概要

  • 移管には少なくとも三つの時計が存在する:商業契約、レジストリ上の保有者変更、各依拠当事者が見る RPKI 状態。一つの時計だけで成功を宣言しても、受取人の経路が無効になったり、移転者の旧起点 AS が暗号的に認可されたままになったりする可能性がある。
  • ROA は、指定されたプレフィックスと最大長について起点 AS を認可する。それは移管手段でも、運用制御の完全な表明でもない。しかし経路起点検証は、その存続や消失を到達可能性に対して直ちに重大なものにする。
  • RFC 6480は2012年に正しい方向を示した:メイク・ビフォア・ブレーク。古い ROA を失効させる前に、到達可能であり続けるべき経路をカバーする別の有効な ROA が存在し、意図された起点が実際にそれをアナウンスしているべきである。
  • 協力的な移管では、移転者は受取人の意図する起点 AS のために一時的なブリッジ認可を作成できる。なぜなら認可される AS 番号は署名する保有者に属する必要がないからだ。受取人はその後、そのブリッジが廃止される前に、自身の新しい証明書の下で同等の ROA を作成しなければならない。
  • 安全なハンドオーバーには、正確な資源、意図する起点、最大長、新旧の認証パス、有効化ポイント、必要な観測、中止権限を含むロックされたイベント記録が必要だ。登録完了、公開、失効は、グローバルキャッシュが同時に更新できないとしても、当事者の観点から不可分であるべきだ。
  • オーバーラップは、それが明示的で、狭く、期限付きである場合にのみ有用だ。移管後に明示されたブリッジ目的なしに残る古い認可は残余権力を生む。古い失効と新しい検証の間のギャップは、各依拠当事者がフェッチしたものに応じて、経路を Valid から Invalid または NotFound に変えうる。
  • 複数のバリデータと観測点は、肯定的な事実と否定的な事実の両方を確認すべきだ:新しいペイロードが期待されるトラストアンカーを通じて可視であり、古いペイロードがもはや有効でなく、ライブの BGP 起点が認可状態と一致し、予期しないカバーリング認可が結果を変えないこと。
  • 番号資源社会は、プロバイダー間でポータブルなハンドオーバー受領証、最小限の証拠、独立した観測、説明責任ルールを定義することで積極的に貢献できる。一つの普遍的な待機期間があらゆる移管を安全にすると主張すべきではない。リポジトリのタイミング、ホスト型か委任型かの運用、地域間調整はそれぞれ異なる。

移管は制度間の時計の狭間で失敗する

説明するのが最も容易な移管は瞬間的である。一つの組織がプレフィックスを保持するのをやめ、別の組織が認識された保有者になり、正しい起点 AS がルーティングに現れる。実際の出来事は、時計を共有しない制度やマシンに分散している。契約は深夜に発効するかもしれない。レジストリ担当者は後で保有者変更を承認するかもしれない。認証局は、別の公開アクションで新しい資源証明書を発行し、古いものを失効させるかもしれない。依拠当事者は自身のスケジュールでこれらのオブジェクトをフェッチする。ルーターはローカルキャッシュから検証済みペイロードを受け取り、ローカルポリシーを適用する。

その流れは二つの相反する危険を生む。ブレーク・ビフォア・メイクは、意図された経路の代替が有効かつ可視になる前に、移転者の認可が撤回される場合に起こる。別の起点をカバーする認可がまだ存在するなら、新しいアナウンスは Invalid になるかもしれない。カバーする検証済みペイロードが一つも残っていなければ、経路は代わりに NotFound になるかもしれない。オペレーターはこれらの状態を異なって扱うため、同じ遷移が一つのネットワークでは到達可能性を維持し、別のネットワークでは失う可能性がある。

メイク・ウィズアウト・ブレークはその鏡像である。受取人が証明書を受け取り新しい認可を公開するが、移転者の古い認可がハンドオーバーが必要とするより長く有効であり続ける。すると両方の起点 AS が起点検証を通過する経路を生成しうる。RPKI は、商業取引が完了したというだけで、別々に認可された二つの起点の間で選択を行うわけではない。古いパスは、あるキャッシュから消えた後も他のキャッシュで存続し、レジストリが宣言した有効時刻を超えて不一致を長引かせるかもしれない。

したがって、統治上の問いは、移管フォームが承認されたかどうかではない。権限が、説明できないギャップも説明できない残留物もなく、管理された順序で移動したかどうかである。保有者の身元を記録するレジストリと、暗号上の権限を変更する認証局は、一つの重大な出来事に参加している。それらの制御はそれに応じて設計されるべきである。

ROA は移管よりも少ないことを証明し、脚注よりも重要な意味を持つ

Route Origin Authorisation は、ある自律システムが、任意の最大長の値に従い、一つ以上のプレフィックスについて経路を起点することを認可されているという署名付きの表明である。その有効性は、署名付きオブジェクト、そのエンドエンティティ証明書、発行者の証明書チェーン、マニフェスト、失効情報、そして依拠当事者が受け入れるトラストアンカーに依存する。現在のプロファイルは RFC 9582に定められており、2012年に確立された RPKI アーキテクチャに基づいている。

この表明は意図的に狭い。それはプレフィックスを譲渡したり、支払いを決済したり、すべての受益権を特定したり、指名された AS が現在経路をアナウンスしていることを証明したりしない。売り手は、起点 AS 番号が署名する保有者の資源証明書に含まれている必要がないため、移管前に買い手やプロバイダーの AS 番号を認可することができる。逆に、買い手がプレフィックスを保持していても、認可された起点としてサードパーティのネットワークを使うかもしれない。

狭いからといって、このオブジェクトが周辺的になるわけではない。経路起点検証は、有効な ROA ペイロードをルーティングポリシーへの入力に変える。Invalid な経路を拒否するネットワークは、関連する認可が変わったときにアナウンスの受け入れを止める可能性がある。陳腐化した認可は、許可を失っているはずの起点が Valid 分類を保持することを許しうる。このオブジェクトは権原ではないが、保有者を認識する機関から派生した、運用上強力な表明である。

この区別は移管市場の両側を律するべきである。買い手は、登録を受け取ることが自動的にすべてのルーティング認可を維持すると思い込むべきではない。売り手は、売買契約が自動的に古い署名付きオブジェクトをどこでも消し去ると思い込むべきではない。レジストリは、証明書の自動更新を継続性の全体として説明すべきではない。バリデータは取引の正当性を推論すべきではなく、受け取った認証パスとペイロードを評価できるだけである。

ハンドオーバーは、狭い暗号上の主張を、より広範な出来事に、互いになりすましを求めることなく結びつけなければならない。移管証書は保有者変更の権限を供給する。登録行為は誰が資源認証を制御できるかを変える。ROA は意図された経路を認可する。安全な取引は、これらの関連する行為が正しい順序で起こったことを証明する。

Valid、Invalid、NotFound は移行の結果であり、道徳的判決ではない

起点検証は BGP アナウンスを検証済みペイロードと比較する。ペイロードがアナウンスされたプレフィックスをカバーし、その長さを許可し、観測された起点 AS を指名している場合、経路は Valid である。関連するカバーペイロードが存在するが、その組み合わせを認可するものがない場合、経路は Invalid である。アナウンスをカバーする検証済みペイロードが存在しない場合、経路は NotFound である。これらのカテゴリーは比較を表すものであり、所有権、詐欺、またはビジネス上の価値についての判断ではない。

移管中、この区別は診断ツールとなる。古い ROA が AS-A を認可し、受取人が AS-B から起点することを意図しているとする。バリデータがまだ AS-A ペイロードのみを保持している間に AS-B が開始した場合、その経路は Invalid である。古いペイロードが消え、AS-B ペイロードが到着していなければ、経路は NotFound である。両方のペイロードが存在すれば、両方の起点が Valid になりうる。受取人が共通の通過アレンジメントを通じて AS-A を使い続ける場合、保有者の権限が変わっていても経路は Valid であり続けうるが、運用継続性は推測ではなく明示されるべきである。

単一の観測でグローバルな状態が証明されるわけではない。ある依拠当事者は新しい RRDP デルタをフェッチしたかもしれない。別の依拠当事者はリポジトリ障害の後、以前の有効キャッシュを使っているかもしれない。第三の依拠当事者は異なるトランスポートでデータを取得するか、マニフェストチェック後に公開ポイントを拒否するかもしれない。ソフトウェアも、ローカルポリシーに委ねられた範囲内で、例外的なリポジトリ条件をどう扱うかが異なりうる。したがって、移管は一時的に結果のモザイクを生み出すことがある。

正しい対応は普遍的な同時性を約束することではない。許容可能な遷移状態を定義し、それを測定することである。AS-A と AS-B の両方が有効である計画的なオーバーラップは、短期間で宣言されたブリッジであれば許容されうる。移転者の権限が終了すべき後に説明のないオーバーラップは許容されない。短い NotFound 間隔は、Invalid 経路のみを拒否するネットワークでは到達可能性を維持するかもしれないが、それでも認可継続性の失敗である。Invalid 間隔はより深刻であり、特にフィルタリングが施行されている場合は深刻である。

ガバナンスは、それらの状態を正確に名付けることから始まる。そして、各状態を防止し、観測し、クローズする責任を割り当てる。

2012年のアーキテクチャは既に統治の動詞を提供していた:メイク・ビフォア・ブレーク

RFC 6480は ROA の失効を単なる事務的な削除として扱っていない。失効によって依拠当事者が関連するアドバタイズメントを認可されていないと見なし、転送動作を変更する可能性があると警告している。それゆえ、資源保有者にメイク・ビフォア・ブレークに従うよう求めている:プレフィックスに対して別の有効な ROA が存在することを確認し、代替として指名された AS が実際に意図されたアドバタイズメントを起点していることを確認し、依拠当事者が失効に基づいて行動する前に新しいオブジェクトをフェッチするよう要求する。

この順序は依然として健全な出発点である。その重要性は、ユーザーが移管や証明書の制御をクリックし、サービスが複数のオブジェクトを更新する現代のインターフェースでは不明瞭になりやすい。自動化は原則を実行できるが、それを撤回するものではない。「完了」とマークされた Web コントロールの存在は、独立したバリデータがいつ代替と失効を観測したかについてはほとんど何も語らない。

メイク・ビフォア・ブレークは、単に古い ROA を任意の猶予期間だけオンラインに残すよりもはるかに精密である。メイクされるべきものは、実際にアナウンスされる経路に対応する有効な代替である。間違った起点 AS 番号、過度に狭いプレフィックス、不適切な最大長、または無効な認証パスを持つ代替は条件を満たさない。生成されたが整合的に公開されていない正しいオブジェクトも同様である。

ブレークされるべきものは、単なるファイル名ではなく、以前の権限である。標準的な失効は、エンドエンティティ証明書、現在の失効情報、陳腐化したオブジェクトの削除を伴う。資源自体が古い資源証明書から移動する場合、古いチェーンはもはやその権限を検証してはならない。マニフェストは現在の公開ポイントを正確に記述する必要がある。結果として生じる状態は、発行サービスの内部でのみ可視なのではなく、依拠当事者によって消費可能でなければならない。

したがって、このフレーズは制度的なルールとして読まれるべきである:使用可能な後継権限を確立し、それを独立して観測し、次に前任の権限を消滅させ、その消滅を観測する。移管は両半分が証拠化されるまで未了である。

登録変更と経路変更は関連するイベントであり、同一のイベントではない

移管は同じ起点 AS を維持することができる。企業がアドレスブロックを購入しても、一時的に売り手のネットワークを使い続けるかもしれない。グループ再編は、運用ネットワークが一定のまま、登録された組織が変わるかもしれない。仲介販売では、新しい保有者が要求されるが、受取人が独自の AS 番号を持つ前に、確立された通過プロバイダーを使うかもしれない。いずれの場合も、経路が変わらない一方で登録は変更される。

逆も起こりうる。法的移管が有効になる前に、意図された経路が AS-A から AS-B に移動し、既存の保有者が移行期間のために AS-B を認可する場合がある。それは運用上の委任であり、資源が既に移管されたという証明ではない。起点変更を保有者変更として扱うことは、ROA が述べていることを誤読することになる。

したがって、安全なハンドオーバーには二つの連携した計画が必要である。登録計画は、移転者、受取人、正確な資源、適用されるポリシー、証拠、有効条件、変更を承認または抑制する権限を特定する。ルーティング権限計画は、各意図されたプレフィックスと最大長、前後の起点、プロバイダー関係、作成されるべきオブジェクト、古い権限が終了すべき時点を特定する。経路変更が意図されていない場合、計画はその旨を述べ、新しい保有者の証明書の下で既存の起点の継続性をテストする。

連携が重要なのは、一方の計画が他方の前提を無効にしうるからである。レジストリの組織オブジェクトが変更されると、証明書が自動的に変わる可能性がある。RIPE NCC の文書は、移動または移管された資源は証明書を変更し、基礎となる ROA を削除し、それらを再作成する必要があると述べている。したがって、登録だけを計画した買い手は、継続中の経路が検証基盤を失ったことを発見しうる。有効な登録時点を知らずに新しい ROA を準備したルーティングエンジニアは、受取人がまだプレフィックスに対して署名できないことを発見しうる。

イベント記録は、これらの行為を一つのステータスラベルに折りたたんではならない。登録が認可され、後継の経路権限が準備され、公開が観測され、前任の権限が廃止され、ライブ経路が意図された状態と一致したことを示すべきである。

協力的な移管は最終性を放棄せずにブリッジを使うことができる

最も有用な継続性の手段は、狭く定義されたブリッジ ROA である。移管完了前に、現在の保有者は受取人の意図する起点 AS を認可することができる。ROA はプレフィックスを起点 AS 番号に結びつけるため、署名者は AS 番号を保持している必要はないので、そのオブジェクトは正当である。受取人またはそのネットワークは、古い認証パスがまだ存在する間に、意図されたアナウンスを開始または準備することができる。

ブリッジが解決するのは前半だけである。受取人が認識された保有者となり、資源に対する認証権限を受け取ったら、自身のチェーンの下で同等の認可を公開しなければならない。独立したバリデータはその後継ペイロードを観測すべきである。その後、移転者のブリッジと、その旧起点に対するあらゆる認可は、資源がその証明書から離れるのに伴い、古いチェーンを通じて失効させるべきである。

これにより、同等の認可が二つのチェーンの下で存在しうる制御された間隔が生まれる。同等性はフィールドごとにテストされるべきである:アドレスファミリー、プレフィックス、最大長、起点 AS 番号。受取人の合意された計画を超える、より細かいアナウンスを許可するブリッジは余分な権限を与える。本番のより細かいものを省略する後継オブジェクトは、集約が Valid であっても、そのルートを Invalid に変えうる。

また、ブリッジはオブジェクト自体の外部に失効条件を必要とする。そのガバナンス記録は、それが取引の継続性のためだけに存在し、移管参照を特定し、無関係な変更を禁止し、後継検証後に失効を要求することを明記すべきである。移管が完了しない場合、現在の保有者は定義された中断手順の下でブリッジを廃止できるべきである。移管が完了したが古い権限を廃止できない場合、一時的なオーバーラップを無期限の都合に変換するのではなく、直ちにエスカレーションを開始すべきである。

すべての移管が協力的であるわけではない。裁判所命令による移管、破産売却、または係争中の継承は、前保有者の行動を不可能にしうる。そのような場合、レジストリは、有効な保有者変更の一部として受取人の新しい権限を発行し、古いチェーンを整合的に失効させることができる継続性パスを必要とする。ブリッジの不在は、公開準備の厳格さと明示的なロールバックの必要性を高める。キャッシュが原子的に更新されるふりを正当化するものではない。

ハンドオーバーに必要なのは完了メールではなく状態機械だ

信頼できるイベントは6つの状態で表現できる。第一は宣言された意図である。当事者は、正確な資源、現在および意図された起点パターン、関連する最大長、新旧の認証アレンジメント、連絡先権限、移管を認可する証拠を特定する。レジストリは一意の参照を返し、影響を受ける資源について競合する認証変更を凍結する。

第二の状態は後継準備である。協力が許す場合、移転者はブリッジ認可を公開する。受取人は、ホスト型または委任型の認証サービス、リポジトリアクセス、ROA 設定を準備する。自動化されたチェックは、意図されたオブジェクトが期待される資源証明書の下で発行されれば検証されることを確認する。

第三の状態は経路準備完了である。観測は、意図された起点が予想通りの正確な経路をアナウンスしていること、または既存の起点が継続することを確認する。これは早期のトラフィックシフトを要求するものではない。運用計画と提案された認可が合致している証拠を要求する。プレフィックス長や起点 AS 番号の誤りは、権限変更の前に修正されるべきである。

第四の状態は有効な移管である。レジストリが認識された保有者を変更し、発行階層が資源証明書を更新し、後継認可が現在のマニフェストと失効資料とともに公開される。地域間移管の場合、発信元と宛先のアクションは、異なるトラストアンカーの下で発生する場合でも、共通のイベント参照と合意されたリリースおよび受入条件を必要とする。

第五の状態は前任の廃止である。古い資源証明書はもはや移管された資源に対する権限を検証できず、関連するエンドエンティティ証明書は失効し、陳腐化したオブジェクトは撤回され、古いマニフェストは新しい公開状態を記述する。移転者の資格情報は、もはやプレフィックスに対する新しい認証行為を許可しない。

第六の状態は観測されたクローズである。独立した依拠当事者が後継ペイロードを見て、もはや前任ペイロードを検証せず、ライブ経路を意図通りに分類する。例外は観測ポイントと原因ごとに記録される。その時点でのみ、イベントは暗号的にクローズされたとマークされるべきである。商業的な完了はそれ以前に起こっているかもしれないが、記録は遅延を隠すのではなく、その区別を保持すべきである。

並列的な正しさが誤った全体を生みうるため、ロックが必要である

移管における個々のアクションは認可されていても、組み合わさることで安全でない結果を生むことがある。売り手はレジストリ担当者が移管を審査している間に ROA を変更するかもしれない。買い手は意図した起点を提出した後に通過プロバイダーを変更するかもしれない。自動証明書更新は資源削除と競合するかもしれない。委任された CA は、その親が認証資源セットを変更している間に新しいマニフェストを公開するかもしれない。アクションは局所的には有効だが、グローバルには不整合である。

したがって、トランザクションロックは、最終準備段階から前任の廃止までの間、正確に影響を受ける資源に対する認証変更をカバーすべきである。ロックはルーティングや通常のインシデント対応を停止するものではない。合意されたハンドオーバー状態を変更するような認可の無秩序な作成、変更、削除を防止する。緊急の変更には、指名された権限、記録された理由、計画の再検証が必要である。

ロックは細粒度であるべきだ。一つのプレフィックスの移管が、同じ組織が保持する無関係な資源を不動化してはならない。ROA が複数のプレフィックスを含む場合、発行者は移管前にそれを別々のオブジェクトに置き換え、一つの資源に対する権限の失効が他を乱さないようにする必要があるかもしれない。集約 ROA よりも集中 ROA を推奨する現在のガイダンスは、ここでの運用上の明確さを支持する。複数プレフィックスオブジェクトは、取引が必要とするよりも大きな変更面を作り出す。

ロックはまた、インターフェースと基礎となる権限の両方を束縛すべきである。委任された資格情報がまだ競合するオブジェクトを公開できるのであれば、売り手が編集コントロールをクリックするのを防ぐだけでは不十分である。スケジュールされた更新が陳腐化した設定を再作成することを許しながら、新しいオブジェクトを防ぐことも同様に弱い。ホスト型と委任型のシステムでは異なる強制が必要だが、どちらも同じ保証を生み出すべきである:承認されたハンドオーバー状態が並行アクションによって黙って変更されないこと。

ロック解除には証拠が必要であり、経過時間だけでは不十分である。後継オブジェクトが有効であり、古い権限が消え、意図された経路が観測され、未解決の例外には所有者がいる。固定期間後に自動的に解除が起こると、遅延した公開が安全装置を偽りの保証に変えうる。

公開は迅速である前に整合的でなければならない

RPKI リポジトリは証明書、失効リスト、マニフェスト、署名付きオブジェクトを配布する。一致する最新のマニフェストなしに場所にコピーされた代替 ROA は、完了した公開ではない。バリデータが意図された公開状態に関連付けられない失効リストは、権限を確実に消滅させることはない。リポジトリビューは内部的に整合的でなければならない。

RFC 9286は、公開ポイントの変更が確定される際に、新しいマニフェストを要求する。ハッシュは置き換えられたオブジェクトに対して更新され、関連するエンドエンティティ証明書は失効する。RRDP はシリアル化されたスナップショットとデルタを通じてリポジトリ変更を表現する。RFC 8182は、一つの CA 鍵ペアに対する変更(更新されたオブジェクト、マニフェスト、失効リストを含む)が一つのアトミックな更新メッセージとして送信されることを推奨している。これらの制御はローカルな公開の整合性を提供するが、これは不可欠でありながら、グローバルな移管の原子性よりは狭い。

この区別は重要である。送信元 CA は完全に整合的な撤回を公開できる一方で、宛先 CA はまだその整合的な追加を公開していない。二つのリポジトリはそれぞれ内部的に正しくても、共同でギャップを生み出しうる。逆に、送信元の撤回が遅延している間に宛先の追加が到着し、オーバーラップを生み出すこともある。地域間の移動はまた、資源をトラストアンカーツリー間で移動させるため、単一のリポジトリのシリアルが変更全体を含まない。

ハンドオーバーコーディネーターは、両側からリポジトリ受領証を消費すべきである。各受領証は、認証パス、マニフェスト番号または同等の現在状態マーカー、オブジェクトハッシュ、公開時刻、影響を受けるペイロードを特定すべきである。そして、独立したバリデータからの観測を取得すべきである。これはインターネットを同期させるものではない。不確実なシーケンスを監査可能なものに変えるのである。

速度は依然として価値がある。より短い間隔はギャップや残余権限への露出を減らす。しかし、迅速だが部分的な更新は、やや遅いが整合的な更新よりも安全ではない。パフォーマンス目標は、入力が完了した後に開始し、CA 生成とリポジトリ公開とバリデータ観測を区別し、含まれるケースを報告すべきである。一つのオペレーターのキャッシュからグローバルな伝播の約束を推論することはできない。

失効は、依拠当事者が信頼できるものを変えるため、ガバナンス行為である

古い ROA は、いくつかの関連する方法で検証されなくなりうる。そのエンドエンティティ証明書が失効する。資源が古い保有者を離れるのに伴い、その発行資源証明書が置き換えられるか失効する。オブジェクトが公開ポイントから撤回され、マニフェストが更新される。最終的には有効期限が切れてそれを除去しうるが、有効な移管後に有効期限を待つことは責任あるハンドオーバー戦略ではない。

失効は、移管された資源がもはや古いチェーンによってカバーされないことを保証しつつ、必要最小限の権限を対象とすべきである。一つの証明書やオブジェクトが無関係な資源をカバーしている場合、準備的な分離が必要かもしれない。保持されるプレフィックスに対する有効な認可を偶然に削除する広範な失効は、移管の安全性を付随的な停止に変える。

タイミングも同様に厳格である。後継の可視性の前に失効させることはブレークのリスクがある。後継の可視性のずっと後に失効させることは不必要なオーバーラップを与える。正しいトリガーは一連の観測である:新しい証明書チェーンが検証され、意図されたペイロードが存在し、ライブ起点が一致し、宛先がインシデントに対応できる。古い権限は遅滞なく廃止され、その廃止が観測されるべきである。

RFC 8211は、悪意のある意図を仮定せずに有害な CA およびリポジトリのアクションを分析しているため有用である。CA の誤り、リポジトリの誤り、またはポリシーアクションは保有者の認証資源を減少させうる。競合する ROA もルーティング結果に影響しうる。したがって、移管制御は通常のミスと同様に敵対的行動の下でも機能すべきである。二重承認、署名付きイベント参照、独立した検証は、一つの誤ったアクションがイベント全体を定義する能力を減らす。

長く生き残った古い認可は、時計と説明責任のある所有者を持つ例外として扱われるべきである。記録は、なぜそれが残っているのか、どの起点を許可しているのか、誰がそれを除去できるのか、どのような暫定監視が適用されるのかを特定すべきである。それを結果整合性と呼ぶことは救済策ではない。強制された終端状態のない結果整合性は、技術的名称を持つ残余権限にすぎない。

バリデータキャッシュは収束を観測可能にするが、決して普遍的にはしない

依拠当事者は、BGP 更新のたびに発行サービスに新たに問い合わせるわけではない。彼らはリポジトリデータを取得し、認証パスと署名付きオブジェクトを検証し、定義された条件下で使用可能な状態を保持し、検証済みペイロードをルーターに提供する。ポーリング間隔、リポジトリの可用性、トランスポート動作、ソフトウェアバージョン、ローカルポリシーが異なる観測時刻を生み出す。

RRDP は、セッション識別子とシリアル番号を使用して、依拠当事者が自身のローカルコピーがリポジトリと同期しているか判断するのを助けるよう設計されている。デルタは新しいオブジェクト、置き換えられたオブジェクト、撤回されたオブジェクトを一つの変更セットで運ぶことができる。しかし、あるバリデータが最新のデルタをフェッチする一方で、別のバリデータはフェッチに失敗し、以前の使用可能なキャッシュから継続するかもしれない。第三のバリデータは、マニフェスト、ハッシュ、または証明書チェックが失敗したために新しい状態を拒否するかもしれない。これらは移管記録の理論的な違反ではなく、記録が対応しなければならない環境の一部である。

この理由から、レジストリはすべてのハンドオーバーに普遍的な伝播時間をスタンプすべきではない。自身の CA とリポジトリについて、サービスレベル測定を公開することはできる。移管サービスは、独立した実装、トランスポート、場所にわたる最小限の観測セットを定義できる。オペレーターは、測定された検証サイクルと経路の重要性に基づいて保守的な保持期間を選択できる。どれもインターネット上のすべての依拠当事者の分母を提供するものではない。

観測は不一致を保存すべきである。4つの選択されたバリデータが新しいペイロードを確認し、1つが古いものを保持している場合、レポートは5つの結果、ソフトウェアバージョン、トラストアンカーパス、フェッチ時刻、関連するエラーを示すべきである。それらを平均してグリーンのパーセンテージにすることは、重要な正確な失敗を隠すことになる。陳腐化した結果は、リポジトリのエッジ、バリデータの欠陥、運用上の誤設定、または期待されるキャッシュルールを特定するかもしれない。

終端の主張は境界付けられるべきである:すべての指名された観測点が、定められた時刻までに後継を検証し前任を拒否した。それは強力な証拠である。接続されていない、放棄された、または個人的に変更されたバリデータが古いデータを保持していないという証明ではない。

地域内移管と地域間移管は異なる振付を必要とする

一つの RIR 内では、資源は同じ地域トラストアンカーの下で組織間を移動しうる。親権限は、一つの制度的ドメイン内で送信元と宛先の証明書の資源セットを更新できる。ホスト型サービスは変更の多くを自動化しうる。それでも、別々の公開ポイントと依拠当事者キャッシュが真のグローバルな同時性を妨げ、委任された CA は運用上の調整を追加する。

地域間移管はより多くのことを変える。送信元 RIR は認証階層から資源を削除し、宛先 RIR はそれを別の階層の下に追加しなければならない。バリデータは異なる TAL から開始し、異なるリポジトリを横断する。送信元のリリースと宛先の受け入れは、別々の地域手続き、法的関係、運用チームによって統治される。経路は、その検証パスがトラストアンカー間を移動する間、同じままでありうる。

したがって、共通の取引参照は地域を超えてより価値がある。それは正確なプレフィックス、送信元と宛先の権限、意図された経路ペイロード、リリース条件、受け入れ条件、ロールバック境界を束縛すべきである。各 RIR は、独自の署名付きまたは他の方法で検証可能な受領証を発行すべきである。移管当事者は、送信元が不可逆的な撤回を行う前に宛先が準備できていたこと、または合意された継続性メカニズムがその間隔をカバーしていたことを示せるべきである。

地域間のオーバーラップは慎重な解釈に値する。同じ意図されたペイロードが両方の地域パスの下で一時的に検証されることは継続性を支援しうる。二つのパスの下での異なる起点ペイロードは二重の認可を生み出し、時間制限されるべきである。制御されたハンドオーバーを超えて両方のトラストアンカーの下に現れる資源は、バリデータと RIR が解決する必要がある認証の不整合を示しうる。

一つの RIR のインターフェースから普遍的な法的または運用上のルールを推論することはできない。共有される標準は、各権限が自身のポリシー決定に責任を持ちつつ、相互運用可能なイベント証拠と安全性の成果を定義すべきである。調整は中央集権化ではない。それは一つの経路の権限が二つの制度ツリーを横断するときに必要な最小限の構造である。

ホスト型認証と委任型認証は異なる方法で失敗する

ホスト型 RPKI は、登録が変更されたときに、レジストリまたはサービスオペレーターが証明書と ROA 設定を更新する直接的な能力を与える。これにより調整ステップが減少しうる。RIPE NCC の文書は、資源が移動すると認証資源が自動的に更新され、資源が削除されると公開された ROA が調整されることを説明している。その利点は、保有者記録とホスト型認証の間の緊密な結合である。

同じ結合は、代替の認可を準備していない受取人を驚かせうる。自動削除は古い保有者の権限の観点からは正しいが、それでも運用上のギャップを生み出しうる。したがって、サービスは意図されたルーティング宣言を要求するか、購入者が後で影響を発見することに頼るのではなく、移管前の警告と後継準備パスを提供すべきである。

委任型 RPKI は、鍵と公開の制御を資源保有者またはそのサービスプロバイダーに移す。レジストリは親証明書を変更し、移管当事者は子 CA、公開ポイント、オブジェクトを調整しなければならない。これは運用上の自律性を向上させうるが、ハンドオーバー面を拡大する。送信元の委任された CA は到達不能かもしれない。宛先リポジトリはまだ受け入れられていないかもしれない。親の更新と子の公開は競合する可能性がある。

安全性の成果は同じであるべきである。古いチェーンは資源の検証を停止し、新しいチェーンは意図されたペイロードを検証し、計画外の間隔がライブ経路を Invalid のままにせず、残余認可は境界付けられる。証拠は異なる。ホスト型システムは内部イベント受領証と外部バリデータ観測を提供できる。委任型システムはまた、公開サーバーからの証明と、親権限が移動する前に宛先 CA が運用可能であったことの確認を必要とする。

移管契約はモードを明記すべきである。委任された責任を受け取りながらホスト型の自動化を想定する買い手は、カットオーバー時に必要な鍵、サービスアレンジメント、専門知識を持っていないかもしれない。レジストリが古いオブジェクトをすべて削除すると想定する売り手は、無効になるが運用上混乱を残す委任された公開状態を保持するかもしれない。制御についての明確さは継続性の前提条件である。

ロールバックは過去を不正確に再現するのではなく、権限を保持しなければならない

有効な保有者変更の前であれば、ロールバックは比較的単純である。移管を停止し、もはや必要でないブリッジ権限を削除し、認証ロックを解除し、元の経路状態が有効のままであることを確認する。ここでも、ブリッジの削除は他の失効と同様の公開と観測の規律を必要とする。

資源が移動し、古い証明書が失効した後では、ロールバックは以前のキャッシュからファイルを復元する問題ではない。以前のオブジェクトはもはや有効な認証パスを持っていないかもしれない。古い鍵を再利用したり、期限切れの状態を再公開したりすることは、誤解を招く権限を作り出す可能性がある。取引自体が覆されなければならない場合、レジストリは、以前の保有者を再確立し、新しいシーケンスを通じて現在の証明書と ROA を発行する新たな認可された変更を必要とする。

不可逆点は明示的であるべきである。それは送信元 RIR の最終リリース、宛先の証明書発行、法的に有効な移管、または適用可能な手続きの下での組み合わせかもしれない。その点の前では、中断は元の状態に戻る。その点の後では、救済的な移管または修正が新しい状態を作る。この区別は履歴を保存し、オペレーターが失敗したイベントを静かな復元を通じて隠すことを防ぐ。

修復中の運用継続性は、サービスを稼働し続けることができる起点のための、現在の認識された保有者による一時的な認可を必要とするかもしれない。その決定は最終的な保有権に関する紛争から分離されるべきである。裁判所やレジストリは、顧客を保護するために境界付けられた経路認可を許可しつつ、さらなる移管を差し止めることができる。ROA は経路の許可を記録するものであり、紛争を解決するものではない。

演習は両方のパスをテストすべきである。成功したカットオーバーだけをリハーサルしてきたサービスは、完了前に安全に停止できるか、またはその後に回復できるかを知らない。テストケースには、間違った AS 番号、間違った最大長、宛先リポジトリの障害、陳腐化した送信元権限、応答しない移転者、観測点間の不一致が含まれるべきである。

法的拘束と制裁は、シーケンスを破壊するのではなく、アクションを狭めるべきである

移管は、訴訟、破産、制裁審査、詐欺調査、または権限をめぐる紛争によって遅延または差し止められることがある。これらの条件は正確なルーティング権限の必要性を排除するものではない。誰がどのアクションを指示できるか、保有者状態がいつ動けるかを変えるのである。

イベント記録は拘束を正確に表現すべきである。認識された保有者を変更することの禁止は、自動的に現在の ROA を失効させる指示ではない。ネットワークサービスを維持する命令は、必ずしも販売を完了する許可ではない。受取人に対する制裁制限は、民間の仲介者が資源を取得することを認可しない。各条件は、その出所、範囲、レビュアー、失効またはレビューポイントを特定すべきである。

有効な変更前に移管が一時停止された場合、既存の有効な認可は、合法であり運用上意図されているなら継続できる。提案された受取人のために作成されたブリッジは、その目的がもはや存在しない可能性があるため、レビューされるべきである。有効な変更後だが古い権限が廃止される前に拘束が到着した場合、移転者の ROA をアクティブのままにすることは中立的な応答ではない。権限ある意思決定者は、登録状態が現行のままでありながら、継続性が特定の起点を必要とするかどうかを指定すべきである。

暗号上のシーケンスは認可された制度上の状態に従わなければならず、それを決定しようとしてはならない。認証局は、そのルールの下で認識された当事者が表明を行えることを検証する。正確な履歴を維持し、証拠を保存し、範囲を定められた決定を実行すべきである。広範な法的な不確実性を二つの不確定な現行権限に変えるべきではない。

これがオーバーラップを所有権の言語から分離する別の理由である。二つの ROA が、継続性が計画されたために、または拘束がそれを要求したために一時的に有効であるかもしれない。それは二者が資源を所有することを意味しない。一つの ROA が認証権限の移動のために失効するかもしれない。それはすべての商業的義務が満たされたことを証明しない。正確な表明は技術的および法的な過剰主張を減らす。

独立した観測は経路、ペイロード、チェーンをテストすべきである

ROA のファイル名が存在するかどうかだけをチェックする移管モニターは、重要な失敗を見逃すだろう。受け入れられたトラストアンカーから資源証明書と ROA のエンドエンティティ証明書、現在のマニフェスト、失効状態を通じて完全なチェーンを検証すべきである。結果として得られるペイロードを導出し、そのペイロードを観測された BGP 経路と比較すべきである。

モニターは4つの質問に答えるべきである。第一に、意図されたプレフィックス-起点-最大長のタプルは、受取人の現在のチェーンの下で有効か?第二に、以前のまたは予期しないチェーンが、移管された資源に対してまだペイロードを生成するか?第三に、各観測点でライブ経路はどのような検証状態を受け取るか?第四に、登録と認証の受領証は同じ資源と有効なイベントを特定しているか?

一つのバリデータのパーサー欠陥や例外条件の判断がレポートを定義すべきでないため、複数の実装が有用である。リポジトリやネットワークパスが異なって失敗しうるため、複数の場所も有用である。単一の成功したフェッチでは前任権限が後で廃止されたことを示さないため、複数の時刻が必要である。観測セットはカットオーバー前に宣言されるべきであり、当事者が後で好ましい結果だけを選択しないようにする。

生の商業文書は公開される必要はない。公開または会員向けの記録は、プレフィックス、新旧の認可状態、イベント時刻、参加権限、観測方法、未解決の注意点を開示できる。機密性の高い身元証明や取引条件は監査アクセス付きで保護されうる。目標は検証可能な運用上のクローズであり、無差別な開示ではない。

アラートはイベント固有であるべきである。古いペイロードが期限後に有効のままであるという通知は、新しい経路があるバリデータで Invalid であるという通知とは異なる。前者は失効または親証明書の調査を要求し、後者は伝播、リポジトリ、または経路設定のエラーを示しうる。正確なアラートは救済を短縮し、説明責任を明確にする。

番号資源社会は、ルートになりすますことなく受領証を標準化できる

将来の番号資源社会は、断片化された取引慣行と集中化された認証局の間で建設的な役割を持つ。RIR、資格のあるプロバイダー、保有者、独立したモニターが作成し検証できる共通のハンドオーバー受領証を定義できる。受領証は資源証明書を置き換えたり、新しい ROA になったりはしない。それらの権威ある変更が一つの統治されたイベントとして起こったという証拠を束縛するだろう。

最小限のフィールドは具体的である:移管参照、正確な資源、送信元と宛先の登録権限、新旧の意図された起点、最大長、ホスト型か委任型か、ブリッジの目的、有効化ポイント、送信元リリース、宛先受け入れ、後継公開観測、前任失効観測、例外、最終レビュアー。各声明は発行者と時刻を特定すべきである。

番号資源社会は適合性テストも公開できる。プロバイダーは、同一起点継続、起点変更、地域間移動、委任 CA 障害、ブリッジ中断、有効後修正を実証すべきである。テスト出力は、単一のパスラベルではなく、指名された実装にわたる検証結果を示すべきである。認定の主張は、制度的所属ではなく、テストされた能力と現在の監査を参照することになる。

これは積極的な分散化である。複数のプロバイダーとオブザーバーが標準を実装できる一方で、RIR CA はその権威ある認証行為に対して説明責任を負い続ける。保有者は起こったことのポータブルな証拠を受け取る。オペレーターはカットオーバー状態の共通セットを受け取る。研究者は、民間の販売条件を要求することなく、境界付けられたパフォーマンスを比較できる。

番号資源社会は、その受領証がグローバルなバリデータに更新を引き起こすと約束すべきではなく、すべての経路に署名する権力を取得すべきではない。その正当性は、権限の移行をより可視的で、正確で、争いやすくすることから生まれるだろう。長引く古い ROA を暴露する標準は、番号資源社会がそれを失効させる力を欠いている場合でさえ有用である。暴露は責任ある CA と移管当事者に、正確に何が未了のままかを伝える。

残余権限が開示された負債となるとき、移管の経済性は改善する

買い手は制御できないものに価格を付ける。売り手がクロージング後も暗号的に認可されたままでいられるなら、買い手は通常の権原言語では治癒できない経路起点リスクを継承する。買い手の新しい経路がカットオーバー中に Invalid になりうるなら、顧客は買い手が責任を引き受けるまさにその時に混乱を経験するかもしれない。したがって、貸し手、保険会社、運用パートナーは、ルーティングされる資源についての完了証拠の一部として RPKI ハンドオーバーを扱うべきである。

救済策は普遍的な価格割引ではない。プレフィックスの評判、経路設計、契約上の権利、地域ポリシー、市場状況は異なる。ROA ギャップ、陳腐化した認可、または顧客影響を伴う移管のための完全なグローバルな分母は存在しない。民間の販売とルーティングアレンジメントは完全には観測できない。クリーンな RPKI ハンドオーバーに起因するアドレス価値の一定割合を主張することは証拠を超えている。

取引はそれにもかかわらず責任を明確に割り当てることができる。売り手は、既存の認可を開示し、ブリッジの作成と廃止に協力することを保証する。買い手は、意図されたルーティングデータを提供し、宛先認証の準備を維持する。レジストリまたはプロバイダーは、整合的な保有者変更と証明書変更にコミットする。クロージング条件は、指名されたバリデータ観測を要求する。保持された金額または補償は、適用法に従い、前任権限の廃止失敗に対処できる。

これらの条件は技術的な曖昧さを管理可能な義務に変換する。また、サービスの質を比較可能にする。境界付けられたハンドオーバー受領証、迅速で整合的な公開、効果的な例外対応を生成できる登録プロバイダーは、単なるポータル以上のものを提供する。分岐する結果を保存するオブザーバーは、グリーンバッジ以上のものを提供する。クロージングの前後で経路権限をチェックするブローカーは、実際の運用リスクを減らす。

経済的利益は、不確実性の縮小から来るのであり、ROA を財産証書に変えることからではない。保有者変更、経路許可、観測されたクローズの間の分離がクリーンであればあるほど、各当事者が制御できるリスクを受け入れやすくなる。

説明責任は中央値だけでなく例外を公開することを要求する

成熟した移管サービスは、実際に処理した母集団を使用してパフォーマンスを報告すべきである。各期間について、どれだけの移管が同一起点継続を使用したか、起点を変更したか、RIR を横断したか、委任型認証を使用したか、例外を必要としたかを述べることができる。定義された開始イベントと終了イベントからの完了間隔を報告し、報告カットオフ時点で未解決の前任権限を示すことができる。

例外的なケースが最も重要である。移管後に有効のままの一つの古い ROA は、多くの日常的な成功によって隠された弱点を暴露しうる。レポートは、原因が移転者の不作為か、ホスト型サービスの欠陥か、委任された公開の失敗か、親証明書のタイミングか、宛先の準備不足か、法的拘束か、バリデータの不一致かを説明すべきである。個人的および商業的な詳細は、制度的原因を消すことなく最小化できる。

分母はレポートにローカルのままでなければならない。参加した移管は、世界中のすべての移管、すべての民間リース、またはすべての報告されていない中断を明らかにするものではない。バリデータ観測は、あらゆるネットワークのルーティングポリシーを明らかにするものではない。BGP の可視性は完全な契約関係を証明するものではない。正直な境界は、オペレーターが何を推論でき何を推論できないかを知るため、調査結果をより有用にする。

独立したレビューは、最終ステータスのスクリーンショットではなく、完全なイベント履歴をサンプリングすべきである。レビュアーは、宣言された計画、ロック、権限証拠、公開受領証、観測、失効、例外処理を見る必要がある。タイムスタンプが特定されたシステムから来ていること、最終レビュアーが説明のない残余権限を持つケースを承認しなかったことを検証すべきである。

会員はレポートに異議を申し立てられるべきである。移管当事者が、古いペイロードが指名された観測点で有効のままであることを示したなら、サービスは大多数のモニターがグリーンだったからといってその結果を却下するのではなく、調査すべきである。制度の正当性は、制御ギャップを暴露する外れ値を修復することによって構築される。

安全な終端状態は、経路が複雑であっても単純である

移管の終了時には、受取人は適用可能なレジストリアレンジメントの下で認識された保有者である。受取人の認証パスは移管された資源をカバーする。意図された経路起点ペイロードはそのパスを通じて検証される。ライブ BGP 経路は意図されたプレフィックス、起点、許可された長さと一致する。移転者の以前のパスは、ブリッジが終了したために明示された目的がない限り、もはや資源に対する権限を検証しない。独立した観測は結果と到達不能な見晴らし点があればそれを正直に記録する。

その状態に到達するには、地域調整、法的レビュー、委任されたオペレーター、そしていくつかの検証サイクルが必要になることがある。複雑さは終端条件を弱める理由ではない。それは中間状態を定義し、所有者を割り当て、証拠を保存する理由である。

古い ROA の教訓は、オーバーラップが決して起こってはならないということではない。メイク・ビフォア・ブレークはしばしばオーバーラップを必要とする。教訓は、オーバーラップには目的、狭い範囲、強制的な終了がなければならないということである。また、あらゆるギャップがプレフィックスを切断するという教訓でもない。一部のネットワークは NotFound 経路を受け入れるかもしれず、フィルタリングが不在であればルーティングは Invalid 間隔を通じて持続しうる。目的は一貫性のないポリシーに賭けることではない。意図された認可を保存することである。

2012年以来、技術アーキテクチャは本質的なシーケンスを含んできた。制度的な課題は、それを全体としての移管に適用することである。登録担当者、CA、リポジトリ、移管当事者、オペレーター、依拠当事者はそれぞれイベントの一部しか見ていない。ハンドオーバー標準は、それらの部分を一つの完了テストに応答させる。

移管は、レジストリが確認を送ったときに暗号的にクローズされるのではない。後継権限が機能し、前任権限がもはや機能せず、ライブ経路が合致し、証拠が独立したレビュアーによって再現できるときにクローズされる。それ未満のものは、到達可能性のギャップか、ルーティングテーブルにおける前保有者の影のいずれかを残す。

Sources