概要

  • RIPE NCC 管理リソースを巡る IRR データベースの脆弱性は、複数の情報源に跨る問題である。プレフィックス、オリジン ASN、AS-Set パスは、RIPE Database、RIPE-NONAUTH、他の IRR、ミラー、プライベートレジストリ、古いローカルフィルターファイルで異なって見える場合がある。
  • 経済的な問いは、単に一つのルーティングレコードが正しいかどうかではなく、トランジットプロバイダ、クラウドプラットフォーム、IX ルートサーバ、ブローカ、買い手、貸し手などが、フィルタツールの結果が食い違う際にどの証拠ソースに依存できるかである。
  • RIPE Database のデータは、インターネット番号資源台帳に近い場所にあるため特別な価値を持つが、それは RPSL レコード、ソース優先順位、再帰的セット展開、プライベートな受入ルールという、より広範な環境を通じて消費される。
  • ミラーリングと準リアルタイム配信は可用性を向上させるが、コピーがソースコンテキスト、鮮度メタデータ、クリーンアップ責任を失うと、古いデータに運用上の「死後の生命」を与えることもある。
  • AS-Set 展開は、1 つの古いメンバー、重複したセット名、またはソース間参照が、多くの下流ルートの生成フィルタを変えてしまうため、小さな不整合をポートフォリオ規模のコストに変える。
  • RPKI と ROA はオリジン証拠を強化するが、ネットワークが依然としてカスタマーコーン、AS-Set メンバーシップ、ルートサーバ参加、プライベートリスク制御にルーティングレジストリレコードを使用するため、IRR データを廃止するわけではない。
  • RIPE NCC は、信頼できる台帳および証拠サービス層として機能すべきであり、一般的な経路受入権限、価格監督者、商業紛争フォーラム、あるいは市場アクセス規制者としてではない。その試金石は、裁量的な市場力を蓄積することなく、証明コストを下げられるかどうかである。

取引成立前のフィルタ作業

切り替え計画は通常のものに見えた。ある欧州のホスティンググループが小規模なネットワークを買収し、顧客ブロックを移行カレンダーに組み込み、トラフィックを移行する前にトランジットプロバイダにフィルタの更新を依頼した。エンジニアリングチームは通常の作業を実施した。すなわち、ルーティングレジストリソースへの問い合わせ、顧客 AS-Set の展開、期待されるオリジンと実際のアナウンスとの比較、RPKI ステータスの確認、そして承認のためのプレフィックスリストの準備である。その結果は、単純なイエス・ノーではなかった。それは、一貫性を欠くものの尤もらしい証拠の山であった。

RIPE Database は、買い手の計画 ASN に紐付いた現在のプレフィックス-オリジンレコードを示していた。あるミラーIRR ソースは、管理サービス契約中に売り手が使用していた古いオリジンを依然として公開していた。ある上流事業者のプロビジョニングシステム内のプライベートフィルタファイルには、取引の何年も前から存在するレガシーな例外が保持されていた。古い AS-Set 展開は、買い手チームの誰も認識できないリセラーパスを取り込んだ。ある IX のルートサーバはテストビューで新経路を受け入れたが、クラウドプラットフォームの BYOIP レビューは、そのデューディリジェンスツールが先に古いオリジンを検知したため停止した。この光景に悪意は必要なかった。コストはソース間の不一致から生じたのである。

これこそが、IRR データベースの脆弱性を判断すべき問いである。市場のカウンターパーティはどのルーティングレジストリソースに依存できるのか、そして古い、または矛盾する IRR 証拠が受入を遅らせた場合、誰がその代償を払うのか。その答えは、単一のエントリが単独で有効かどうかを問うことでは見つからない。プレフィックスが RIPE Database に正しく登録されていても、ミラーや過去の AS-Set パスを読むプライベートフィルタによって疑われ得る。サードパーティのソースは、かつて有効だったルーティング関係を記述していても、現在の買い手を誤導するかもしれない。プライベートな例外はネットワークをリスクから守るが、それが次の移行に対する非公開の通行料のように作用するかもしれない。

インターネットルーティングレジストリ環境は、しばしば運用データベースの集合と表現されるが、そのフレーズは経済的役割を軽視している。ルーティングレジストリデータは、時間的プレッシャーの下でイエスかノーかを言わなければならない人々によって利用される証拠である。すなわち、上流プロビジョニングチーム、IX ルートサーバメンテナ、クラウドオンボーディングデスク、セキュリティレビュア、アドレスブローカ、M&A アドバイザ、貸し手、そしてエンタープライズ顧客である。それらのレコードは財産を移転しない。BGP に命令しない。しかしそれらはしばしば、手動エスカレーションなしに経路が受け入れられるかどうかを決める。IPv4 市場において、それは価格に影響を与えるに十分である。

RIPE NCC がこの議論の中心に位置するのは、そのサービス地域が密集したルーティングインフラ、大規模なホスティングおよびクラウド市場、多数のレガシー運用取り決め、制裁とコンプライアンスの重層、活発なアドレス移転、国境を越えた買収、そして RIPE Database を通じた欧州ネットワーク調整の長い歴史を兼ね備えているからである。RIPE Database は単なる公開ディレクトリではない。それはインターネット番号資源台帳に隣接するルーティング証拠ソースである。そのルーティングレコード、aut-num データ、メンテナ、AS-Set エントリ、ソースラベルは、データベースエントリをフィルタに変換するツールによって読み取られる。

しかし市場は RIPE Database だけを消費するわけではない。市場はサプライチェーンを通じてそれを消費する。すなわち、ミラー、ローカルコピー、ソースリスト、再帰的セット展開、プライベートレジストリ、プロバイダ管理ファイル、ルートサーバ設定、クラウドレビューツール、そしてそれを作成したエンジニアよりも長生きしたかもしれない古いスクリプトである。脆弱性はそのサプライチェーンに宿る。クリーンな台帳は、汚れたコピーによって弱められ得る。現在のプレフィックス-オリジンレコードは、古い AS-Set によって相殺され得る。プロバイダの保守的なソース優先順位は、もはや資源保有者の計画を反映しないエントリに実質的な力を与え得る。

イデオロギーの線引きは重要である。RIPE NCC は、希少アドレスに関する一般的な経路受入権限、価格監督者、商業紛争フォーラム、市場アクセス規制者になるべきではない。その正当性は、より狭い活動に由来する。すなわち、信頼できる登録、明確なソースセマンティクス、説明責任のある更新経路、取引コストを下げる証拠、そしてサービス継続性である。制度的な正しい問いは、レジストリを裁量的なチョークポイントに変えることなく、ルーティング証拠をより信頼しやすくする方法である。

RIPE Database は台帳隣接型のソースであり、市場全体ではない

公式 RIPE Database ドキュメントは、制度的な重なりを明示している。aut-num レコードは AS 番号の登録詳細を保持し、ルーティングポリシーの公開も可能にする。ドキュメントは、route および route6 レコードを RIPE インターネットルーティングレジストリの中核要素として扱い、プレフィックスとオリジンデータがドメイン間ルーティングを記述するために使われる。また、RIPE NCC 管理のリソースが関与する場合、認証にアドレス空間と AS 番号の両方の制御が必要になり得ると記している。これらの仕組みは狭い事実だが、RIPE Database が自由浮遊するプライベートエントリよりも強い証拠力を有する理由を説明している。

その重みは魔法ではない。RIPE Database のルーティングレコードは、記述が関連するデータベースルールとソースセマンティクスを通過したことを証明する。それは、すべての上流がその経路を受け入れること、すべてのプライベートコピーが最新であること、古い商取引がすべて整理されていること、あるいはフィルタビルダーが使用するすべての AS-Set パスが同じストーリーを指すことを証明するわけではない。データベースは台帳隣接型ソースであり、ルーティング市場全体ではない。その区別が、多くの高くつく誤りの出発点である。

RIPE NCC サービス地域のアドレスブロックは、いくつかのライフ(存在)を持ちうる。レジストリ上のライフ:誰が資源の保有またはスポンサーとして記録されているか、どのコンタクトが存在するか、どのステータスが適用されるか、どのような契約上またはポリシー上の条件がそれを取り巻くか。ルーティングレジストリ上のライフ:どのプレフィックス-オリジンレコードと AS-Set エントリがオペレータに見えるか。RPKI と ROA を通じた暗号的なライフ(展開されている場合)。観測された BGP ライフ(ライブルートコレクタ内での)。契約、リース、移転、アウトソーシング、クラウドオンボーディングにおける商業的なライフ。そして、受入ルールが公開されていないネットワーク内部でのプライベートフィルタ上のライフである。

IRR の脆弱性は、これらのライフが互換的に扱われるときに現れる。ルーティングレジストリレコードは権利証ではない。ROA はカスタマーコーンのマップではない。BGP アナウンスは現在の権限の証明ではない。プライベートフィルタ例外は公開レジストリの表明ではない。サードパーティの IRR エントリはサービス関係の有用な証拠となり得るが、現在の資源制御の弱い証拠でもある。各シグナルには能力範囲がある。市場は、ツールがこれらのシグナルを、影響を受ける保有者に理由を告げずに単一の受諾または拒否決定に平準化することで脆弱になる。

RIPE NCC の適切な役割は、自らのシグナルを鮮明に保つことである。RIPE Database は、ソースの同一性、作成・修正履歴、メンテナ、認証ロジック、ルーティング証拠の境界を、可能な限り誤解しにくくすべきである。それには、レジストリがあらゆる商用的経路を監視することは求められない。それは、RIPE ソースをその影よりも判読しやすくすることを求める。あるレコードが番号資源台帳に近いほど、市場はそのレコードが何を言い、何を言わないかをより明確に理解すべきである。

問題を複雑にするのは RIPE-NONAUTH やその他の非権威的なデータである。そのようなデータは、地域外の AS 番号や過去のルーティング関係がルーティングポリシー公開のために表現されなければならない場合など、運用上有用であり得る。しかし非権威的なソースは、現在の RIPE NCC 資源権限と同等ではない。フィルタビルダーがその区別を保たずに同等のランクを与えれば、便宜は隠れた力となる。あるネットワークがそれを完全に無視すれば、顧客やプロバイダが実際に使っていた証拠を見逃すかもしれない。答えは純粋さではない。それはラベル付けされた階層である。

ラベル付けされた階層は市場財である。買い手は、どのレコードが権威的で、どれが非権威的か、どれがミラーか、どれがプライベートな残滓かを知れば、クリーンアップリスクを価格付けできる。クラウドプラットフォームは、漠然とした「IRR 不一致」通知でアカウントを停止する代わりに、特定の是正を求めることができる。IX ルートサーバは、メンバーが事前にテストできるようにソースポリシーを公開できる。小規模 ISP は、問題が RIPE にあるのか、別の IRR にあるのか、ミラーにあるのか、プライベートファイルにあるのかを知ることができる。不確実性は消えないが、それは確実さを装うのをやめる。

ミラーデータは過去のルーティングストーリーを現在のものに見せかける

ミラーリングは必要な便宜である。オペレータは、ルーティングレジストリデータへの耐障害性があり高速で自動化されたアクセスを必要とする。RIPE NCC の準リアルタイムミラーリングに関するドキュメントは、利用可能な RIPE Database データのストリームをユーザが受信でき、その後スナップショット、差分、タイムスタンプ、ソース識別子、整合性チェックに基づくプロトコルが構築される公開サービスについて説明している。これらの詳細が重要なのは、複製されたレジストリデータが非公式なスクレイピングではないことを示すからである。それはルーティングエコシステムの運用サプライチェーンの一部である。

経済的リスクは、可用性が鮮度と誤解され、鮮度が権威と誤解され得ることである。今日クエリに応答するミラーは、主張が古い、非権威的である、または他で取って代わられたソースを再生しているかもしれない。ミラーとして始まったプライベートシステムが、後にローカルな例外データベースになることもある。あるキャリアのフィルタビルダーは毎日更新を行うが、そのソース優先順位が依然として古いパスを優先することがある。クエリは動作し、データはパースされ、フィルタは構築される。現在の保有者は、なぜ機械可読な回答が正しい回答でないのかを説明しなければならなくなる。

これがルーティング証拠の「死後の生命」である。かつての上流は、有効な顧客関係の間にプレフィックス-オリジンレコードを作成したかもしれない。顧客は後にプロバイダを変更し、アドレスブロックを売却し、新しいグループに統合されるか、クラウドオリジンに移行する。RIPE 側のレコードは更新されるかもしれない。ROA は調整されるかもしれない。かつての上流は現在のエントリを削除するかもしれない。しかしミラーソース、古いエクスポート、サードパーティレジストリ、またはプライベートファイルは、フィルタ生成経路に供給し続けることができる。古い証拠はもはや権威的ではないが、運用上は残存する。

市場のカウンターパーティにとって、これは厄介なインセンティブを生む。拒否するネットワークは、古いレコードが権威的かどうかを気にしないかもしれない。それが気にするのは、経路を受け入れることでリスクが増大するか、自らのソースポリシーに違反するか、あるいは自動化を破綻させるかである。それは保有者に対し、レコードを整理するか証拠を提出するよう求めるだろう。保有者はそのソースを制御していないかもしれない。ソースはミラーかもしれない。ミラーは基礎レコードを所有していないかもしれない。古いプロバイダにはもはや支援する商業的理由がないかもしれない。アドレスブロックの買い手は、経路が受け入れられる必要があるため、調査の費用を負担する。

したがってミラーリングはデータガバナンスをサプライチェーンの問題に変える。スーパーマーケットが古い在庫を販売するとき、顧客は工場がレシピを修正したことを気にしない。ルーティングにおいて、レジストリはソースを修正できるが、下流のシステムは古いビューの消費を続ける。ネットワークには正当な自律性があるため、このアナロジーは不完全だが、市場コストは似ている。現在の保有者は、古い証拠の配布者を見つけ、出荷をやめるよう説得しなければならない。

ソースの来歴はデータとともに移動すべきである。ルーティングレジストリの回答は、可能な限りソース、鮮度、最終更新情報、ミラーステータス、そしてフィルタユーザが RIPE、RIPE-NONAUTH、別の IRR、ミラーされたビュー、ローカルな残滓のいずれを読んでいるか分かる程度のコンテキストを保持すべきである。ミラーが意味を保持できないなら、少なくとも警告は保持すべきである。プライベートフィルタファイルがソースコンテキストを上書きするなら、それは公開証拠としてではなく、ローカルなリスクポリシーとして扱われるべきである。

競争上の問題もある。大規模な既存事業者は、広範なソース比較を実行し、他のネットワークとの関係を維持できる。彼らはミラーが古い理由を尋ね、ピアにレコードをバイパスするよう説得し、小規模ネットワークにはないコネを使ってクリーンアップ要求を提出できる。小規模プロバイダはしばしば拒否のみを見る。障害がミラー、ソース優先順位、古い AS-Set メンバー、プライベートルートセット、RPKI の問題、あるいはプライベートな例外ルールのいずれに起因するのか分からないかもしれない。同じ不整合が、規模に応じて異なるコストを課す。

RIPE NCC はすべてのミラーやプライベートコピーを統制することはできないし、すべきでもない。しかし、ソースチェーンをより調査しやすくすることはできる。明確なセマンティクスを公開し、RIPE 側の状態を示すツールをサポートし、ミラーリングメタデータを堅牢にし、データが最終ではなく準リアルタイムであるときにシグナルを送ることができる。また、ミラーリングの欠陥を広範な規制権限に変換する誘惑に抵抗することもできる。狭いタスクは、中央集権的なルーティング許可ではなく、より良い情報である。

AS-Set 展開は小さなエラーが倍増する場である

AS-Set エントリは、ネットワークが大規模であるため実用的である。トランジットプロバイダは、すべての下流プレフィックスを手動編集したくない。IX ルートサーバは、毎朝各メンバーのためにカスタムポリシーを交渉できない。クラウドや DDoS プラットフォームは、何千もの顧客経路を評価しなければならないとき、サポートメールだけに頼ることはできない。AS-Set 展開は、公開されたルーティングポリシーを生成フィルタに変換する。それにより顧客は事実上「これらの ASN はこのポリシーの背後に属する」と言うことができ、カウンターパーティはプレフィックスリストを構築できる。

同じメカニズムが脆弱性を倍増させる。RIPE Database ドキュメントは、AS-Set エントリを、直接メンバー、他のセットへの参照、メンバーシップ属性を通じた間接的な包含を含みうる AS 番号の集合として記述している。それは有用な再帰である。それは同時に、弱いソース選択が広範囲に波及する方法でもある。フィルタビルダーは顧客の AS-Set を要求し、選択されたソースにわたってそれを展開し、メンバー参照を追跡し、ASN をプレフィックスにマッピングし、設定を出力する。単一の古いメンバーが多数の経路に影響し得る。重複したセット名が異なるプロバイダで異なる結果を生み得る。ソース間参照は、受入ネットワークが信頼しようと意図しなかった権威モデルを取り込むことがある。

ユーザ向けチケットは通常通り一遍である:「AS-Set が無効」、「IRR 不一致」、「プレフィックスがポリシーにない」、または「カスタマーコーンが不整合」。そのメッセージの背後には、より深い連鎖があるかもしれない。顧客の RIPE 内のセットは最新かもしれないが、別の IRR にある同様の名前のセットが先に見つかるかもしれない。プロバイダ管理のセットは、買収された ASN をまだ含んでいるかもしれない。リセラーのセットは古い顧客を取り込むかもしれない。間接的なメンバーシップルールが、メンテナ関係が決して整理されなかったために ASN を許可するかもしれない。ルートサーバツールは、顧客の内部テスト環境が超えたソース境界で停止するかもしれない。各ステップは局所的には防御可能である。それらが合わさって驚きを生む。

AS-Set の脆弱性は、特に移行および買収時に重要である。企業ネットワークは単一のクリーンなブロックとして移動しない。それらは古い上流、管理サービスプロバイダ、リセラー契約、DDoS スクラビングオリジン、クラウドテストオリジン、リモートピアリング関係、子会社、廃止された ASN を抱えている。買収チームは明らかなプレフィックス-オリジンレコードを更新しても、主要トランジットプロバイダが使用する AS-Set パスを見落とすかもしれない。最初の兆候は、フィルタ更新が経路を拒否するか、移行中に到達可能であるはずだった下流を削除したときに現れる。

これは、多くの財務アドバイザーがいまだ過小評価しているデューディリジェンスタスクを生む。IPv4 ポートフォリオは、レジストリステータス、移転適格性、不正使用レピュテーション、RPKI 体制だけでなく、AS-Set エクスポージャについてもチェックされるべきである。どのセットが売り手の ASN を含むか?展開によってどのセットがプレフィックスを含むか?売り手が単独で変更できないプロバイダ管理のエントリはあるか?主要カウンターパーティはソース修飾されたセット名を使用するか?ルートサーバや上流は、全ソース、優先ソース、またはローカルミラーを通じて展開するか?買い手が意図するオリジンは、カウンターパーティが実際にクエリするのと同じ証拠チェーンに現れるか?

AS-Set の再帰はまた、プライベートフィルタ事業者に静かな力を与える。あるキャリアのソース優先順位が隠蔽されていれば、その展開結果は私的な市場ルールとなる。あるクラウドプラットフォームが特定の AS-Set 構造を要求しながら、一般的な拒否理由しか開示しなければ、実際の治療法を説明することなくオンボーディングを遅延させることができる。支配的な上流が小規模ネットワークに代わって顧客セットを維持している場合、それらの顧客は上流のレジストリ衛生に依存するようになるかもしれない。取引コストを削減することを意図したツールが、行政的な堀になり得る。

治療法は AS-Set の使用を廃止することではない。それでは手動作業が増え、ルーティング衛生が低下する。治療法はパスの可視性である。フィルタビルダーは展開パス、ソース名、タイムスタンプ、重複名、コンフリクトインジケーターを保持すべきである。ルートサーバ事業者は、ソース間再帰をどのように扱うかを公開すべきである。トランジットプロバイダは、セット名がソース修飾されなければならないかどうかを顧客に伝えるべきである。買い手は売り手に対し、既知のプロバイダ管理セットを開示させるべきである。RIPE NCC は、自らのセットエントリとソースセマンティクスを調査しやすくし、RIPE ソースが安定した参照点として機能できるようにすべきである。

ここで、台帳/サービス層の原則が実践的になる。RIPE NCC は、あらゆるカスタマーコーンの全メンバーを決定する必要はない。信頼できる基礎証拠を提供し、プライベートフィルタが推測なしにそれを使用できるようにする必要がある。レジストリソースがクリーンで展開パスが可視であれば、市場は責任を適切な場所に置くことができる。すなわち、保有者、プロバイダ、ルートサーバ、ミラー、プライベートフィルタ事業者、または買い手である。パスが隠蔽されていれば、保有者がデフォルトで支払う。

コンフリクトは投票ではなく、階層の問題である

二つのルーティングレジストリソースが一致しないとき、簡単だが間違った習慣は、そのコンフリクトを投票のように扱うことである。あるソースは AS A と言う。別のソースは AS B と言う。三つ目は何も言わない。四つ目はセットを通じてプレフィックスを含める。フィルタビルダーは、ローカル優先順位で最初のソースを好むかもしれない。サポートデスクは保有者にコンフリクトを除去するよう求めるかもしれない。買い手はブロックを値引きするかもしれない。しかしソースの数は権威ではない。市場が必要とするのは、主張の集計ではなく、能力の階層である。

RIPE Database は、RIPE NCC が管理する番号資源とデータベースの認証ロジックに最も近いところで最も強い。それは、直接的な資源台帳の外にある非権威的なコピーやルーティングポリシー表明を運ぶ場合により弱い。サードパーティの IRR は、顧客-プロバイダ関係の強い証拠となる一方、現在の資源制御の弱い証拠となり得る。プライベートフィルタファイルは、あるネットワークのリスクルールの強い証拠であり、公的権威については全く証拠とならない。ミラーは、そのソース、タイムスタンプ、整合性と同程度に強いだけである。RPKI はオリジン認証の強い証拠であり、AS-Set メンバーシップについては弱い証拠である。

したがって、コンフリクト処理は問うべきである:各ソースは何を証明する能力があるか?現在の RIPE 側資源証拠、現在の ROA 体制、現在の RIPE ソースルーティングレコードが整合しているなら、古いプライベートまたは非権威的なエントリが説明なしに市場を人質にすべきではない。サードパーティの IRR エントリが、RIPE ソースが捕捉しないアクティブな顧客関係を記録しているなら、その関係は運用上の重みに値するかもしれない。ミラーがそのソースと矛盾するなら、鮮度が問題である。AS-Set が古いメンバーを取り込んでいるなら、関連する問いはプレフィックスの所有権ではなく、セットパスのメンテナンスである。

この階層は、誤った確実性を減らすだろう。それはまた行き過ぎを減らす。レジストリはコンフリクトを口実に、あらゆる商業関係を決定すべきではない。プライベートネットワークはコンフリクトを口実に、非公開の証明負担を永久に課すべきではない。クラウドプラットフォームは、現在の権威的かつ暗号的証拠が整合しているなら、無関係な歴史的残滓のクリーンアップを要求すべきではない。買い手は、それらが権原のようでないというだけで非権威的なレコードを無視すべきではない。各アクターは、自身が最も良く制御できる不確実性の部分を担うべきである。

現在の環境はしばしば逆のことをする。拒否するネットワークがフィルタを制御するため、即時の結果を制御する。保有者は一部のレコードしか制御しない。古いプロバイダが古いソースを制御するかもしれない。ミラーはコピーを制御する。レジストリは台帳隣接ソースを制御する。買い手は経路を必要とする。緊急のビジネス期限を抱える当事者が、原因が他にある場合でも調整費用を支払う。それが断片化された証拠の経済学である。

明確な拒否理由は低コストの改善策である。「ソース X がオリジン Z のプレフィックス Y を含むため拒否」は、「IRR 無効」とは大きく異なる。「ソース A 経由の AS-Set 展開が古い ASN B を含んでいた」は、「ポリシー不一致」より有用である。「RIPE ソースと ROA は整合しているが、当社のプライベートファイルは依然としてレガシー例外を含む」は、プロバイダに内部的に何を修正すべきかを伝える。このようなメッセージは、注意深く書けば機密設定を暴露しない。それらはブラックボックスを修復可能なシステムに変える。

市場は不透明性を厳しく価格付けする。IRR コンフリクトが不明なアドレスブロックは、買い手が修正時間を見積もれないため流動性ディスカウントを受ける。既知で隔離された外部残滓を持つブロックは、より正確に価格付けされ得る。透明なフィルタルールを持つネットワークは統合しやすい。明確な証拠要件を持つクラウドプラットフォームは、顧客をサポートキューに閉じ込める可能性が低い。明確なソースセマンティクスを持つレジストリは、カウンターパーティが独自の権威モデルを発明する必要性を減らす。

この階層は小規模ネットワークも保護する。それがなければ、証明の負担は無限になる。小規模 ISP は現在のレジストリ証拠、現在の ROA、現在のルーティングレコードを示すことができるが、別のソースが依然として一致しないと告げられるかもしれない。そのソースを特定または除去できないかもしれない。どこかの時点で、古い証拠は実質的な重みを失わなければならない。現在の権威が古い主張に打ち勝つことを決して許さないシステムは、慎重なのではなく、反流動的である。

信じられることの代償

IPv4 の希少性こそが、IRR の脆弱性を市場問題に変える要因である。アドレス空間が潤沢であれば、汚れた履歴はリナンバリング、別のブロックの取得、またはクリーンアップを待つことで回避できる。希少性は計算を変える。ルーティング可能な IPv4 ブロックは、顧客依存関係、評判履歴、ファイアウォールの許可リスト、逆引き DNS 期待、ジオロケーション想定、クラウドマッピング、貸し手の関心、そして取引価値を運ぶ。その価値は、単に登録されていることだけでなく、多数の独立したシステムによって信じられることに依存する。

信頼にはコストがかかる。買い手は、そのブロックが計画された ASN によってアナウンスできるという確信を必要とする。ブローカーは、クロージング後に資産が停滞しないという確信を必要とする。貸し手は、アドレス依存収益が説明不能なフィルタ例外に晒されていないという確信を必要とする。クラウドプラットフォームは、顧客空間を広告する前に確信を必要とする。管理サービスプロバイダは、古い顧客経路を新しいものから分離できるという確信を必要とする。IX ルートサーバは、経路伝搬がメンバーにリスクをもたらさないという確信を必要とする。各カウンターパーティは、同じ質問の異なるバージョンを問う:私はどの証拠を信頼すべきか?

古い AS-Set 展開は、自動化されたフィルタ内に古い関係を隠すためコストを上げる。矛盾するプレフィックス-オリジンレコードは、保有者がなぜあるソースが他より信頼できるかを説明しなければならないためコストを上げる。プライベートミラーは、保有者がその存在を知らないかもしれないためコストを上げる。フィルタ例外は、標準化された証拠を関係とエスカレーションに置き換えるためコストを上げる。移行失敗は、顧客がデータベースのニュアンスではなく運用上の遅延を経験するためコストを上げる。M&A の遅延は、クロージング手続きとネットワーク受け入れが異なる速度で進むためコストを上げる。貸し手のヘアカットは、曖昧さがリスクプレミアムになるためコストを上げる。

アドレス市場の流動性は、この種の不確実性に特に敏感である。買い手は、両方がレジストリで認識されていても、クリーンな/20 と古い IRR 残骸を抱えた/20 を異なって評価し得る。そのディスカウントは、究極的な権利についての判断ではない。それは時間、専門知識、カウンターパーティリスクに対するディスカウントである。買い手が古いエントリの特定、旧プロバイダの説得、主要ネットワークでのソース順位テスト、手動例外の模索に数週間を費やさなければならないなら、そのブロックの即時の生産価値は低くなる。市場において、遅延は代償である。

その負担は不平等に降りかかる。スペースを購入またはリースする大規模クラウドプロバイダは、ルーティングデューディリジェンスのためのチームを維持できる。小規模なアクセスネットワークはできない。多国籍キャリアは、ピアにソースコンフリクトの調査を促せる。地域ホスティング企業はサポートキューで待つかもしれない。有名なコンテンツネットワークは例外の電話を受けるかもしれない。新規参入者は、詳細なしに「IRR」を修正するよう言われるかもしれない。このように、同じデータ不整合が既存の規模の優位性を強化する。

これが、断片化された IRR 証拠が既存事業者に隠れた力を与え得る理由の一つである。広範なプライベートフィルタ、古い顧客セット、確立されたサポートチャネルを持つ既存事業者は、公に表明することなく受入を形成できる。既知の顧客には素早く経路を受け入れ、不透明なソースルールを通じて他を遅らせることができる。小規模顧客が依存するプロバイダ管理エントリを保持できる。自らを証明迷路を通る最も容易な経路にすることができる。これらに陰謀は必要ない。それは、公共証拠が残したギャップをプライベートシステムが埋めることの予測可能な結果である。

政策上の罠は、RIPE NCC に市場全体の指揮を執るよう要求することである。それは誤った教訓となるだろう。価格統制やルーティング許可権限を持つレジストリは、買収、訴訟、政治的圧力のはるかに大きな標的となるだろう。それはまた、商業ルーティングを裁量的な行政判断に依存させることになる。より良い答えは、プライベートな曖昧さの価値を減らすことである。すなわち、より明確なソースラベル、より良い来歴、可視的な鮮度、コンフリクトレポート、低コストの保有者向けツール、拒否理由に関する公的な期待である。

制度論的に言えば、RIPE NCC は信じられることのコストを引き下げる手助けをすべきである。商業的な意味で誰がルーティングに値するかを決定すべきではない。すべての取引を監督すべきではない。クラウドオンボーディングや買収タイミングの最終裁定者になるべきではない。レジストリ隣接の証拠を十分に信頼できるものにし、プライベートネットワークがあらゆる不整合を法廷のように扱うことなくリスク判断を行えるようにすべきである。

プライベートフィルタは偽装された市場ルールである

すべての大規模ネットワークはローカルポリシーを持つ。それは正常である。BGP は分散化されており、各ネットワークは自らの顧客、ピア、評判を保護しなければならない。ルートサーバはあるソースリストを使うかもしれない。トランジットプロバイダは別のものを使うかもしれない。クラウドプラットフォームはレジストリデータ、ROA、不正使用履歴、顧客ドキュメントを組み合わせるかもしれない。マネージドセキュリティプロバイダは、顧客のプレフィックスをオリジン化する前に特定の委任証拠を要求するかもしれない。これらのルールは公法ではない。しかしそれらは、アドレスブロックが実際に使用できるかどうかを決めるため、しばしば市場ルールとして機能する。

問題はプライベートフィルタリング自体ではない。プライベートフィルタリングは必要なリスク制御である。問題は、公開および半公開のルーティング証拠を消費しながら、保有者が欠陥を修正できるよう十分に開示しないプライベートフィルタリングである。上流がローカルコピーがまだ古いプレフィックス-オリジンレコードを含むために経路を拒否するなら、保有者はそれを知る必要がある。AS-Set が誤ったソースを通じて展開されるためにルートサーバが失敗するなら、メンバーは展開パスを必要とする。プライベートデータセットが RIPE や RPKI の証拠と矛盾するためにクラウドプラットフォームが一時停止するなら、顧客はプライベートデータセットが権威的か、古いか、単に保守的かを知る必要がある。

不透明なプライベートフィルタは、内部者経済を生む。主要キャリアの習慣を知るネットワークは準備できる。エンジニアリングの深みを持つブローカーはポートフォリオを事前に整理できる。大口顧客はエスカレーションできる。小規模顧客は待つ。その結果は単なる不公平ではない。それは希少なアドレスの非効率的な割り当てである。ブロックは、証明の儀式を管理できるアクターに流れ、それらを最も生産的に使用できるアクターに必ずしも流れない。アドレス市場は、接続性の必要性と同じくらい、管理の洗練度に報いる。

コンプライアンスの側面もある。RIPE NCC サービス地域は、異なる法制度、制裁、企業、通信環境を持つ国々にまたがる。プライベートネットワークは、IRR データだけとはほとんど関係のない理由で保守的な制御を課すかもしれない。それは彼らの権利である。しかし、コンプライアンス上の一時停止が IRR 問題として表現されるとき、保有者は誤った治療を追いかけるかもしれない。ルーティング証拠と他のリスク審査との区別は可視に保たれるべきである。さもなければ、IRR の脆弱性は経路受入に対するあらゆる私的な抵抗のラベルとなる。

M&A はこの問題を鋭く露呈させる。企業法務は株式や資産を移転できる。レジストリスタッフはレコードを更新できる。エンジニアは現在のプレフィックス-オリジンレコードを作成できる。しかし古いフィルタファイルは上流、クラウドプラットフォーム、セキュリティベンダー内に残存し得る。切り替え中、各プライベートシステムは、いずれも正式な権威を主張しないにもかかわらず、実質的に拒否権ポイントとなる。取得者はアドレス依存収益に対して支払い済みかもしれないが、自らが制御しないネットワークに散らばった証明負担を受け取る。

効率的な市場の対応は標準証拠パックである。重要な移行や買収において、パックは現在の RIPE 側資源証拠、現在のルーティングレジストリレコード、ソース付きの AS-Set 展開レポート、既知の外部 IRR エントリ、既知のプライベートフィルタ依存関係、ROA ステータス、観測された BGP 履歴、計画された切り替えウィンドウ、ソースルールが重要なカウンターパーティのリストを含むべきである。パックは事実と許可を分離すべきである。それは RIPE レコードが何を示すか、RPKI が何を許可するか、サードパーティソースが依然として何を示すか、どのプライベートな受入が未解決かを示すべきである。

この種のパックは、それ自体のための官僚主義ではない。それは不確実性を価格付けされた作業に変える方法である。売り手は既知の古いエントリを開示できる。買い手はクリーンアップ契約やエスクローを交渉できる。貸し手は曖昧さが限定的か構造的かを見ることができる。クラウドプロバイダは、必要な証拠をポリシーにマッピングできる。ルートサーバはメンテナンスウィンドウの前にテストできる。アドレスブロックは、その証拠リスクが名付けられるため、より流動的になる。

RIPE NCC は、取引監督者になることなく、その実践を支援できる。ソースカテゴリに関するガイダンスを公開し、RIPE Database ルーティングレコードと RPKI がどのように関連するかを説明し、AS-Set ソース修飾の例を提供し、保有者向けビューを解釈しやすくすることができる。より良いプライベートな拒否メッセージを強制するのではなく奨励できる。市場がその周りにデューディリジェンスを構築する一方で、台帳およびサービス層に留まることができる。

RPKI は階層を改善するが、IRR に取って代わらない

RPKI は、暗号的な裏付けを持って正確な質問に答えるため、ルーティング証拠スタックにおける最も強力な改善である。RIPE NCC は、RPKI を、資源保有者が自らのインターネット番号資源をリストした証明書を取得し、BGP オリジン検証をサポートするフレームワークと説明する。ROA により保有者は、指定された範囲内で ASN がプレフィックスをオリジン化することを許可できる。バリデータがアナウンスを valid、invalid、not found に分類すると、そのシグナルはルーズなサードパーティ IRR レコードよりも明確である。

その明確さが重要である。現在のレジストリ証拠と整合する現在の ROA は、古いプレフィックス-オリジンの主張の力を低下させ得る。買い手は新しいオリジンが認証されていることを示せる。ルートサーバは invalid なアナウンスを落とせる。クラウドプラットフォームは RPKI をより強力なオリジンチェックとして使える。RPKI のより広範な展開は、古い IRR レコードが経路オリジン権威として偽装できる余地を減らす。それは証拠の下限を引き上げる。

しかし RPKI は同じ一連の質問に答えないため、IRR に取って代わらない。ROA はオリジンを認証する。それはカスタマーコーン、トランジット関係、AS-Set、プライベートルートサーバメンバーシップ、管理サービス委任、リセラーチェーン、プロバイダのフィルタソース優先傾向を記述しない。顧客フィルタを構築するネットワークは、しばしばオリジン有効性以上のものを必要とする。それは、どの ASN が顧客の背後にあるか、どのプレフィックスが期待されるか、顧客のルーティングポリシーが公開されたものと一致しているか知りたい。IRR データは、その作業の多くにとっての言語であり続ける。

二つのシステムは変化の際にも相互作用する。移行では、新しい ROA、更新された RIPE ルーティングレコード、サードパーティ IRR エントリのクリーンアップ、AS-Set 編集、新旧オリジン間の一時的な重複が必要になり得る。ROA が正しいが AS-Set が古いなら、フィルタは依然として拒否し得る。AS-Set が正しいが ROA が経路を invalid とマークすれば、オリジン検証が拒否し得る。両方が正しいがプライベートミラーが古いなら、オンボーディングは依然として停止し得る。堅牢な切り替えは、RPKI と IRR を代替物としてではなく、補完的な証拠として扱う。

シーケンシングリスクもある。オペレータは時に最も容易なシグナルを最初に更新し、残りが追随すると想定する。ROA の作成は、古い IRR エントリをすべて見つけるより容易かもしれない。RIPE ルーティングレコードの編集は、プロバイダ管理の AS-Set を変更するより容易かもしれない。AS-Set の更新は、プライベートフィルタファイルを変更するより容易かもしれない。各部分的な修正は、証拠が混在する期間を生み出し得る。その窓の間、異なるカウンターパーティは、異なるソースの組み合わせに依存するため、異なる真実を見ることになる。

最良の階層は明示的である。レジストリ認識と RIPE 側レコードは、台帳隣接状態と RIPE Database ルール下でのルーティング公開を示す。RPKI は暗号的なオリジン認証を示す。AS-Set エントリは、ソースと再帰の制限に従うポリシーグループ化とカスタマーコーン意図を示す。他の IRR は追加のルーティング主張を示し、時に有用で時に古い。プライベートフィルタは、ローカルなリスク受入を示す。観測された BGP は、何がアナウンスされているかを示し、何が受け入れられるべきかを示さない。成熟した市場はこれらの層を分離し、意識的にそれらを調整する。

RIPE NCC は、RPKI を IRR に対する PR 上の勝利としてではなく、より広範な証拠ファイル内のより強力なシグナルとして提示することで支援できる。RPKI の制度的美点は精密さである。それはルーティングレジストリ衛生を怠る口実になるべきではない。また、IRR データが説明なしに明確な RPKI オリジンシグナルを薄めるために使われるべきではない。RIPE 側証拠、ROA 体制、観測されたルーティングが整合している場合、古い非権威的な IRR 残滓はクリーンアップ問題として扱われるべきであり、同等の拒否権としてではない。

このアプローチはまた、レジストリを権限拡大から守る。暗号的なオリジンシステムは、RIPE NCC をルーティング警察に変えるものではない。それは証明の一層を改善する。レジストリの仕事は、台帳と関連証拠を信頼でき、狭く、判読可能に保つことである。各層がより精密であるほど、単一の機関やプライベートフィルタが全権威を主張しようとする誘惑は小さくなる。

小規模ネットワークは逆進的な証明税を払う

IRR の脆弱性は固定的なコストを課す。ソースセマンティクスの習得、AS-Set エントリの維持、ミラーのチェック、ROA の調整、古いサードパーティレコードのクリーンアップ、不透明なサポートチケットへの回答は、ネットワークが多国籍キャリアであれ小規模地域プロバイダであれ、時間を要する。収益基盤は同じではない。大規模プラットフォームは、その作業を何千ものプレフィックスと顧客に償却できる。小規模 ISP は、ほんの一握りのブロックのためにほぼ同じ証明作業を行うかもしれない。それは逆進的な証明税である。

RIPE NCC サービス地域には、欧州の大手キャリアやクラウド企業だけでなく、小規模アクセスネットワーク、地元ホスティング企業、大学、自治体ネットワーク、エンタープライズ保有者、中東の事業者、中央アジアのプロバイダ、専門インフラ企業も含まれる。多くは一部のレジストリやルーティング作業をスポンサーLIR、請負業者、または上流に依存している。プロバイダから古いエントリを受け継いだものもある。完全な AS-Set 履歴を受け取らずにネットワークを取得したものもある。レガシースペースを使うものもある。自らが満たさなければならないフィルタを持つ国際キャリアに対して限定的な影響力しか持たないものもある。

これらのネットワークにとって、古い外部 IRR エントリは抽象的な不整合ではない。それはトランジットのアクティベーションを遅らせ、ルートサーバの受入を妨げ、クラウド移行を複雑にし、すでにレコードを知っているより高価なプロバイダへの依存を強いる可能性がある。顧客のローンチが経路に依存している場合、小規模ネットワークはサービス提供保証や風評被害を被るかもしれない。貸し手がネットワーク資産について尋ねるとき、オペレータはクリーンな証拠ファイルを持っていないかもしれない。買い手が未解決のルーティング証拠を見ると、売り手はより低い価格を受け取る。

その固定的なコストは、言語と専門知識の障壁によって悪化する。ルーティングレジストリの構文は通常のビジネス言語ではない。AS-Set の再帰は財務チームにとって自明ではない。RPKI の検証状態は多くの弁護士にとって馴染みがない。ソース優先順位はしばしば隠れている。小規模オペレータは、自身がブロックを所有しているか合法的に使用していることを知っているが、その主張を他国のフィルタ生成システムに判読可能にする方法を知らないかもしれない。市場はそのとき、管理上の流暢さを運用上の正当性と誤解する。

ここでレジストリサービス層が最も重要になる。RIPE NCC はあらゆるネットワークのエンジニアリング部門を助成すべきではないが、証明の固定的なコストを引き下げることができる。保有者ビューは、関連する RIPE 側ルーティングレコードを示せる。ガイダンスは AS-Set エントリと ROA がどのように相互作用するかを説明できる。例は、ソース修飾名がどのように曖昧さを減らすかを示せる。移転資料は、外部 IRR のクリーンアップがレジストリ認識とは別であることを警告できる。公開ツールは、現在の RIPE 証拠が一般的な外部ソースと矛盾する時期を特定するのに役立つ。目的は、小規模ネットワークをすべての責任から守ることではない。それは、日常的な証拠作業が市場参入障壁になるのを防ぐことである。

IRR 由来のフィルタリングの恩恵を望むなら、プライベートネットワークにも義務がある。ルートサーバはソースポリシーを公開し、実行可能な拒否メッセージを提供できる。トランジットプロバイダは、顧客ポータルで展開パスを公開できる。クラウドプラットフォームは、古い非権威的な残滓と現在の RIPE および RPKI 証拠を区別できる。ブローカーは、ルーティングレジストリのデューディリジェンスを移転パッケージに含めることができ、それをクロージング後の驚きとして扱わない。各義務は控えめである。それらが合わさって証明税を減らす。

代替シナリオは、隠された専門知識が資本となる市場である。プライベートフィルタを理解する企業は、アドレスブロックをより安く取得し、より速くクリーンアップし、プレミアムで転売する。支配的キャリアは、代わりにレジストリ機構を維持することで顧客を依存状態に保つ。小規模ネットワークは、クリーンアップが予測不可能に感じられるため移転を避ける。アドレス希少性は、最も高い生産的利用を持つ者ではなく、証拠インフラに最も近い者に報いる。それは競争にとってもインターネットのレジリエンスにとっても悪い結果である。

クリーンアップの説明責任は制御に従うべきである

最も困難な IRR 紛争は、しばしば単純な質問から始まる。誰が古いレコードを修正できるのか?現在の保有者は RIPE 側エントリを制御しているかもしれないが、サードパーティの IRR は制御していない。古い上流はプロバイダ管理エントリを制御しているかもしれないが、現在の商業的なインセンティブがない。ミラーオペレータは複製するだけかもしれない。受入側ネットワークは消費するだけかもしれない。買い手は経路が受け入れられる必要があるが、古い証拠のいずれも制御していない。説明責任は分散している。

クリーンアップは制御に従うべきである。保有者は自らが制御するレコードを維持し、ROA を最新に保ち、取引中に既知の外部依存関係を開示すべきである。顧客のためにレコードを作成したプロバイダは、文書化された移行が一時的な重複を必要としない限り、関係が終了したときにそれらを削除または移転すべきである。ミラーオペレータはソースと鮮度メタデータを保持すべきである。ルートサーバ事業者は拒否のソースを特定すべきである。プライベートフィルタ事業者は、もはや現在のポリシーを反映しないローカル例外を廃止すべきである。レジストリは自らのソースと修正経路を信頼できるものにすべきである。

この分担は明白に聞こえるが、それが文書化されていないと市場は失敗する。旧プロバイダは古いエントリを無害と扱うかもしれない。新しいカウンターパーティがそれらを消費するなら、それらは無害ではない。買い手は、レジストリ移転がルーティング受入を完了すると思い込むかもしれない。それはしない。ルートサーバは、メンバーがソースルールを理解していると思い込むかもしれない。しばしば彼らは理解していない。ミラーは、下流ユーザが制限を推測すると思い込むかもしれない。多くのツールはコンテキストを剥奪する。各思い込みは、コストを期限に追われる当事者に転嫁する。

契約は助けになる。IPv4 移転および買収契約は、運用上の継続性が重要である場合、ルーティング証拠スケジュールを含むべきである。売り手は、既知の IRR エントリ、AS-Set メンバーシップ、プロバイダ管理レコード、ROA ステータス、主要なフィルタ依存関係を開示すべきである。買い手は意図するオリジンと受入マイルストーンを指定すべきである。エスクローは、指定されたカウンターパーティにおけるレジストリ認識と運用準備状況とを区別できる。プロバイダは、サービス終了後に顧客レコードを削除することを約束できる。これらはいずれも、レジストリにおいて誰が資源を保持するかを変えない。それは誰がどの証拠をクリーンしなければならないかを明確にする。

レジストリはこの市場規律を強制するのではなく、支援できる。RIPE NCC は法的助言ではなく、チェックリスト文言を提供できる。RIPE Database ソースがすべてのミラーやプライベートソースと同じではないことを説明できる。歴史的および現在の RIPE 側データを比較しやすくできる。あらゆるクリーンアップを公共の紛争に変えることなく監査を支援する十分なレコード履歴を公開できる。強制的な管理ツールを狭く手続き的に保つことができる。自らの制御の外にある古いエントリの第一の頼みの綱として行動することを避けるべきである。

クリーンアップには時間の次元も必要である。一部の古い証拠は移行中に正当である。売り手は、顧客が移動する間、古いオリジンを生かし続ける必要があるかもしれない。DDoS プロバイダは一時的なオリジン認証を必要とするかもしれない。クラウドプラットフォームは、最終切り替え前にアナウンスを段階的に行うかもしれない。問題は重複ではなく、無期限の重複である。移行のために存在するレコードや AS-Set メンバーシップは、所有者、日付、廃止基準を持つべきである。さもなければ、一時的な証拠が永続的な曖昧さとなる。

市場は標準的なクリーンアップ語彙から恩恵を受けるだろう。「現在の RIPE ソース整合済み」「外部 IRR 残滓既知」「プロバイダ管理 AS-Set 削除保留中」「ミラー遅延疑い」「プライベートフィルタ例外確認済み」「ROA 移行ウィンドウアクティブ」。このようなラベルは華やかではないが、断片化した証拠市場が管理可能になる方法である。それらは漠然としたルーティング問題を一連のタスクに変える。

制御に従う説明責任は、私的な影響力も制限する。旧プロバイダは、古いデータを放置することで無期限に市場ディスカウントを課すことができるべきではない。買い手は、売り手が決して制御しなかったレコードの修正を、その負担を明示的に価格付けせずに要求すべきではない。ルートサーバは、ソースを特定できるのに黙って拒否すべきではない。レジストリはすべての古いプライベートコピーについて責められるべきではない。各アクターの義務はその制御と一致すべきである。

RIPE NCC が範囲を守りながらできること

RIPE NCC の建設的な道は狭いが重要である。インターネットがどの商業経路を受け入れなければならないかを決定すべきではない。IPv4 資産の価格を設定したり、リース契約を監督したり、すべてのクラウドオンボーディング事例を取り締まったり、すべての古いサードパーティレコードを裁定したりすべきではない。その権威は、信頼できる台帳および証拠サービス層として機能するときに最も強力である。IRR の脆弱性は、まさにその種の機関を必要とする。退屈で、手続き的で、判読可能で、裁量的拡大に抵抗する機関である。

第一に、RIPE NCC はソースの明確さを改善できる。RIPE、RIPE-NONAUTH、ミラーデータ、その他のソースカテゴリは、人間とツールが保持できる方法で区別されたままでいるべきである。データがミラー、エクスポート、または保有者向けビューに移動するとき、ソースラベルが失われるべきではない。あるレコードがある資源にとって非権威的であるなら、その事実は可視であるべきである。レコードがミラーされているなら、そのコピーが元の主張のように見えるべきではない。エントリが古いなら、鮮度は簡単に検査できるべきである。これはポリシードラマではなく、市場の配管である。

第二に、コンフリクトの可視性を改善できる。保有者は、RIPE 側ルーティング証拠が一般的な外部 IRR シグナルと矛盾するときや、現在のプレフィックス-オリジンレコードが古いソースパスによって否定される可能性が高いときを見られるべきである。RIPE NCC は有用な警告を提供するためにすべての外部データベースを認証する必要はない。「あなたの RIPE 証拠がフィルタが読む唯一の証拠ではないかもしれない」と言う限定的なビューでさえ、移転デューディリジェンスとオンボーディングを改善するだろう。

第三に、AS-Set ガイダンスを強化できる。オペレータは、ソース修飾されたセット使用、再帰的展開リスク、間接メンバーシップ、重複名、移行クリーンアップの平易な例を必要とする。ガイダンスは道徳的というより運用的であるべきである。AS-Set エントリは悪くない。ソース間再帰が自動的に間違っているわけではない。危険はラベルなしの依存である。RIPE NCC は、あらゆるフィルタポリシーを規定することなく、AS-Set パスを調査可能にする方法を市場に教えることができる。

第四に、RPKI と IRR のガイダンスを概念的に融合させることなく結びつけることができる。クリーンな証拠ファイルは、現在のレジストリステータス、関連する RIPE ルーティングレコード、AS-Set 体制、ROA ステータス、既知の外部残滓を示すべきである。オペレータは RPKI が何を証明し、何を証明しないかを知るべきである。保有者は、有効な ROA が古い AS-Set 展開を治癒しないかもしれないことを知るべきである。フィルタビルダーは、現在の RIPE と RPKI シグナルが整合しているとき、特定の理由がない限り、古い IRR 証拠を同等の拒否権として扱うべきではないことを知るべきである。

第五に、クリーンアップツールを手続き的で狭範に保つことができる。RIPE 側レコードが古いか、もはや現在の権威を代表しないメンテナによって管理されている場合、修正経路は明確で、監査可能で、比例的であるべきである。レジストリは、日常的なクリーンアップを訴訟に変えることなく、悪用を防ぐべきである。信頼を支えるのに十分なプロセスを記録し公開すべきであり、すべての経路を公開裁判にするほどではない。

第六に、RIPE NCC は命令することなく招集できる。ルートサーバ、トランジットプロバイダ、クラウドプラットフォーム、主要なフィルタツールメンテナに対し、ソースハンドリングプラクティスを公開するよう奨励できる。実行可能な拒否理由を求めるベストプラクティス文書を支援できる。移転と買収のための証拠パックを常態化する手助けができる。招集は、問題が多くのプライベートシステムにまたがるため有用である。命令は危険であろう、なぜならルーティング自律性はインターネットアーキテクチャの一部だからである。

最終的な試金石は、RIPE NCC が証明コストを下げるかどうかである。保有者は現在の権威をより示しやすくなるべきである。買い手は残滓をより特定しやすくなるべきである。ルートサーバは拒否をより説明しやすくなるべきである。小規模ネットワークは日常的なエラーをより修正しやすくなるべきである。クラウドプラットフォームは、古いルーティングレジストリ証拠と現在の認証をより区別しやすくなるべきである。これらのコストが下がれば、市場はレジストリに新たな門を与えることなく、より流動的になる。

信頼できる台帳と限定された証拠サービス

IRR データベースの脆弱性は、しばしば技術用語で表現される。ソース、RPSL、AS-Set 展開、ミラー、オリジン ASN、フィルタ、ROA。その技術用語は必要だが、根底にある問題は制度的である。希少な番号資源は、低コストで信じられる方法を必要とする。ルーティングレジストリレコードは、ルーティングポリシーを判読可能にするために作られた。断片化した環境では、それらは代わりに、どの機関、ソース、コピー、プライベートファイルが重要かをすべてのカウンターパーティに決定させることを強いる可能性がある。

RIPE NCC の立場は微妙である。なぜならそれは台帳とルーティング証拠の近くに位置するが、インターネットの経路受入権限ではないからである。あまりに受動的であれば、古いプライベートソースや不透明なフィルタが、そのサービス地域の資源に対する実質的な権力を配分し得る。あまりに断定的であれば、それは市場アクセス権限となり、レジストリを制御することの政治的価値を高める。正しい姿勢は台帳規律である。すなわち、権威的状態を明確にし、ソース同一性を保持し、鮮度を改善し、コンフリクトを露出し、クリーンアップを支援し、制度的目的を狭く保つことである。

市場は依然として多元的だろう。プライベートネットワークは依然としてフィルタを選択するだろう。クラウドプラットフォームには依然としてリスクルールがあるだろう。IXP は依然としてメンバーを保護するだろう。サードパーティ IRR は依然として存在するだろう。ミラーは依然として使われるだろう。RPKI はあらゆるポリシーの質問に答えることなく成長し続けるだろう。その多元性は失敗ではない。それは、コストが隠され、最も弱いカウンターパーティがデフォルトで支払う場合にのみ失敗となる。

古い AS-Set で停滞する次のアドレス取引は、理論によって解決されないだろう。それは、どのソースが古いパスを生成したか、誰がそれを制御しているか、RIPE 側証拠と ROA が整合しているか、どのプライベートフィルタが残滓を消費したか、どのクリーンアップタスクが残っているかを知ることで解決されるだろう。それが機能する証拠市場の姿である。完全な確実性ではなく、追跡可能な責任である。

RIPE NCC は、その追跡可能性をより容易にするかどうかで判断されるべきである。レジストリは、狭い証拠作業を経路受入管理、価格規制、または広範な商業裁定に変えるべきではない。それは、そのレコードが市場が日常的な信頼の問いをドラマなしに解決するのを助ける、信頼できる台帳およびサービス層であるべきである。IRR 脆弱性の経済学において、その控えめな野心は小さくない。それは流動性の条件である。