Resumo
- Um novo serviço de numeração não deve se tornar interoperável simplesmente porque um incumbente gosta dele, não o detesta tanto quanto um rival, ou tem razões políticas para tolerá-lo. Ele deve se tornar interoperável apenas depois de passar por testes públicos e repetíveis de unicidade, segurança, segurança de migração, auditabilidade, continuidade e notação de disputas.
- A história de reconhecimento existente contém princípios úteis: um registro deve ter capacidade técnica, tratamento imparcial, política documentada, infraestrutura operacional e coordenação confiável. A fraqueza é que o modelo regional mais antigo vinculava o reconhecimento a um único grande território e à migração do incumbente, deixando pouco espaço para concorrência de serviço portátil depois que a escassez de IPv4 e a dependência moderna de RPKI, RDAP e DNS reverso mudaram o risco.
- A Number Resource Society pode transformar sua tese positiva em uma agenda de garantia pública: fazer campanha para que cada RIR ou provedor qualificado rastreie entradas no histórico reconhecido da IANA e dos RIRs, isole conflitos, ensaie movimentos de titulares, documente a recuperação de chaves e endpoints, e permita que auditores independentes reconstruam o estado consequente a partir de compromissos públicos mais evidências protegidas.
- O prêmio não é a permissão para o NRS governar redes ou operar um registro. O prêmio é mais restrito e mais valioso: a pesquisa do NRS pode dar aos operadores uma comparação de fonte da verdade, enquanto a ICANN, a IANA, o NRO, os RIRs e as autoridades legais competentes mantêm a responsabilidade pelo reconhecimento e pelas decisões operacionais.
O reconhecimento deve começar na bancada de testes
A primeira sala na qual um futuro serviço de numeração deve buscar reconhecimento não é uma sala de reuniões. É uma bancada de testes. Um operador deve ser capaz de pegar um prefixo de amostra, um número de sistema autônomo de amostra, uma mudança de titular de amostra e uma disputa de amostra, executá-los através do serviço e ver se o resultado preserva a unicidade, explica a autoridade, protege as chaves, mantém a descoberta pública coerente e deixa uma trilha de auditoria que outra parte competente possa verificar.
Esse princípio da bancada de testes é importante porque o reconhecimento de números da Internet é fácil de romantizar. A linguagem pública em torno dos Registros Regionais da Internet frequentemente mistura história, comunidade, território, forma corporativa, tradição política e serviço técnico em uma única ideia. Um novo serviço pode ser rejeitado como ilegítimo porque não descende dessa linhagem. Também pode ser aceito rapidamente porque promete libertação das falhas dessa linhagem. Nenhuma reação responde à questão operacional: o registro permanece seguro, único, portátil e revisável quando as pessoas confiam nele?
A Number Resource Society é útil precisamente porque aguça essa questão. Sua carta pública apresenta as instituições de recursos numéricos como contadores cuja legitimidade depende de registro preciso, confiança voluntária e autoridade limitada, em vez de alegações de governar redes. Essa é uma posição de defesa atraente, mas uma carta não é garantia operacional. Os RIRs, os serviços voltados para a IANA e quaisquer provedores qualificados futuros ainda precisam provar que a admissão, a custódia de chaves, as regras de correção e disputa são transparentes e que as propostas de portabilidade se reconciliam com a história global existente.
O reconhecimento por prova estabelece um padrão mais alto do que o reconhecimento por amizade. O NRS pode pedir à IANA, ICANN, NRO, RIRs e à comunidade operacional que definam condições mensuráveis sob as quais um provedor não incumbente autorizado distingue uma credencial controlada pelo titular de uma alocação autoritativa, um recibo de transferência de permissão de roteamento, uma nota de disputa de uma sanção e uma mudança de serviço de atribuição duplicada. O NRS fornece defesa, evidências de membros e escrutínio público; não concede reconhecimento nem disciplina as instituições que estuda.
O modelo não é anti-registro. É anti-mística. O atual Sistema de Registro de Números da Internet é documentado naRFC 7020, que descreve a distribuição de espaços de endereço IP globalmente únicos e números AS e enfatiza a precisão do registro. A página atual de recursos numéricos da IANA afirma que ela coordena os sistemas globais de endereçamento IP e números AS, aloca pools para RIRs de acordo com a política global e não aloca diretamente para ISPs ou usuários finais. Esses são fatos a preservar, não mitos a adorar. A defesa do NRS baseada em provas preservaria esses fatos institucionais enquanto tornaria o desempenho do serviço contestável.
O que o modelo antigo de reconhecimento acertou
O modelo antigo de reconhecimento não deve ser descartado. AICP-2, os critérios para estabelecer um novo Registro Regional da Internet, exigia capacidade técnica, procedimentos políticos documentados, amplo apoio na região proposta, neutralidade e tratamento imparcial. Exigia conectividade de Internet de nível de produção, suporte a DNS reverso, infraestrutura adequada e pessoal capacitado. Também exigia políticas consistentes com os objetivos globais de conservação, agregação e registro.
Esses requisitos codificam várias verdades duráveis. Um serviço de numeração não pode ser um caderno privado. Deve manter serviços estáveis online. Deve ser acessível por pessoas que precisam dos dados. Não deve tratar solicitantes iguais de forma desigual. Deve documentar as regras sob as quais as mudanças de estado dos recursos numéricos ocorrem. Deve coordenar-se com outros registros para que um recurso tenha um status autoritativo atual. Deve apoiar a delegação de DNS reverso e serviços de registro públicos porque os sistemas downstream os utilizam.
A fraqueza não é que a ICP-2 se preocupava com apoio e região. No período inicial de expansão regional, o amplo apoio dos LIRs e a migração de acordos de serviço eram formas práticas de evitar serviço dividido dentro de uma área geográfica. A fraqueza é que o modelo foi construído em torno de um registro por grande região. Assume que a fragmentação é prevenida pelo monopólio territorial, em vez de por uma raiz global de unicidade e testes rigorosos de interoperabilidade. Essa suposição é agora a própria questão em análise.
A escassez de IPv4 mudou os riscos econômicos. Os registros de recursos não são mais meros caminhos administrativos para alocações futuras. São evidências usadas por compradores, credores, plataformas de nuvem, mesas de antiabuso, redes upstream, tribunais, auditores, seguradoras e clientes. O RPKI mudou os riscos de segurança ao conectar autoridade de alocação e autorização de roteamento. O RDAP mudou os riscos de descoberta ao tornar os dados de registro estruturados legíveis por máquina e localizáveis através de registros de bootstrap.
O DNS reverso continua sendo uma dependência silenciosa para correio, tratamento de abuso e integração de serviço. Um novo serviço deve ser julgado contra essa pilha completa de dependências.
O teste de reconhecimento futuro deve, portanto, manter as obrigações operacionais da ICP-2 enquanto as separa do privilégio territorial. Um serviço pode provar neutralidade sem controlar um continente. Pode provar capacidade técnica sem se tornar o único escritório em uma região. Pode provar confiança da comunidade através de adoção, resultados de auditoria, resultados de reclamações e sucesso de migração, em vez de consentimento do incumbente. Pode preservar invariantes de política global sem herdar cada hábito discricionário do modelo antigo.
A primeira prova é a unicidade
O primeiro invariante do sistema de numeração é a unicidade. Pode haver muitas opiniões sobre quem merece um bloco, o que um contrato significa, se uma venda deve ser concluída, quanto detalhe deve ser público, ou qual provedor de serviços é mais eficiente. Não pode haver duas atribuições atuais válidas da mesma faixa de endereços ou do mesmo número AS para titulares incompatíveis. Uma vez que o estado atual duplicado é normalizado, o resto da Internet paga o preço em confusão de roteamento, tratamento de abuso, falha de aquisição e litígio.
O padrão de reconhecimento que o NRS defende deve começar por provar que um registro ou provedor autorizado não pode aceitar silenciosamente estado atual duplicado. Cada recurso afirmado deve ser verificado contra os registros da IANA, o RIR relevante ou histórico legado, logs de transferência públicos quando disponíveis, dados RDAP, material RPKI e evidências protegidas do titular. O RIR ou provedor responsável não precisa publicar todos os documentos, mas deve publicar compromissos, razões e timestamps de co-assinatura suficientes para mostrar que um conflito foi resolvido, isolado ou marcado como disputado.
A prova de unicidade também deve funcionar nos limites de prefixo. Um /16 pode conter fragmentos transferidos, arrendados, delegados, subalocados ou disputados. Um verificador de status que trata um bloco como um rótulo indivisível perderá sobreposições. Um teste de reconhecimento deve incluir intervalos exatos, intervalos cobertos, registros mais específicos, espaço devolvido, faixas reservadas, faixas legadas, faixas de números AS e agregados IPv6.
Deve simular casos adversários: duas partes reivindicam porções adjacentes; uma parte reivindica um bloco de cobertura depois que outra tem um registro operacional mais específico; um titular histórico devolve um bloco enquanto material RPKI obsoleto permanece visível; um sucessor corporativo reivindica capacidade sob um novo nome legal.
A prova não deve se tornar um julgamento secreto. Algumas evidências serão privadas porque contêm contratos, documentos de identidade, credenciais de segurança ou material judicial. Mas o estado público ainda pode identificar a classe de prova usada, a data de revisão, o status atual, o sinalizador de disputa se houver, o compromisso hash com evidências protegidas, o papel do revisor e a via de recurso. Um compromisso criptográfico não prova a verdade, mas impede que um registro posterior seja reescrito sem deixar evidências de mudança.
O reconhecimento por prova, portanto, inverte o ônus. O NRS não deve dizer: “aceite-nos porque somos o futuro”. Deve dizer a cada operador incumbente ou proposto: deixe testadores independentes tentarem fazer seu serviço autorizado assinar estado atual duplicado, perder um conflito mais específico, alterar a história sem detecção ou esconder uma disputa como uma alocação limpa. Quando o operador responsável sobrevive a esses testes, a confiança começa a ter uma base técnica.
A prova de segurança deve cobrir chaves, pessoas e recuperação
A segurança não pode ser reduzida a um site seguro. Um serviço de recursos numéricos toca em múltiplas camadas de segurança: autenticação do titular, privilégios da equipe, chaves de assinatura, objetos RPKI, publicação em repositório, endpoints de serviço RDAP, solicitações de mudança de DNS reverso, aprovações de transferência, bloqueios de disputa, integridade de backup e recuperação de emergência. Um serviço pode ter criptografia forte e revisão de autoridade fraca. Pode ter armazenamento de chave em hardware e ainda permitir que um único insider aprove uma mudança de estado perigosa.
O NRS deve publicar e fazer campanha por um padrão de prova de segurança cobrindo controles criptográficos e institucionais. RIRs, autoridades de certificação RPKI, operadores de repositório e outros provedores autorizados permanecem responsáveis por cerimônias de chave, separação de funções de assinatura, rotação, revogação, recuperação, logs à prova de adulteração, pontos de verificação de testemunhas independentes, carimbo de tempo, integridade do repositório e restauração.
Sua governança também deve fornecer separação de funções, controle duplo, privilégio mínimo, divulgação de conflitos, registros de auditoria protegidos, categorias de incidentes e testes externos.
A arquitetura RPKI naRFC 6480é uma disciplina útil porque vincula certificados de recurso a endereços IP alocados ou números AS e permite que filtros de rota sejam construídos a partir de autorizações de origem de rota assinadas. Também expõe por que o reconhecimento não pode ser casual. Um certificado de recurso equivocado ou capturado pode afetar a forma como as redes avaliam a validade da origem da rota. O NRS deve rejeitar explicitamente a autoridade RPKI e, em vez disso, pesquisar como as práticas dos RIRs e das autoridades de certificação afetam a custódia hospedada ou delegada, o tempo de transferência, o risco de revogação e as chaves controladas pelo titular.
A prova de segurança deve incluir exercícios de falha. O que acontece se um titular perder uma chave de assinatura? O que acontece se dois executivos da mesma empresa enviarem instruções incompatíveis? O que acontece se uma ordem judicial congelar uma transferência reivindicada? O que acontece se um funcionário do registro for comprometido? O que acontece se um endpoint de serviço estiver indisponível durante uma janela de transferência? O que acontece se um log de testemunha estiver inativo mas o registro estiver recebendo solicitações urgentes de mudança?
Um serviço que não tem resposta publicada para essas perguntas está pedindo confiança sem um mapa.
O caso mais forte do NRS não é que ele pode operar esses sistemas. É que sua defesa pode forçar falhas operacionais a ficarem visíveis. Um incidente de RIR, autoridade de certificação ou provedor qualificado deve identificar os recursos afetados, a janela de tempo, a contenção, o aviso ao cliente, a revisão independente e o registro de recuperação. O NRS pode comparar essas divulgações e representar os membros afetados; a contenção e a correção continuam sendo dever do operador e das autoridades competentes.
A prova de migração é onde a portabilidade se torna real
A portabilidade é fácil de endossar em um discurso e difícil de realizar às 02:00 quando o serviço RDAP de um titular, DNS reverso, certificados RPKI, contato de abuso, arquivo do credor, lista de permissão de clientes e registro de filtragem upstream dependem todos de um estado de registro coerente. O valor do NRS está em fazer campanha por um direito de saída testado, documentar a experiência dos membros e exigir que os RIRs responsáveis, funções da IANA e provedores autorizados sigam um padrão que evite dividir o registro ou chocar os serviços dependentes.
A prova de migração deve, portanto, ser um dos testes centrais de reconhecimento defendidos pelo NRS. Os RIRs relevantes, funções voltadas para a IANA e o provedor receptor autorizado devem realizar um movimento seco entre registros de serviço reconhecidos e revertê-lo quando necessário, preservando um único status autoritativo. O NRS pode observar, publicar o método de teste e coletar evidências dos membros, mas não deve criar um registro autoritativo “servido pelo NRS”.
O teste deve distinguir três eventos que são frequentemente confundidos. Uma transferência de titular muda a parte com direitos ou controle reconhecidos. Um evento de portabilidade de serviço muda o provedor de serviço qualificado que mantém ou publica o registro. Uma mudança de roteamento altera a forma como o tráfego é originado ou aceito. Um sistema saudável pode mudar um sem fingir mudar todos. Um titular deve poder mudar de serviço de registro sem alterar automaticamente a AS de origem. Uma transferência não deve se tornar final simplesmente porque uma rota aparece.
Uma rota não deve se tornar inválida meramente porque uma mudança de serviço está pendente.
O RDAP fornece uma lição pública útil. ARFC 9224explica como os clientes encontram serviços RDAP autoritativos através de dados de bootstrap da IANA e lógica de correspondência mais longa para espaço de endereço IP. Isso não cria autoridade do NRS. O NRS pode usá-lo como evidência ao instar a IANA, RIRs e operadores de RDAP autorizados a tornar cada ponteiro de descoberta reconhecida ou mudança de status de serviço independentemente verificável.
A prova de migração também precisa de continuidade do cliente. Uma grande rede pode ter clientes cujas listas de permissão, sistemas de aquisição, verificações de reputação de correio, fornecedores de mitigação de DDoS e processos de traga seu próprio IP na nuvem dependem de dados de registro estáveis. O NRS deve documentar essas dependências dos membros e defender um pacote de migração no qual os RIRs e provedores responsáveis identifiquem campos públicos alterados e inalterados, avisos, serviços obsoletos e o método para verificar o estado final.
O teste deve ser repetido em casos difíceis: IPv4 legado, IPv4 transferido, uso operacional arrendado, atribuições IPv6, números AS, reestruturações corporativas, instruções de insolvência, custódia delegada de RPKI e transferência de DNS reverso. Um serviço que só pode migrar um exemplo artificial limpo não provou portabilidade. Um serviço que pode migrar registros confusos, mas legais, com controles de disputa e reversão, ganhou uma forma mais séria de reconhecimento.
Prova de auditoria significa que estranhos podem reconstruir a história
Auditabilidade não é o mesmo que transparência. Transparência diz que alguns registros são públicos. Auditabilidade diz que um estranho competente, com acesso autorizado a evidências protegidas quando apropriado, pode reconstruir a história consequente e detectar mudanças não autorizadas. Para serviços de numeração, a história inclui quem afirmou autoridade, que evidência foi verificada, que status público mudou, que serviços dependentes foram afetados, quem aprovou a mudança, que objeções foram feitas e como o estado final foi reconciliado com o registro global.
A prova de auditoria proposta pelo NRS deve começar com um exercício de reconstrução. Dê a um auditor independente um recurso e um período de tempo dentro de um RIR ou provedor autorizado. O auditor deve reconstruir o status antigo, eventos pendentes, mudanças aprovadas, reivindicações rejeitadas ou isoladas, endpoints de serviço, transições de chave, notas de disputa e compromissos públicos sem depender de garantias orais da administração do operador.
Técnicas de apêndice apenas ajudam, mas apenas se seus limites forem respeitados. ARFC 9162, que define um modelo de log de transparência, descreve cabeçalhos de árvore assinados, provas de inclusão e provas de consistência. Essas ferramentas podem tornar a equivocação detectável quando monitores comparam visões. Elas não provam que a decisão subjacente estava correta. O NRS deve defender seu uso como controles de evidência pelos operadores, não apresentá-los como substitutos para a política do RIR, revisão de identidade, recurso ou remédio legal.
A prova de auditoria deve ter camadas públicas e protegidas. A camada pública pode mostrar status atual, classe de evento, horário, função do revisor, categoria de razão não sensível, sinalizador de disputa, endpoint de serviço e compromissos criptográficos. A camada protegida pode conter contratos, documentos de identidade, faturas, resoluções do conselho, ordens judiciais, segredos de segurança ou termos de transferência confidenciais. O auditor pode testar o link entre as camadas sem publicar material sensível.
A auditoria externa também precisa de independência. Um serviço não deve selecionar apenas revisores amigáveis, esconder o escopo, publicar apenas elogios ou enterrar descobertas adversas em linguagem vaga. O rascunhoDocumento de Governança do RIR do NRO Versão 2aponta para auditorias periódicas e ad hoc, relatórios resumidos e continuidade de emergência. Se esse rascunho se tornar final ou mudar, a direção é importante: a continuidade do registro deve ser testável por partes além da administração.
O NRS pode ir mais longe como uma fonte independente de verdade. Pode publicar métodos de auditoria propostos, comparar amostras públicas e regras de redação, rastrear descobertas, prazos e correções, e fazer campanha para que RIRs e provedores deem aos titulares históricos de eventos exportáveis. As instituições auditadas, não o NRS, devem fornecer evidências protegidas e permitir que as partes confiantes verifiquem os compromissos públicos.
Apoio comunitário deve significar evidência de adoção
A ICP-2 pede que um candidato a RIR demonstre amplo apoio dos LIRs em uma região proposta. Em um modelo territorial, isso faz sentido. Um registro que deve servir um continente não pode ser imposto a uma comunidade que não o usará. Em um modelo de serviço portátil, no entanto, o apoio comunitário não deve significar permissão dos incumbentes ou um consenso indefinido reunido pelas mesmas organizações cujo monopólio está sob exame.
Para a defesa do NRS, o apoio deve ser medido através de evidências de mandato dos membros e resposta institucional. Quantos operadores endossam os testes propostos? Quantos RIRs publicam dados comparáveis? Quantos auditores aplicam o método? Quantos provedores apoiam exportação e ensaio? Quantas disputas são resolvidas sem estado duplicado? Essas medidas dizem respeito a se sua defesa muda a prática responsável; o trabalho de registro operacional permanece com os registros e provedores competentes.
A evidência de adoção também previne uma armadilha familiar. Reformadores frequentemente buscam reconhecimento de instituições que têm incentivos para negá-lo ou atrasá-lo. Incumbentes podem apresentar sua própria não cooperação como prova de que uma salvaguarda proposta carece de apoio. Um modelo baseado em provas não deve deixar que o porteiro decida se a saída existe. Se o NRS fundamentar sua pesquisa, demonstrar apoio dos membros e persuadir as partes confiantes reais a usar as comparações públicas resultantes, a falta de entusiasmo dos incumbentes não deve ser fatal para o caso de reforma.
O risco inverso é a captura por uma facção estreita. Um serviço pode ser popular entre titulares insatisfeitos e ainda assim inseguro para a Internet mais ampla. A evidência de adoção deve, portanto, ser equilibrada com testes de conflito, tratamento de abuso, acesso de pequenos titulares, distribuição geográfica, transparência financeira, revisão independente, resultados de segurança pública e resultados de recurso. O reconhecimento por prova não é veto do incumbente nem aplauso insurgente.
Os próprios materiais de primeira parte do NRS tornam isso especialmente importante. O FAQ do NRS descreve uma organização global sem fins lucrativos de associação que faz campanha, capacita e apoia empresas em torno de interesses de IP. A carta enfatiza limites de contabilidade, registro preciso e reconhecimento voluntário. Essas declarações definem um papel de defesa e representação de membros, não uma identidade de RIR, NRO ou operador de registro. O NRS deve manter sua pesquisa baseada em fontes e não deve converter a lealdade dos membros em autoridade operacional.
O padrão correto é, portanto, influência graduada. No primeiro nível, o NRS publica pesquisa baseada em fontes e evidências de membros. No segundo, partes privadas podem usar essas análises em transferência, finanças, seguros ou diligência de aquisição. No terceiro, a ICANN, IANA, NRO ou RIRs podem adotar salvaguardas através de seus próprios processos autorizados. Em nenhum nível uma publicação do NRS se torna uma alocação autoritativa ou registro de registro.
A IANA pode certificar sem se tornar uma proprietária política
O papel atual da IANA nos recursos numéricos é estreito e importante. Sua página de recursos numéricos identifica a responsabilidade pela coordenação global dos sistemas de endereçamento IP e números AS, alocação de pools para RIRs sob política global e documentação de atribuições de protocolo da IETF. Ela não aloca diretamente para ISPs ou usuários finais. Essa estreiteza é uma força. A questão é como um caminho de reconhecimento futuro pode usar a posição de unicidade da IANA sem transformá-la em uma proprietária política de cada disputa downstream.
A resposta é certificação por invariante, não aprovação por favor. O reconhecimento voltado para a IANA deve perguntar se um serviço preserva a unicidade global, publica endpoints de serviço coerentes, suporta serviços dependentes seguros, fornece exportação de evidências, coopera com a continuidade de emergência, passa na auditoria, expõe categorias de recusa fundamentadas e permite revisão. Não deve perguntar se o serviço compartilha a mesma política de um incumbente ou se promete proteger um monopólio regional existente da concorrência.
OSLA para Serviços de Numeração da IANAde 2016 é um exemplo existente de responsabilidade formal de serviço em uma fronteira reconhecida. É entre a ICANN e os cinco RIRs, não entre a IANA e cada titular. Não cria direitos do NRS. Mas prova que o serviço de recursos numéricos pode ser definido por acordos, níveis de serviço, revisão e escalada, em vez de aura. O reconhecimento futuro pode estender essa disciplina: especificar o serviço, medir o serviço, revisar o serviço e definir a consequência quando o serviço falhar.
A certificação da IANA também deve ser modular. Um serviço pode primeiro ser certificado para compatibilidade de log de auditoria, depois para recibos suplementares do titular, depois para ensaios de migração, depois para eventos de portabilidade de serviço ao vivo sob condições estreitas. Um módulo falho não deve destruir evidências não relacionadas. Um módulo bem-sucedido não deve conceder autoridade geral. O reconhecimento modular mantém o serviço honesto porque cada afirmação tem um escopo definido.
Essa abordagem também protege os incumbentes. O NRS não pode exigir reconhecimento operacional invocando linguagem de reforma, porque não é o operador. Suas evidências e metodologia devem resistir ao escrutínio, enquanto os RIRs e provedores qualificados devem passar nos testes relevantes de unicidade, segurança, migração e auditoria. O reconhecimento continua sendo uma responsabilidade das instituições autorizadas, não um escudo político ou prêmio de defesa.
O teste do operador é prático, não ideológico
Os operadores de rede não são servidos pela pureza ideológica. Eles precisam de registros em que outras redes, fornecedores, clientes e autoridades possam confiar. Antes de confiar em um relatório do NRS, um operador deve fazer uma lista de verificação prática sobre as evidências subjacentes da IANA, RIR e provedor. Posso provar que este recurso é o mesmo recurso reconhecido na história institucional? Posso provar que nenhuma reivindicação atual conflitante está oculta? Posso exportar minhas evidências se eu sair? O provedor responsável pode se recuperar após uma perda de chave?
A autorização de origem de rota pode sobreviver a uma mudança de serviço? Os clientes podem verificar o estado público sem ver contratos confidenciais?
O operador também deve testar a latência. Um registro que é preciso, mas lento, pode falhar em uma transação. Uma ordem judicial, fechamento corporativo, convênio de credor, emergência de abuso ou migração de cliente pode ter uma janela de tempo. O NRS deve fazer campanha para que os RIRs e provedores autorizados publiquem tempos de resposta alvo e reais para mudanças de alto risco, atualizações comuns, sinalizadores de disputa, retenções de emergência, respostas de auditoria e reversão.
O custo importa. Um serviço portátil que é tecnicamente elegante, mas com preço apenas para grandes detentores de endereços, reproduziria a mesma desigualdade que critica. A prova de reconhecimento deve incluir acesso para redes menores, classes de taxa claras, isenções de taxa ou níveis de garantia escalonados, e explicação pública do que cada serviço pago cobre. Se auditoria, revisão e migração custam dinheiro, o custo deve ser visível em vez de escondido dentro de atrito discricionário.
Os operadores devem testar a recusa. Um serviço de registro justo deve às vezes dizer não: não a reivindicações duplicadas, autoridade forjada, sucessores corporativos não verificados, mudanças de chave inseguras, divulgação abusiva ou solicitações de emergência fora do padrão definido. A qualidade de um serviço é mostrada não apenas pelas aprovações, mas pelas recusas fundamentadas. O NRS deve rastrear se os RIRs e provedores autorizados publicam categorias de recusa, vias de recurso, opções de correção e estatísticas, e representam os membros quando essas vias falham.
O teste final do operador é a capacidade de sobrevivência. O que acontece se um RIR ou provedor autorizado falhar, perder financiamento, for processado, mudar de gestão, sofrer uma violação grave ou for capturado por uma facção? O NRS deve pressionar esses operadores a manterem depósito, regras de sucessão, pontos de verificação de testemunhas independentes, exportação do titular e um caminho de encerramento. O próprio NRS deve preservar seu arquivo de pesquisa e registros de associação, mas não deve implicar que esses arquivos são estado de registro autoritativo.
Falha deve ser desqualificante quando ameaça a unicidade
O reconhecimento baseado em provas deve ser generoso em relação à experimentação e severo em relação aos invariantes centrais. Um novo serviço pode melhorar sua interface de usuário, cadência de relatórios, categorias de reclamação ou design de taxas sem perder toda forma de confiança. Não pode ser casual sobre estado atual duplicado, mudanças de chave não autorizadas, incidentes de segurança ocultos, falsificação de evidências públicas, recusa em cooperar com auditoria externa ou incapacidade de exportar registros do titular.
A linha dura é necessária porque os recursos numéricos carregam efeitos externos. Uma mudança de estado ruim não prejudica apenas o provedor de serviços e seu cliente. Pode afetar a aceitação de rota, entrega de correio, resposta a abuso, verificações de aquisição, integração em nuvem, financiamento, continuidade do cliente e litígio transfronteiriço. Quanto mais a Internet depende de um registro, menos tolerância pode haver para conflito invisível.
A desqualificação também deve ser limitada. Se um RIR ou provedor de certificação falhar em um teste de migração RPKI, a função de certificado relevante deve enfrentar restrições proporcionais. Se um operador de registro falhar em uma prova de log de auditoria ou aceitar estado atual duplicado, os corpos autorizados devem pausar as transições afetadas, notificar as partes confiantes e acionar revisão independente. O NRS pode documentar a falha e fazer campanha por consequências proporcionais; não pode congelar recursos por conta própria.
É aqui que a patronagem falha. Um sistema de patronagem muitas vezes tolera a falha de um incumbente porque o incumbente é sistemicamente importante, enquanto trata a falha menor de um novo entrante como prova de inaptidão. Também permite exceções amigáveis. O reconhecimento baseado em provas deve publicar as mesmas classes para cada serviço qualificado: aviso, cura, módulo suspenso, operador de emergência, devolução, perda permanente de qualificação e auditoria pós-falha.
O NRS deve acolher essa severidade. Uma tese positiva do NRS depende da aplicação de padrões rigorosos, mesmo às reformas que apoia. Se desculpar evidências fracas porque uma proposta é reformista, enfraquece seu próprio caso. Se sua pesquisa sobreviver à revisão adversária e as salvaguardas operacionais que defende sobreviverem aos testes, os operadores ganham razões para confiança que não dependem de retórica.
O reconhecimento por prova muda os incentivos
O maior benefício do reconhecimento baseado em provas não é apenas que um novo serviço pode entrar. É que todo serviço existente tem que se tornar mais legível. Os incumbentes não podem mais responder a uma proposta de portabilidade dizendo que são reconhecidos e o desafiante não. Eles têm que mostrar seus próprios controles de segurança, auditabilidade, segurança de migração, razões de recusa, continuidade de serviço e prontidão para emergências.
Essa disciplina melhora o sistema atual sem transformar o NRS em um operador. Se o NRS publicar um formato de exportação de titular proposto melhor, os incumbentes devem explicar exportações mais fracas. Se documentar práticas de notação de disputa mais fortes, os incumbentes devem explicar congelamentos opacos. Se sua pesquisa identificar correção segura mais rápida em outro lugar, um incumbente deve justificar o atraso. A concorrência na qualidade da evidência é mais saudável do que a concorrência no acesso político.
Também muda o papel da IANA. Em vez de decidir quem pertence a um clube, o reconhecimento voltado para a IANA pode se tornar uma escada de garantia. Serviços que atendem à escada obtêm interoperabilidade estritamente definida. Serviços que falham perdem essa classe de confiança. A escada pode ser pública, testável e revisável. Esse é um modelo mais estável do que aquele em que o status de reconhecimento é tão difícil de ganhar e tão difícil de perder que se torna tanto uma franquia quanto um escudo.
O modelo não resolve todas as questões legais. Tratamento de propriedade, interpretação de contrato, empréstimo garantido, prioridade de insolvência, sanções e autoridade judicial permanecem questões jurisdicionais e factuais. Um serviço de registro baseado em provas pode registrar uma ordem judicial, um status de disputa ou um pacote de evidências de transferência; não pode fazer todos os tribunais concordarem. Essa humildade faz parte do design. O reconhecimento deve preservar um registro limpo de compromissos e evidências, não converter o NRS em um tribunal mundial, registro ou substituto do NRO.
O modelo também não exige que o público aceite todas as afirmações do NRS de uma vez. A influência pode ser incremental: pesquisa baseada em fontes, diligência privada, teste de software, revisão de auditoria, pilotos de portabilidade de serviço executados por RIR, melhorias na descoberta pública e módulos de reconhecimento formalmente autorizados. Um sistema que só pode imaginar rejeição total ou autoridade total já concedeu demais à lógica da patronagem.
Uma escada de qualificação pode começar antes da autoridade formal
O caminho prático para o NRS é uma escada de defesa, não um precipício. O primeiro degrau é a evidência voluntária dos membros: o NRS pode documentar como os titulares experimentam verificações de identidade, transferências, correções e falhas de serviço, citar registros reconhecidos da IANA e RIRs, e publicar um dossiê de pesquisa explicitamente não autoritativo. Nunca deve emitir um recibo que se assemelhe a uma alocação ou credencial de registro.
O segundo degrau pode ser a reconstrução independente. O NRS pode convidar auditores e monitores técnicos a escolher casos de amostra e testar a cadeia a partir de registros públicos, evidências consentidas dos membros e compromissos institucionais. O resultado não é uma promessa de que cada reivindicação do titular está correta. É evidência de que o método de pesquisa preserva fontes, divulga incerteza e explica por que uma reivindicação recebeu sua avaliação publicada.
O terceiro degrau pode ser um ensaio de dependência observado executado pelos RIRs e provedores relevantes. Para um recurso cujo status reconhecido permanece inalterado, o NRS pode propor o teste, recrutar observadores membros consentidos e publicar resultados cobrindo prontidão RDAP, continuidade de contato de abuso, coordenação de DNS reverso, transição de chave RPKI, avisos, reversão e avisos de dados obsoletos. Os operadores autorizados executam o ensaio e mantêm o controle de todos os sistemas ao vivo.
O quarto degrau pode ser o uso restrito da pesquisa do NRS por partes privadas. Um corretor ou credor pode consultar uma análise de caso do NRS juntamente com o registro autoritativo do RIR. Um provedor de nuvem pode usar os relatórios do NRS sobre processos de disputa como um sinal de governança suplementar, enquanto trata apenas os registros institucionais reconhecidos como autoritativos. Esses usos não vinculam a IANA, um RIR, um tribunal ou qualquer não membro.
O quinto degrau pode ser o reconhecimento piloto formal para classes de eventos definidas. Um piloto pode permitir uma mudança de registro qualificado para um conjunto limitado de recursos de baixo conflito, com reversão pré-arquivada, monitoramento independente e declarações explícitas de que o roteamento permanece fora do livro-razão. Outro piloto pode permitir publicação suplementar de emergência se um serviço incumbente estiver indisponível, sem alterar o status do titular. Cada piloto deve ter critérios de entrada, regras de publicação, regras de incidente, regras de encerramento e um relatório público.
Esta escada é politicamente mais segura do que uma demanda por equivalência instantânea. Dá ao sistema existente a chance de igualar as melhorias propostas pelos defensores. Se um incumbente publicar melhores exportações, correções mais rápidas, estados de disputa mais claros e auditorias mais fortes em resposta, o NRS já melhorou o mercado de evidências. Se os incumbentes não responderem e a pesquisa do NRS continuar documentando a lacuna, o caso para salvaguardas formalmente adotadas torna-se empírico.
O padrão de evidência deve incluir casos adversários
Uma demonstração suave não é suficiente. Qualquer serviço pode parecer seguro quando todo candidato é cooperativo, todo recurso é limpo e todo auditor é amigável. Um teste de reconhecimento deve incluir casos adversários projetados para expor suposições fracas. O objetivo não é envergonhar um serviço candidato. O objetivo é aprender se o serviço falha com segurança.
Um caso adversário é a autoridade obsoleta. Uma pessoa que uma vez controlou uma conta de titular apresenta documentos antigos e exige uma mudança de registro. Um serviço seguro verifica a sucessão corporativa, a autoridade atual, a revogação e as instruções concorrentes antes de emitir qualquer mudança de estado pública. Se a evidência estiver incompleta, o serviço registra uma consulta protegida ou uma solicitação rejeitada, não um evento limpo.
Outro caso é o conflito de intervalo. Um bloco de cobertura tem um titular histórico, um fragmento mais específico tem um cliente operacional atual, e um terceiro afirma ter comprado todo o bloco de cobertura. Um serviço seguro não achata o conflito em um vencedor. Ele mapeia intervalos, identifica quais reivindicações se sobrepõem, verifica se o uso mais específico tem autoridade separada e isola as partes disputadas até que a classe de evidência seja resolvida.
Um terceiro caso é a chantagem de serviço. Um registro de saída se recusa a cooperar com a mudança de um titular e adverte as partes confiantes de que qualquer novo registro é ilegítimo. Um design de portabilidade seguro não permite que o registro de saída veto a saída pelo silêncio. Exige aviso, dá ao registro de saída uma janela de objeção definida, registra qualquer disputa real e permite a mudança se a autoridade do titular e o plano de dependência passarem nos testes objetivos.
Um quarto caso é a captura do reformador. Um apoiador submete um caso fraco e espera cobertura favorável do NRS porque a organização desafia os incumbentes. Um corpo de defesa crível se recusa a lavar a reivindicação e publica sua razão probatória. Prova independência ao decepcionar aliados tanto quanto oponentes.
Um quinto caso é o comprometimento de segurança. Um atacante obtém uma credencial de titular e tenta mudar endpoints de serviço durante um fim de semana. Um serviço seguro usa controles de mudança de alto risco, confirmação fora da banda, períodos de espera ou revisão de emergência, e deixa evidências da tentativa. O titular deve poder se recuperar sem que o registro público finja que o ataque nunca aconteceu.
Esses casos transformam o reconhecimento em disciplina de engenharia. O NRS pode publicar resultados de fontes independentes sem expor evidências protegidas, atribuindo claramente cada rejeição, quarentena, objeção de provedor e contenção de segurança ao RIR, operador, revisor ou autoridade legal que realmente tomou a decisão. Essas divulgações fariam mais pela confiança do que a linguagem institucional polida.
A patronagem falha em ambos os lados da disputa
A patronagem é frequentemente defendida como estabilidade. O argumento é que as instituições existentes são conhecidas, que as redes já dependem delas, e que permitir que um desafiante interoperará criará confusão. Há verdade na preocupação com a estabilidade. A substituição súbita e não supervisionada seria imprudente. Mas a patronagem não é o mesmo que estabilidade. A patronagem protege a posição do tomador de decisão. A estabilidade protege os invariantes do livro-razão.
A diferença importa para os incumbentes. Se um serviço incumbente é genuinamente confiável, o reconhecimento baseado em provas o mostrará. Seu status público será coerente, suas correções oportunas, seus incidentes de segurança tratados, suas auditorias limpas, suas regras de migração justas e seus planos de emergência testados. Tal incumbente não deve temer a comparação objetiva. Deve temer apenas um padrão que dê crédito igual a evidências mais fracas.
A diferença importa para os desafiadores. Um desafiante que enfrenta patronagem tem um incentivo para construir política em torno do ressentimento. Um desafiante que enfrenta prova tem um incentivo para construir registros mais fortes. O NRS é mais provável de amadurecer como uma fonte de defesa confiável se o caminho da reivindicação à evidência publicada for visível e difícil. Se o único caminho é persuadir os incumbentes a renunciar ao privilégio, todo debate se torna existencial. Se o caminho é evidência e teste institucional autorizado, a reforma pode melhorar uma salvaguarda de cada vez.
A diferença também importa para os usuários dos dados. Uma plataforma de nuvem, mesa de abuso, corretor, credor ou agência pública não precisa entrar em um debate filosófico para avaliar uma prova. Pode perguntar se o registro tem um sinalizador de conflito, se uma migração foi ensaiada, se o registro é qualificado, se o evento é atual, se os serviços dependentes mudaram e se um auditor pode reconstruir a base. Essas são perguntas práticas com respostas práticas.
A patronagem, portanto, enfraquece tanto a responsabilidade quanto a confiança. Nega aos desafiadores um caminho justo enquanto permite que os incumbentes se apoiem no status herdado. Um regime de provas é mais rigoroso, mas mais justo. Diz ao NRS: sua defesa tem peso apenas na medida em que você pode provar a reivindicação. Diz aos incumbentes e provedores propostos: vocês permanecem confiáveis apenas na medida em que podem provar o serviço. Esse é o acordo que um sistema de numeração sob escassez precisa.
O pacto positivo do NRS
O NRS pode fazer uma oferta poderosa à Internet se declarar o pacto claramente. Não reivindicaremos autoridade operacional porque nos opomos aos incumbentes, porque nossos membros estão frustrados ou porque um patrocinador político nos prefere. Pesquisaremos, faremos campanha e representaremos os membros; as instituições autorizadas devem adotar e operar quaisquer salvaguardas resultantes através de seus próprios processos responsáveis.
Para a unicidade, o NRS defende estado único atual, detecção de sobreposição, quarentena de conflito e notação pública de disputa pelos registros responsáveis. Para a segurança, defende funções separadas, chaves protegidas, compromissos testemunhados, divulgação de incidentes e recuperação testada por operadores de certificação e repositório. Para a migração, defende ensaios secos executados por RIRs e provedores, continuidade do cliente e reversão. Para auditoria e governança, defende reconstrução independente, direitos de exportação, recusa fundamentada, recurso e revisão externa.
Esse pacto dá aos apoiadores um argumento melhor. Eles não precisam mais apresentar o NRS como um substituto moral para cada RIR, ou como uma resposta perfeita para cada queixa histórica. Podem apresentá-lo como uma organização de defesa que ganha confiança definida através de pesquisa baseada em fontes, representação de membros e resultados institucionais observados. Quanto mais rigorosa a prova, mais forte a tese positiva se torna.
Também dá aos céticos uma objeção melhor. Um cético não precisa dizer que nenhum novo modelo de serviço de numeração pode ser considerado porque o sistema existente é o sistema existente. O cético pode dizer: aqui está o teste de unicidade que o operador proposto falhou; aqui está o caso de migração que os provedores responsáveis trataram mal; aqui está a lacuna de auditoria; aqui está a recuperação de segurança não demonstrada. Essas objeções são úteis porque o NRS pode corrigir suas evidências ou restringir a reivindicação de defesa.
O reconhecimento por prova é, portanto, mais do que uma estratégia de entrada. É o princípio constitucional para um futuro de numeração portátil. Os incumbentes não devem ser protegidos pela patronagem. Os reformadores não devem ser desculpados pelo idealismo. A Internet deve confiar em um serviço de numeração na medida em que o serviço prova os invariantes dos quais todos os outros dependem.
Fontes
- ICANN ICP-2 critérios para novos Registros Regionais da Internet
- Recursos Numéricos da IANA
- RFC 7020: O Sistema de Registro de Números da Internet
- RFC 9224: Encontrando o Serviço RDAP Autoritativo
- RFC 6480: Uma Infraestrutura para Apoiar o Roteamento Seguro da Internet
- RFC 9162: Transparência de Certificados Versão 2.0
- Documento de Governança do RIR do NRO Versão 2
- SLA do NRO para Serviços de Numeração da IANA
- Carta da Number Resource Society
- Nota de Lu Heng sobre portabilidade de recursos numéricos e revisão da ICP-2

