===================================
__
/P▲ ◆ JPNIC News & Views vol.1154【臨時号】2013.12.19 ◆
_/NIC
===================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1154 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本号では、vol.1152、vol.1153に続いて、カナダのバンクーバーで開催され
た第88回IETFレポート[第3弾]として、セキュリティ関連WGのうちから、イン
ターネットのルーティングセキュリティとして関心が高まっている、RPKIの
動向を中心にご報告します。
昨日までに発行した、全体会議報告およびIPv6関連WG報告については、下記
のURLからバックナンバーをご覧ください。次号では、DNS関連WG報告をお届
けする予定です。
□第88回IETF報告 特集
○[第1弾] 全体会議報告 (vol.1152)
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1152.html
○[第2弾] IPv6関連WG報告 ~6man WG、v6ops WGについて~ (vol.1153)
https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1153.html
なお、この第88回IETFの報告会を、明日12月20日(金)にISOC Japan Chapter
とJPNICの共催で、東京・神田神保町の株式会社インターネットイニシアティ
ブ本社会議室にて開催いたします。
参加費は無料で、登録受付は本日19日(木)17:00までとなっております。
本レポートをお読みになりご興味を持たれた方は、ぜひご参加ください。
■ IETF報告会(88thバンクーバー)開催のご案内
https://www.nic.ad.jp/ja/topics/2013/20131205-02.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第88回IETF報告 [第3弾] セキュリティ関連WG報告 ~RPKIの動向~
JPNIC 技術部/インターネット推進部 木村泰司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本稿では、セキュリティ関連WGのうち、インターネットのルーティングセキュ
リティ技術として注目されている、リソースPKI (Resource Public-Key
Infrastructure; RPKI)の動向をまとめてお送りします。
RPKIは、IPアドレスの記載された電子証明書(以下、リソース証明書と呼ぶ)
と、AS番号が記載されたROA (Route Origin Authorization)と呼ばれる電子
署名のついたデータを使って、不正な経路情報を検出できるセキュリティの
技術です。
今回のIETFでは、WGでの議論に加えて、LACNICからエクアドルでのRPKI導入
に関する興味深い発表がありましたので、SIDR WGの報告と併せて、この
LACNICのプレゼンテーションについても取り上げます。
◆ SIDR WG - BGPSECの仕様策定は足踏み状態、Origin Validationの改良が
続く
SIDR (Secure Inter-Domain Routing)WGは、インターネットにおける経路制
御のための、PKI技術を使ったセキュリティの仕組み、すなわちRPKIを使った
セキュアなルーティングの仕様を検討しているWGです。第88回IETFミーティ
ングでは、2時間半のミーティングが1回行われました。参加者は40名ほどで、
多くが常連の顔ぶれでした。
SIDR WGでは、経路情報のAS番号とIPアドレスの組み合わせを確認するOrigin
Validation(経路広告元ASの検証技術)と、ASパスを確認するPath Validation
(ASパスの検証技術)の二つの技術課題に取り組んでおり、この二つが合わさっ
たものはBGPSECと呼ばれています。WGでは、Origin ValidationのRFC化が2013
年初頭に進み、今度はPath Validationのドキュメントを準備している段階で
す。
今回のミーティングで行われた、主なプレゼンテーションを簡単に紹介しま
す。
□ An Out-Of-Band Setup Protocol For RPKI Production Services
(RPKI発行サービスのための out-of-band の鍵セットアッププロトコル)
リソース証明書は、発行先と発行元の間でセキュアな通信を行うため
に、最初におのおのの公開鍵や名称を交換しますが、そのプロトコルの
策定を提案するプレゼンテーションです。特にプロトコルの定まってい
ない現在は、USBメモリや電子署名つきのメールなどさまざまな方法で
行われています。
□ A Publication Protocol for the Resource Public Key Infrastructure
(RPKIのデータ公開プロトコル)
リソース証明書やROAを公開するための、XML (Extensible Markup
Language)ベースのプロトコルの提案です。現在はrsyncが使われていま
すが、この公開プロトコルに転送プロトコルなどを加えることで、rsync
の代替になることを含めて検討されています。
□ A Fail-safe Mechanism for the RPKI
(RPKIのためのフェイルセーフの機構)
特定のROAの署名検証に使われる認証局(Certificate Authority; CA)
を、通常のRIRのものと別にすることができる方式の提案です。RIRと異
なるCA、すなわちRIRのプリフィクスを扱えるLTAM (Local Trust Anchor
Management)に代わる方式で、独自のRPKIのツリー構造を構築できるよ
うにするために提案されています。
WGで行われている議論は、IPアドレスの移転への対応のように、Origin
Validationの仕組みを補強したり、特定の用途で使うために考えられている
もので、まだまだPath ValidationのRFC化に向けた議論には至っていない状
況です。日本国内ではAS Pathを使った経路フィルターが導入されているASが
多いと言われており、今後のPath Validationの動向が気になるところです。
◆ エクアドルにおける急速な導入 - 総プリフィクスの90%がカバーされる
エクアドルは、ラテンアメリカの地域インターネットレジストリ(RIR;
Regional Internet Registry)であるLACNICから、IPアドレスの割り振りを受
けている国です。経路情報としては、8,800ほどのプリフィクスが観測されて
います。
2013年9月に、このうちの90%をカバーするリソース証明書とROAが、一斉に発
行されました。ROAにはIPアドレスとAS番号が書かれているため、インター
ネットの他のASからROAに書かれているIPアドレスが経路広告された場合に
は、検出することができます。検出自体はエクアドル国内でなくてもできる
ため、例えばヨーロッパやアジアにあるASであっても、エクアドル国内のプ
リフィクスが経路広告されたときには、それを観測できることになります。
IETFミーティングの初日に行われたIEPG (Internet Engineering and
Planning Group)ミーティングでは、LACNICのスタッフであるSofia Silva
Berenguer氏よって、このイベントについてプレゼンテーションされました。
□ RPKI and Origin Validation Deployment in Ecuador
http://iepg.org/2013-11-ietf88/RPKI-Ecuador-Experience-v2b-1.pdf
今回、RPKI導入の主役となったのはNAP.ECというIXPで、エクアドル国内の97%
のネットワークを収容しています。RPKIを導入するイベントは2013年の7月と
9月に行われ、9月にROAの一斉発行が行われました。このイベントは、RPKIが
普及しないために導入効果が上がらず、同時にそのことが普及の足止めになっ
ている、いわゆる"鶏卵問題"を解消するため、LACNICの協力のもと開催に至っ
たとのことでした。ROAの発行だけでなく、NAP.ECで経路情報を配布している
ルートサーバに、RPKIの電子署名の検証を行う"RPKI cache"が導入されてい
るとのことです。ただし、検証結果に応じてルートサーバの挙動を変えるわ
けではないようです。
今後、不適切な経路情報の検出が実際にはどの程度できるようになり、イン
ターネット経路制御の運用に役立つのかが注目されます。今回の話題は、
LACNICのブログに詳しく掲載されています。
□ Deployment of RPKI and BGP Origin Validation in Ecuador, LACNIC
http://labs.lacnic.net/site/RPKIandOriginValidationEcuador
◇ ◇ ◇
RPKIの可視化サイトで知られている、オランダにあるSurfnetのRPKI
Dashboardによると、2013年12月12日現在、RPKIを使って経路広告元ASの判定
ができるプリフィクスは22,808あります。国際的な経路情報の総量は515,101
観測されていることから、そのうちの4.4%ほどであることがわかります。ま
たROAの発行の段階で、既にAS番号が実際の経路と異なっているものが1,196
あります。従って、ISPなどにおいて実運用されているとは、まだまだ考えに
くい段階にあると言えます。
今後、実際にRPKIが使われていくためには、発行数を増やすだけでなく、IP
アドレス担当者と経路制御の担当者が連絡し合い、正しいASが入ったROAが発
行されていく必要があると考えられます。
□ RPKI Dashboard
http://rpki.surfnet.nl/
次回の第89回IETFは、2014年3月2日(日)~7日(金)、イギリスのロンドンで行
われます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
わからない用語については、【JPNIC用語集】をご参照ください。
https://www.nic.ad.jp/ja/tech/glossary.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃ ◆◇◆◇◆ 本号のご感想をお聞かせください ◆◇◆◇◆ ┃
┃良かった ┃
┃→ http://feedback.nic.ad.jp/1154/657b0f7c03291d60dc4a96affb3dc552┃
┃ ┃
┃悪かった ┃
┃→ http://feedback.nic.ad.jp/1154/6b8e5108bdba9943b5c27156868e94c3┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
JPNIC News & Views vol.1154 【臨時号】
@ 発行 一般社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
@ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
本メールを転載・複製・再配布・引用される際には
https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
■■◆ @ Japan Network Information Center
■■◆ @ https://www.nic.ad.jp/
■■
Copyright(C), 2013 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
- JPNIC会員
