===================================
__
/P▲ ◆ JPNIC News & Views vol.784【臨時号】2010.9.28 ◆
_/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.784 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本号では、vol.781、vol.782に続き、2010年8月にオーストラリアのゴールド
コーストで開催されたAPNIC30ミーティング報告 [第3弾]として、「リソース
PKI関連報告」をお届けします。
なお、「全体報告」および「APOPSレポート」につきましては、以下のバック
ナンバーをご覧ください。
□APNIC30ミーティング報告
○[第1弾] 全体報告(vol.781)
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol781.html
○[第2弾] APOPSレポート(vol.782)
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2010/vol782.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ APNIC30ミーティング報告 [第3弾] リソースPKI関連報告
JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本稿では、APNICにおけるリソースPKI(以下、RPKIと呼ぶ)の動向や、RIRにお
けるデータベースの動向について報告します。
前回のAPNIC29ミーティングで行われたRPKI BoFに続き、今回はRPKIセミナー
と呼ばれるセッションが行われました。RPKIに関する話題は、3日目(2010年
8月26日)に行われたライトニングトークやRIRの活動報告、APNICのメンバー
ミーティングでも挙がりました。
◆RPKIセミナー
RPKIセミナーでは、RPKIツールの開発状況やRIRの取り組み状況が報告され、
ディスカッションが行われました。セミナーという名前ではありますが、
チュートリアルではなく活動紹介を集めたようなセッションでした。各々が
興味深いプレゼンテーションでしたので、内容を紹介します。
RPKIセミナーで行われたプレゼンテーションの内容
(1) BBN's RPKI Relying Party Software
RPKIの証明書検証プログラムの設計と開発を行っているBBNテクノロ
ジーズ社のStephen Kent氏によるツールの紹介です。IETF SIDR
(Secure Inter-Domain Routing)WGで新たに提案されたRPKI/Router
Protocol(*1)を実装しています。このプロトコルは、RPKIサーバと呼
ばれるリソース証明書を処理するサーバとルータの間で使われるプロ
トコルで、キャッシュと呼ばれる、リソース証明書の検証結果を含ん
だデータをBGPルータに送ることができます。今後ソースコードが公
開される予定です。
(*1) "The RPKI/Router Protocol", Randy Bush, Rob Austin,
http://tools.ietf.org/id/draft-ietf-sidr-rpki-rtr-02.txt
(2) RPKI Tools from Soup to Nuts
ISC(Internet Systems Consortium)で、RPKIのツール開発を行ってい
るRob Austein氏による開発状況の報告です。ISCのRPKIツールは、IP
アドレスのリストからリソース証明書を発行したり、リソース証明書
が格納された複数のリポジトリの間で、リソース証明書の交換を行っ
たりする機能を持っています。
2009年11月に広島で開催された第76回IETFの時には、既に一連の動作
をするまでに開発されていましたが、その後、RPKIサーバとルータの
間の通信や、リソース証明書の検証結果をBGPルータで使うための設
定、IRRのようなWHOISサービスなどが実装されました。このプログラ
ムは、以下のURLから入手可能です。
Resource PKI Software
http://www.rpki.net/
(3) RIPE NCC Certification Software
RIPE NCCのレジストリシステムであるLIR Portalの、リソース証明書
関連のユーザーインタフェースの紹介です。LIR Portalは、JPNICの
Web申請システムにあたります。Webインタフェースでリソース証明書
やROA(Route Origin Authorizations)の生成や管理を行うことができ
ます。2年程前にご紹介したことのある(*2)certtestというプロトタ
イプシステムと基本的な機能は変わっていませんが、当時RIPE NCCの
メンバーでなくても試すことができたものが、今は実際の割り振り/
割り当ての通りに提供されるようになり、RIPE NCCのメンバーのみが
利用できるようになっています。
(*2) JPNIC News & Views vol.592
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2008/vol592.html
またRIPE NCCでは、RIPE NCC Validatorと呼ばれるリソース証明書
の検証ツールがJavaを使って開発されました。このプログラムも、
RPKI/Routerプロトコルを実装しています。
http://labs.ripe.net/Members/agowland/ripe-ncc-validator-for-resource-certification
(4) Using RPKI tools in MyAPNIC
APNICのMyAPNICにおける、RPKIの実装に関する紹介です。新たに、ROA
(Route Origin Authorizations)をグループ単位で管理できるインタ
フェースが加わりました。これにより、数多く発行されることが予測
されるROAを、一度にグループ全体で更新することなどができるよう
になりました。また、リソース証明書の検証を行うための公開用Web
ページの準備が進められているようです。
質疑応答の時間には、RIRで提供されているRPKIのツールにおける、秘密鍵の
管理方法について議論されました。LIR PortalとMyAPNICは、ユーザーの秘密
鍵がWebサーバ側で保管されています。Webサーバ側で保管されていることに
ついて、ARINのチェアであるJohn Karren氏は、多くのユーザーの秘密鍵が同
時に漏洩してしまう構造である点を指摘しました。これに対して、現在はWeb
サーバ側であるが、将来はユーザー側で管理することが考えられるという意
見が挙がったり、それには鍵の生成と安全な切り替えを行う必要があるといっ
たりした議論が行われました。
◆ライトニングトークにおけるRPKIの話題
APNICミーティングの3日目に行われたライトニングトークでは、RPKIを導入
することの経路ハイジャックに対する効果について、RIPE NCCのMark Dranse
氏が紹介していました。2008年2月に起こったYouTubeの経路ハイジャック事
件のように、Origin ASが本来とは異なり、かつASパス長が短くなるような経
路情報が流されるタイプの経路ハイジャックに対して、RPKIがどの程度有効
なのかをRIS(*3)のデータを使って試算しています。
経路ハイジャックが成功しうる経路情報の組み合わせは、今回対象とした80
程度のASにおける経路数の34.2%あります。しかしRPKIを導入すると、これを
13.6%に下げることができるとのことです。当然のことながら、この数値はAS
によって違いがあり、7%~22%と幅があります。またこれは、Origin ASの確
認が100%行われ、必ずASパス長が最も短い経路が優先される、といったシン
プルかつ有利に働く条件で試算されています。
(*3) Information Services (RIPE NCC)
http://is-portal.ripe.net/
◆RIRにおけるRPKIの取り組み
APNICメンバーミーティング(AMM)での報告によると、APNICではAfriNICでの
RPKIの導入に協力し、現在のテスト段階からAfriNICメンバーへの提供がで
きる段階まで引き上げていく活動を行っているようです。
APNICとRIPE NCCでは既にメンバーにリソース証明書を提供しており、ARINで
も試験的に、メンバーのうち希望者に対しては提供されています。今後
AfriNICで提供されると、四つの地域でリソース証明書が使えることになりま
す。
しかし、NIRからアドレスの割り振りを受けている事業者は、リソース証明書
を技術的に試すこともできません。今後、アジア太平洋地域でどのように取
り組んでいくべきなのかを考える段階に入っていくと考えられます。
◇ ◇ ◇
AMMの活動報告に関するプレゼンテーションの中で、DNSSEC対応が完了し、
MyAPNICでDSレコードが登録できるようになったことが報告されました。ある
技術がどの程度役に立つのかを議論し、綿密に検証していくことは大事なこ
とではありますが、RIPELabsやAPNICのDNSSECに対する取り組みのように、短
期間で実装し、試験利用を通じて効果や利便性を考えていくというアプロー
チには興味深いものがあります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
わからない用語については、【JPNIC用語集】をご参照ください。
http://www.nic.ad.jp/ja/tech/glossary.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: http://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: http://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
JPNIC News & Views vol.784 【臨時号】
@ 発行 社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田2-3-4 国際興業神田ビル6F
@ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
本メールを転載・複製・再配布・引用される際には
http://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更 http://www.nic.ad.jp/ja/mailmagazine/
■■◆ @ Japan Network Information Center
■■◆ @ http://www.nic.ad.jp/
■■
Copyright(C), 2010 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
- JPNIC会員
