。より詳細な競合を見逃させようとしてみてください。検知されずに履歴を変更させようとしてみてください。紛争をクリーンな割り当てとして隠蔽させようとしてみてください」と言うだろう。独立した試験者がそれらの不変条件を破れないなら、依拠は技術的基盤を持ち始める。

セキュリティ証明は鍵、人間、復旧をカバーしなければならない

セキュリティは、安全なウェブサイトに矮小化できない。番号リソースサービスは、保有者認証、スタッフ権限、署名鍵、RPKI オブジェクト、リポジトリ公開、RDAP サービスエンドポイント、逆引き DNS 変更要求、移転承認、紛争ロック、バックアップの完全性、緊急復旧といった複数のセキュリティ層に触れる。サービスは、強力な暗号化と脆弱な権限レビューを持ちうる。ハードウェア鍵ストレージを持ちながら、一人の内部者が危険な状態変更を承認することを許しうる。

NRS は、暗号と制度の両方の管理をカバーするセキュリティ証明を定義すべきだ。暗号管理には、明確な鍵セレモニー、必要に応じたオンラインとオフラインの署名機能の分離、文書化された鍵のローテーション、失効、復旧、改ざん検知ログ、独立した証人のチェックポイント、安全なタイムスタンピング、リポジトリ完全性チェック、試験済みのバックアップからの復元を含めるべきだ。制度的管理には、職務分離、高リスク変更に対する二重管理、最小権限アクセス、スタッフの利益相反開示、保護された監査記録、インシデント開示区分、外部侵入試験を含めるべきだ。

RFC 6480の RPKI アーキテクチャは有用な規律である。リソース証明書を割り当てられた IP アドレスまたは AS 番号に結びつけ、署名された経路起点認可から経路フィルタを構築できるからだ。また、認知が安易であってはならない理由も明らかにする。誤った、あるいは乗っ取られたリソース証明書は、ネットワークが経路起点の正当性を評価する方法に影響しうる。証明に基づく NRS は、自身が持たない RPKI の権威を主張すべきではない。むしろ、その証拠が既存の証明書、ホスト型または委任型保管、移転タイミング、失効リスク、保有者管理の鍵とどのように相互作用するかを示すべきだ。

セキュリティ証明には、障害演習を含めなければならない。保有者が署名鍵を紛失したらどうなるか?同じ会社の二人の役員が相容れない指示を提出したらどうなるか?裁判所命令により主張された移転が凍結されたらどうなるか?レジストリの従業員が侵害されたらどうなるか?移転の時間枠内にサービスエンドポイントが利用不能になったらどうなるか?証人ログがダウンしているのに、レジストリが緊急変更要求を受け取っていたらどうなるか?これらの問いに対して公表された答えを持たないサービスは、地図なしで信頼を求めているのだ。

NRS の最も強力な主張は、決して失敗しないということではない。失敗が境界づけられ、可視化され、修復可能であるということだ。インシデントには、分類、影響リソースセット、時間枠、封じ込め策、顧客通知、独立レビュー、復旧記録がなければならない。沈黙のセキュリティ障害は、ガバナンスの失敗である。検知・開示・訂正された障害は、その訂正がサービスが組織的否定に依存しないことを証明すれば、信頼を高めうる。

移行証明こそ、移植性が現実となる場

移植性は、スピーチで支持するのは容易だが、保有者の RDAP サービス、逆引き DNS、RPKI 証明書、不正利用連絡先、貸手ファイル、顧客許可リスト、上流フィルタリング記録のすべてが一貫したレジストリ状態に依存している深夜2時に実行するのは難しい。NRS の価値は、ネットワークが機能不全のレジストリ関係から離脱できるべきだというスローガンではない。価値は、記録を分裂させたり、それを読むサービスに衝撃を与えたりせずに離脱する試験済みの方法だ。

したがって、移行証明は中心的な認知試験の一つであるべきだ。NRS は、既存サービスレコードから NRS 提供レコードへ、必要ならその逆へのドライラン実施が、単一の権威ある状態を保持しつつ可能であるべきだ。試験には、保有者 ID パケット、リソース範囲、旧サービスエンドポイント、新サービスエンドポイント、保留中変更状態、紛争表記、猶予期間、ロールバックトリガー、公開通知区分、保護証拠コミットメント、独立証人署名を含めるべきだ。

試験は、しばしば混同される三つのイベントを区別しなければならない。保有者移転は、認知された権利または管理を持つ当事者を変更する。サービス移植性イベントは、記録を維持・公開する適格サービスプロバイダを変更する。経路変更は、トラフィックがどのように発信または受け入れられるかを変える。健全なシステムは、すべてを変えたふりをすることなく、一つを変更できる。保有者は、自動的に起点 AS を変更することなく、登録サービスを移動できるべきだ。移転は、経路が現れたというだけで最終化されるべきではない。経路は、サービス移動が保留中であるというだけで無効になるべきではない。

RDAP は、有用な公開の教訓を提供する。RFC 9224は、クライアントがいかに IANA ブートストラップデータと IP アドレス空間に対する最長一致ロジックを通じて権威ある RDAP サービスを見つけるかを説明している。それは NRS の権威を作り出すものではないが、リソースのためのサービスを指し示す公開発見層の価値を示している。証明に基づく NRS 移行は、関連する発見ポインタ、補足エンドポイント、認知状態がどのように、クライアントが検証可能な形で変化するかを示すべきだ。

移行証明は、顧客の継続性も必要とする。大規模ネットワークには、許可リスト、調達システム、メールレピュテーションチェック、DDoS スクラビングベンダー、クラウドの BYOIP プロセスが安定した登録データに依存する顧客がいるかもしれない。NRS はそれらの依存関係を外部のノイズとして扱うべきではない。移行パッケージには、どの公開フィールドが変更され、どの公開フィールドが維持され、どの通知が発行され、どのような古いサービスが可視のまま残りうるか、そして依拠当事者がどのように最終状態を検証できるかを特定する継続性ステートメントを含めるべきだ。

試験は困難なケース全体で繰り返されるべきだ:レガシーIPv4、移転された IPv4、リース運用利用、IPv6 割り当て、AS 番号、企業再編、倒産指示、RPKI 委任保管、逆引き DNS 引き継ぎ。クリーンな人工的例だけを移行できるサービスは移植性を証明していない。紛争管理とロールバックを伴って乱雑だが合法な記録を移行できるサービスは、より本格的な認知を獲得したと言える。

監査証明は、部外者が物語を再構築できることを意味する

監査可能性は透明性と同じではない。透明性は、一部の記録が公開されていることを言う。監査可能性は、有能な部外者が、適切な場合に保護証拠への認可アクセスを得て、結果に至る物語を再構築し、不正な変更を検出できることを言う。番号サービスにとって、その物語には、誰が権限を主張したか、どの証拠がチェックされたか、どの公開状態が変更されたか、どの依存サービスが影響を受けたか、誰が変更を承認したか、どのような異論が出されたか、そして最終状態がどのようにグローバル記録と調整されたかが含まれる。

NRS 監査証明は、再構築演習から始めるべきだ。独立監査人にリソースと期間を与える。監査人は、古い状態、すべての保留中イベント、承認されたすべての変更、拒否または隔離されたすべての主張、すべてのサービスエンドポイント、すべての鍵移行、すべての紛争注記、すべての公開コミットメントを再構築できるべきだ。監査人は、経営陣の口頭保証に頼ることなく、欠落、古くなった記録、不整合な履歴を特定できるべきだ。

追記専用の技術は役立つが、その限界が尊重される場合に限る。トランスペアレンシーログモデルを定義するRFC 9162は、署名付きツリーヘッド、包含証明、一貫性証明を説明している。これらのツールは、モニターがビューを比較するときに曖昧さを検出可能にする。基盤となる決定が正しかったことは証明しない。NRS はそのような構造を証拠管理として使うべきであり、ポリシー、本人性レビュー、救済の代用としてではない。

監査証明は、公開層と保護層を持つべきだ。公開層では、現在の状態、イベントクラス、時刻、レビュー担当役割、非機密理由区分、紛争フラグ、サービスエンドポイント、暗号コミットメントを示せる。保護層には、契約、身分証明書、請求書、理事会決議、裁判所命令、セキュリティ秘密、または機密移転条件を含められる。監査人は、機密資料を公開することなく、層間のつながりを試験できる。

外部監査には独立性も必要である。サービスは、友好的なレビュアーだけを選んだり、範囲を隠したり、称賛だけを公表したり、不利な所見を曖昧な言葉で埋もれさせたりすべきではない。ドラフト版のNRO RIR ガバナンス文書バージョン2は、定期的および臨時の監査、サマリー報告、緊急時継続性を指し示している。そのドラフトが最終化されるか変更されるかに関わらず、方向性は重要だ。レジストリの継続性は、経営陣以外の当事者によって試験可能であるべきなのだ。

NRS はさらに踏み込める。監査方法、サンプル記録、墨消しルール、所見区分、回答期限、修正証拠、繰り返し所見統計を公開できる。保有者が自身のイベント履歴をエクスポートできるようにできる。依拠当事者が、監査人が公開コミットメントの背後にある保護資料を閲覧したことを検証できるようにできる。そうすれば、監査は年次儀式ではなく、サービスの機能となる。

コミュニティ支持は採用の証拠を意味すべき

ICP-2 は、候補 RIR に対し、提案地域の LIR からの広範な支持を示すよう求める。領域モデルでは、それは理にかなっている。大陸にサービスすべきレジストリは、それを使わないコミュニティに押し付けることはできない。しかし、移植可能サービスのモデルでは、コミュニティ支持は、既存事業者からの許可や、その独占が検討されているまさに同じ組織によって集められた未定義のコンセンサスを意味すべきではない。

NRS にとって、支持は採用の証拠を通じて測定されるべきだ。何人の保有者が自発的に資格情報を提出したか?何人のオペレーターがサービスにクエリを投げたか?何人の監査人がそれを検証する意思があるか?どれだけのソフトウェアクライアントがその公開データを消費できるか?どれだけの貸手、ブローカー、クラウドプロバイダー、上流事業者がその受領証を補足証拠として受け入れたか?どれだけの紛争が重複状態なしに処理されたか?どれだけの移行リハーサルが運用上の衝撃なしに完了したか?これらは人気指標ではない。依拠指標なのだ。

採用の証拠は、よくある罠も防ぐ。改革者はしばしば、それを拒否または遅延させるインセンティブを持つ機関に認知を求める。既存事業者は、自らの非協力を、新規参入者が支持を欠く証拠として提示できる。証明ベースのモデルでは、門番が出口の存在を決めることを許すべきではない。NRS が定義された試験を満たし、実際の依拠当事者がその証拠を使用するなら、既存事業者の熱意の欠如は致命的であってはならない。

逆のリスクは、狭い派閥による乗っ取りである。サービスは不満を持つ保有者の間で人気があっても、より広いインターネットにとって安全でないかもしれない。したがって、採用の証拠は、競合試験、不正利用処理、小規模保有者のアクセス、地理的広がり、財務透明性、独立レビュー、公開セキュリティ結果、異議申し立て結果とバランスを取らなければならない。証明による認知は、既存事業者の拒否権でも、反乱分子への拍手でもない。

NRS 自身の一次資料は、これを特に重要にしている。NRS FAQ は、IP の利益をめぐって活動し、企業に力を与え、支援するグローバルな非営利会員制組織を説明している。憲章は、簿記係としての限界、正確な登録、自発的認知を強調する。これらの声明はポジティブな方向性を支持するが、外部証明が必要な理由も示している。会員制組織は、会員の忠誠心を単に権威に変換することなく、証拠層として機能できることを証明しなければならない。

したがって、正しい基準は段階的依拠である。第一レベルでは、NRS 記録は補足的な保有者証拠として扱われうる。第二レベルでは、移転、融資、保険または調達デューデリジェンスの一部として民間当事者に受け入れられうる。第三レベルでは、IANA 向けまたは RIR 向けのサービス移行への認知されたインプットになりうる。各レベルで、証明が依拠を拡大する。庇護はしない。

IANA は政治的所有者になることなく認証できる

IANA の現在の番号リソースの役割は狭く、重要である。その番号リソースページは、IP アドレッシングシステムと AS 番号のグローバル調整、グローバルポリシーに基づく RIR へのプール割り当て、IETF プロトコル割り当ての文書化の責任を示している。通常は、ISP やエンドユーザーに直接割り当てることはない。その狭さが強みである。問われるのは、将来の認知経路が、IANA をあらゆる下流紛争の政治的所有者にすることなく、IANA の一意性ポジションをいかに利用できるかである。

答えは、不変条件による認証であり、恩恵による承認ではない。IANA 向け認知は、サービスがグローバルな一意性を保持しているか、一貫性のあるサービスエンドポイントを公開しているか、安全な依存サービスをサポートしているか、証拠のエクスポートを提供しているか、緊急時継続性に協力しているか、監査に合格しているか、理由を付した拒否区分を公開しているか、レビューを可能にしているか、を問うべきだ。そのサービスが既存事業者と同じ政治を共有しているかどうか、あるいは既存の地域独占を競争から守ると約束するかどうかを問うべきではない。

2016年のIANA 番号サービス SLAは、認知された境界における正式なサービス説明責任の既存の例である。それは ICANN と5つの RIR との間のものであり、IANA とすべての保有者との間のものではない。NRS の権利を創設するものではない。しかし、番号リソースサービスは、オーラではなく、合意、サービスレベル、レビュー、エスカレーションによって定義されうることを証明している。将来の認知は、その規律を拡張できる。サービスを特定し、サービスを測定し、サービスをレビューし、サービスが機能不全に陥ったときの結果を定義するのだ。

IANA 認証は、モジュール式であるべきでもある。サービスはまず監査ログ互換性で認証され、次に補足保有者受領証、その次に移行リハーサル、そして狭い条件下でのライブのサービス移植性イベントへと進むかもしれない。失敗したモジュールが無関係な証拠を破壊してはならない。成功したモジュールが包括的な権限を付与してはならない。モジュール式認知は、すべての主張が定義された範囲を持つため、サービスを正直に保つ。

そのアプローチは、既存事業者も保護する。証明ベースの NRS は、改革の言葉を唱えることによって全面的な認知を要求することはできない。同じ試験に合格しなければならない。一意性、セキュリティ、移行、監査に失敗すれば、次のレベルの依拠を得られない。既存の RIR が同等の試験に失敗したなら、同等の精査に直面すべきだ。認知は公共サービスの規律となり、政治的盾ではなくなる。

オペレーターの試験は実践的であり、イデオロギー的ではない

ネットワークオペレーターは、イデオロギー的純粋性によって益されるものではない。他のネットワーク、ベンダー、顧客、当局が信頼できる記録を必要としている。NRS に依拠する前に、オペレーターは実践的なチェックリストを問うべきだ。このリソースが IANA および RIR 履歴で認識されている同じリソースであることを証明できるか?競合する現在の主張が隠されていないことを証明できるか?離脱する場合に自分の証拠をエクスポートできるか?鍵紛失後に復旧できるか?サービス変更中に経路起点認可を維持できるか?顧客は機密契約を見ることなく公開状態を検証できるか?

オペレーターは、レイテンシも試験すべきだ。正確だが遅い記録は、取引を失敗させうる。裁判所命令、企業閉鎖、貸手契約、不正利用緊急事態、顧客移行には時間枠があるかもしれない。NRS は、高リスク変更、通常更新、紛争フラグ、緊急保留、監査応答、ロールバックについての目標応答時間を公開すべきだ。目標だけでなく実績も公開すべきだ。

コストは重要だ。技術的に洗練されていても、大口アドレス保有者向けにのみ価格設定された移植可能サービスは、自身が批判するのと同じ不平等を再生産するだろう。認知証明には、小規模ネットワーク向けのアクセス、明確な料金区分、料金免除または段階的な保証階層、各有料サービスがカバーする内容の公的な説明を含めるべきだ。監査、レビュー、移行に費用がかかるなら、そのコストは裁量的摩擦の中に隠すのではなく、可視的であるべきだ。

オペレーターは拒否も試験すべきだ。公正なレジストリサービスは、時にノーと言わなければならない。重複主張にノー、偽造された権限にノー、未検証の企業承継者にノー、安全でない鍵変更にノー、濫用的開示にノー、定義された基準外の緊急要求にノー。サービスの質は、承認だけでなく、理由を付した拒否によっても示される。NRS は、拒否区分、異議申し立て経路、修正オプション、統計を公開すべきだ。

オペレーターの最終試験は、存続可能性だ。NRS 自体が機能不全に陥り、資金を失い、訴えられ、経営陣が交代し、深刻な侵害に遭い、または派閥に乗っ取られたらどうなるか?証明ベースの機関は、その記録を自身から移植可能にすべきだ。エスクロー、承継ルール、独立証人チェックポイント、保有者エクスポート、サンセット経路を持つべきだ。離脱不可能なサービスは移植性機関ではない。それは新たな囲い込みだ。

失敗は一意性を脅かすとき失格とされるべき

証明に基づく認知は、実験に対して寛大であるべきだが、中核的不変条件に対しては厳格であるべきだ。新しいサービスは、ユーザーインターフェース、報告頻度、苦情区分、料金設計を改善しても、すべての形の依拠を失うことはない。重複する現在の状態、不正な鍵変更、隠蔽されたセキュリティインシデント、公開証拠の改ざん、外部監査への協力拒否、保有者記録のエクスポート不能については、無頓着ではいられない。

厳しい線引きが必要なのは、番号リソースが外部効果を持つからだ。悪い状態変更は、サービスプロバイダとその顧客だけを害するのではない。経路受け入れ、メール配送、不正利用対応、調達チェック、クラウドオンボーディング、融資、顧客継続性、国境を越えた訴訟に影響しうる。インターネットがある記録に依拠すればするほど、不可視の競合に対する許容度は低くなる。

失格もまた、境界づけられるべきだ。NRS が RPKI 移行試験に失敗しても、補足的な保有者証拠の役割すべてを必ずしも失うべきではない。監査ログ包含証明に失敗したなら、修正されるまで高リスクのライブ移行を一時停止すべきだ。重複する現在の状態を受け入れたなら、影響リソースクラスを凍結し、すべての依拠当事者に通知し、独立レビューを開始すべきだ。規律は、結果が失敗した不変条件に対応するときに最も機能する。

ここに庇護の失敗がある。庇護システムはしばしば、既存事業者がシステム上重要だという理由でその失敗を許容し、一方で新規参入者のより小さな失敗を不適格の証拠として扱う。また、友好的な例外を許す。証明に基づく認知は、適格なすべてのサービスに対して同じ区分を公開すべきだ。警告、是正、モジュール停止、緊急オペレーター、返上、資格の永久的喪失、失敗後監査。

NRS は、この厳格さを歓迎すべきだ。ポジティブな NRS のテーゼは、自らが批判するモデルよりも乗っ取られにくいことに依存している。改革主義者だからといって、より易しい基準を求めれば、自らの主張を弱める。厳しい試験を招き入れ、生き残れば、レトリックに依存しない依拠の理由をオペレーターに与える。

証明による認知はインセンティブを変える

証明に基づく認知の最大の利点は、新しいサービスが参入できることだけではない。既存のすべてのサービスが、より読み取りやすくならざるを得ないことだ。既存事業者は、移植性提案に対し、自分たちは認知されており、挑戦者は認知されていないと言って答えることはもはやできない。自らのセキュリティ管理、監査可能性、移行安全性、拒否理由、サービス継続性、緊急即応性を示さなければならない。

その規律は、NRS が正式な依拠を得る前から、現在のシステムを改善する。NRS がより優れた保有者エクスポートフォーマットを公開すれば、既存事業者はなぜ自らのエクスポートが劣るのかを説明しなければならない。NRS がより強力な紛争表記を公開すれば、既存事業者は不透明な凍結を説明しなければならない。NRS がセキュリティを犠牲にすることなくより迅速な修正を示せば、既存事業者は遅延を正当化しなければならない。証拠の質での競争は、政治的アクセスの競争よりも健全だ。

それは IANA の役割も変える。誰がクラブに属するかを決める代わりに、IANA 向け認知は保証のはしごになりうる。そのはしごを満たすサービスは、狭く定義された相互運用性を得る。失敗したサービスは、そのクラスの依拠を失う。はしごは、公開され、試験可能で、レビュー可能でありうる。それは、認知ステータスがあまりに獲得困難かつ喪失困難で、特権と盾の両方になるモデルよりも、より安定している。

このモデルは、すべての法的問題を解決するわけではない。財産的取り扱い、契約解釈、担保融資、倒産優先順位、制裁、裁判所の権限は、管轄と事実の問題のままである。証明ベースのレジストリサービスは、裁判所命令、紛争状態、移転証拠パケットを記録できるが、すべての裁判所を同意させることはできない。その謙虚さは設計の一部である。認知は、コミットメントと証拠のクリーンな記録を保存すべきであり、NRS を世界裁判所に変えるべきではない。

このモデルはまた、公衆がすべての NRS の主張を一度に受け入れることを要求しない。依拠は漸進的でありうる。補足証明、民間デューデリジェンス、ソフトウェア試験、監査人受容、限定的なサービス移植性パイロット、公開発見統合、正式認知モジュール。全面的拒絶か全面的権威しか想像できないシステムは、すでに庇護の論理に譲りすぎている。

資格のはしごは正式な権限の前に始められる

NRS の現実的な道は、崖ではなくはしごである。第一段は、自発的な保有者証拠でありうる。保有者が身元、リソース履歴、連絡先権限、現在のサービス事実を提出し、NRS が署名付き受領証を返す。これは認知された IANA および RIR 記録に対する明らかな補足である。その受領証は、何かを割り当てるふりをすべきではない。その価値は、保有者が一貫性のある証拠パケットを貸手、買手、クラウドプラットフォーム、上流事業者、保険会社、監査人に持ち運べることだ。

第二段は、独立再構築でありうる。NRS は監査人や技術モニターを招き、サンプル受領証を選ばせ、公開記録、保護された保有者証拠、公開コミットメントからチェーンを再構築させられる。その結果は、すべての保有者の主張が正しいという約束ではない。サービスが証拠を保存し、不確実性を開示し、競合を拒否し、主張がその状態にある理由を説明できることの証明である。それは、部外者が試験できない私的ファイルよりも、すでに有用だ。

第三段は、ライブ依存性リハーサルでありうる。現在の認知された状態が不変のリソースについて、NRS はサービス移動をシミュレートできる。RDAP エンドポイントの即応性、不正利用連絡先の継続性、逆引き DNS 調整計画、RPKI 鍵移行計画、顧客通知、ロールバック、古いデータ警告、公開状態の文言。リハーサルは、根本的な認知がかかっていない段階で、オペレーターが障害モードを発見することを可能にする。また、既存事業者が望めば、移植性が一意性に対する偽装された襲撃ではないことを確認できる。

第四段は、民間当事者による狭い依拠でありうる。ブローカーが、移転デューデリジェンスの一部として NRS 受領証を受け入れるかもしれない。貸手が、保有者に現在のレジストラ記録と並んで NRS 証拠エクスポートを維持するよう要求するかもしれない。クラウドプロバイダーが、補足的リスクシグナルとして NRS 紛争表記を使用するかもしれない。これらの利用は IANA を拘束しない。それらは、証拠が実際の意思決定に有用かどうか、サービスがプレッシャーの下で質問に答えられるかどうかを示す。

第五段は、定義されたイベントクラスに対する正式なパイロット認知でありうる。パイロットは、事前提出済みロールバック、独立モニタリング、経路は台帳外に留まるという明示的声明とともに、限られた低紛争リソースセットに対する適格レジストラ移動を許可するかもしれない。別のパイロットは、既存サービスが利用不能な場合に、保有者状態を変更せずに緊急補足公開を許可するかもしれない。各パイロットは、参加基準、公開ルール、インシデントルール、終了ルール、公開報告書を持つべきだ。

このはしごは、即時の同等性の要求よりも政治的に安全だ。新サービスが、観測された実績に比例して依拠を獲得できる。また、既存システムに、改善に匹敵する機会を与える。既存事業者が応じて、より優れたエクスポート、より迅速な修正、より明確な紛争状態、より強力な監査を公開すれば、NRS はすでに証拠市場を改善したことになる。既存事業者が応答せず、NRS が試験に合格し続けるなら、より強力な認知のケースは経験的なものになる。

証拠基準には敵対的事例を含めるべき

ソフトな実演では十分でない。すべての申請者が協力的で、すべてのリソースがクリーンで、すべての監査人が友好的なら、どんなサービスも安全に見える。認知試験には、弱い仮定を露呈させるよう設計された敵対的事例を含めるべきだ。目的は、候補サービスに恥をかかせることではない。安全に失敗するかどうかを知ることだ。

敵対的事例の一つは、古い権限だ。かつて保有者アカウントを管理していた人物が古い文書を提示し、レジストラ移動を要求する。安全なサービスは、いかなる公開状態変更を発行する前にも、企業承継、現在の権限、失効、競合する指示をチェックする。証拠が不完全なら、サービスはクリーンなイベントではなく、保護された照会または拒否された要求を記録する。

別の事例は、範囲の競合だ。カバーブロックには歴史的保有者がおり、より詳細な断片には現在の運用顧客がおり、第三の当事者がカバーブロック全体を購入したと主張する。安全なサービスは、競合を一人の勝者に平準化しない。範囲をマッピングし、どの主張が重なるかを特定し、より詳細な利用が別個の権限を持つかどうかをチェックし、証拠クラスが解決されるまで紛争部分を隔離する。

第三の事例は、サービス恐喝だ。退任するレジストラが保有者の移動への協力を拒否し、新しい記録はすべて不当だと依拠当事者に警告する。安全な移植性設計は、退任レジストラが沈黙によって退出に拒否権を行使するのを許さない。通知を要求し、退任レジストラに定義された異議申し立て期間を与え、実際の紛争を記録し、保有者の権限と依存計画が客観試験に合格すれば移動を許可する。

第四の事例は、改革者の乗っ取りだ。新レジストラの支持者が弱い主張を提出し、サービスが既存事業者に挑戦するために存在するという理由で有利な扱いを期待する。安全な NRS はノーと言い、理由区分を公開する。味方だけでなく敵手も失望させることで独立性を証明する。友人を拒否できない改革機関は、長く簿記係であり続けられないから、これは不可欠だ。

第五の事例は、セキュリティ侵害だ。攻撃者が保有者の資格情報を入手し、週末にサービスエンドポイントを変更しようと試みる。安全なサービスは、高リスク変更管理、帯域外確認、待機期間または緊急レビューを使用し、その試みの証拠を残す。保有者は、攻撃が決して起こらなかったと公開記録が偽ることなく、復旧できるべきだ。

これらの事例は、認知を工学的規律に変える。NRS は、保護証拠を暴露することなく、試験結果を公開できる。古い権限の要求が拒否されたこと、範囲競合が隔離されたこと、退任レジストラの異議が証拠を欠いたこと、味方の弱い主張が失敗したこと、資格情報攻撃が封じ込められたことを表明できる。そのような開示は、洗練された機関の言葉よりも信頼にとって多くをなすだろう。

庇護は紛争の双方に失敗する

庇護はしばしば安定性として弁護される。既存の機関は知られており、ネットワークはすでにそれらに依存しており、挑戦者を相互運用させれば混乱を生むという論だ。安定性への懸念には一理ある。突然の監視なき置き換えは無謀だろう。しかし、庇護は安定性と同じではない。庇護は意思決定者の立場を守る。安定性は台帳の不変条件を守る。

この違いは既存事業者にとって重要だ。既存のサービスが真に信頼できるなら、証明に基づく認知がそれを示すだろう。その公開状態は一貫し、修正は適時で、セキュリティインシデントは処理され、監査はクリーンで、移行ルールは公正、緊急計画は試験済みだろう。そのような既存事業者は、客観的比較を恐れるべきではない。より弱い証拠に同等の信用を与える基準だけを恐れるべきだ。

この違いは挑戦者にとって重要だ。庇護に直面する挑戦者は、不満を中心に政治を構築するインセンティブを持つ。証明に直面する挑戦者は、より強固な記録を構築するインセンティブを持つ。NRS が成熟する可能性は、依拠への道が見えていて困難であるほど高い。唯一の道が既存事業者に特権放棄を説得することなら、すべての議論が存亡をかけたものになる。道が試験合格なら、サービスは一度に一つのモジュールを改善できる。

この違いはデータの利用者にとっても重要だ。クラウドプラットフォーム、不正利用デスク、ブローカー、貸手、公共機関は、証明を評価するのに哲学的議論に加わる必要はない。記録に競合フラグがあるか、移行がリハーサルされたか、レジストラは適格か、イベントは最新か、依存サービスは変更されたか、監査人は根拠を再構築できるか、と問うことができる。これらは実践的な問いに実践的な答えがある。

したがって、庇護は説明責任と信頼の両方を弱める。挑戦者に公正な道を否定しつつ、既存事業者が受け継いだ地位に寄りかかるのを許す。証明体制はより厳格だが、より公正だ。NRS にこう告げる。安全を証明できる限りにおいてのみ参入してよい、と。既存事業者にこう告げる。サービスを証明できる限りにおいてのみ信頼されてよい、と。それが、希少性の下にある番号体系が必要とする取引なのだ。

ポジティブな NRS の誓約

NRS は、誓約を平易に述べれば、インターネットに対して力強い提案ができる。私たちは、既存事業者に反対するからという理由で認知を求めない。私たちの会員が不満だからという理由で認知を求めない。政治的支持者が私たちを好むからという理由で認知を求めない。私たちが証明できる機能についてのみ、認知を求める。

一意性については、誓約は単一現在状態、重複検出、紛争隔離、公開紛争表記である。セキュリティについては、職務分離、保護された鍵、証人付きコミットメント、インシデント開示、試験済み復旧である。移行については、ドライランの証拠、顧客継続性、ロールバック、サービス移植性・保有者移転・経路変更間の混同のなさである。監査については、独立再構築、エクスポート権、保護証拠へのアクセス、公開された修正である。ガバナンスについては、理由付き拒否、異議申し立て、外部レビュー、NRS 自体が変化または機能不全に陥った後も記録が存続することである。

その誓約は、支持者により良い論拠を与える。もはや、NRS をあらゆる RIR の道徳的代替物として、あるいはあらゆる歴史的不満への完璧な回答として提示する必要はない。観測可能な実績を通じて定義された信頼を獲得するサービスとして提示できる。証明が厳格であればあるほど、ポジティブなテーゼは強固になる。

それはまた、懐疑論者により良い反論を与える。懐疑論者は、新しい番号サービスは決して認知されえない、なぜなら既存システムが既存システムだからだ、と言う必要はない。懐疑論者はこう言える。ここにあなたが失敗した一意性試験がある。ここにあなたが誤って処理した移行事例がある。ここに監査のギャップがある。ここにあなたが実証していないセキュリティ復旧がある。これらの反論は有用だ。NRS がそれらを修正できるか、主張を失うからだ。

したがって、証明による認知は参入戦略以上のものだ。それは、移植可能な番号の未来のための基本的な原則である。既存事業者は庇護によって守られるべきではない。改革者は理想主義によって免除されるべきではない。インターネットは、そのサービスが他のすべての者が依存する不変条件を証明する限りにおいて、番号サービスに依拠すべきなのだ。

出典