━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ __ /P▲ ◆ JPNIC News & Views vol.1936【臨時号】2022.7.27 ◆ _/NIC ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ News & Views vol.1936 です ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ RPKIは、レジストリのデータベースに基づいて、リソース証明書と呼ばれる 電子証明書を提供することで、IPアドレスやAS番号といったインターネット 資源の正統性を証明・検証するための仕組みです。本号では、RPKIの起源や デザインコンセプト、そして最近の話題を紹介します。 なお、本号の内容は、JPNICブログでもご覧いただけます。ブログ記事では図 表などを用いたよりわかりやすい内容となっておりますので、ぜひブログで ご覧ください。 RPKIとは何か ~起源といま~ https://blog.nic.ad.jp/2022/7714/ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ RPKIとは何か ~起源といま~ JPNIC 技術部/インターネット推進部 木村泰司 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 国内では2015年に試験提供が始まったリソースPKI (Resource Public Key Infrastructure; RPKI)は、徐々にその利用が広まり、RPKIを使って作成され るROA (Route Origin Authorization)による、JPNICから分配されたIPアドレ スに対するカバー率は、IPv4が45.6%、IPv6は57.1%になりました(*1)。本稿 では、RPKIの起源やデザインコンセプト、そして最近の話題を紹介します。 (*1) IPv4はアドレス数、IPv6は/48の個数として算出しています。 ■ RPKIとは RPKIは、IPsecの考案者として知られるステファン・ケント(Stephen Kent)氏 によって1997年頃に考案されたもので(*2)、IPアドレスやAS番号といった番 号資源が分配されると、それを証明する電子証明書が発行される仕組みです。 当時は、Secure BGP (S-BGP)と呼ばれる、従来のBGPに修正を加えたもので使 われることが想定されていました(*3)。現在、よく使われるRoute Origination Authorization (ROA)の概念はまだなく、BGPにおいて経路情報 の伝達に使われるUPDATEメッセージにアテステーション(attestation)と呼ば れる署名付きの情報を含めることで、ASパスや経路情報として使われるIPア ドレスの正しさを検証できるようにした仕組みです。 (*2) BBN Report 8217, "An Architecture for BGP Countermeasures", November, 1997 (*3) そのため、IPアドレスやAS番号が記載される電子証明書の拡張フィール ドの名称に"sbgp"という文字列が入っています。 ■ RPKIの実際 RPKIの実用化に向けた検討が始まるのは、2000年代の半ばです。IPv4アドレ スの在庫枯渇を前にして、正当な分配先以外の第三者がIPv4アドレスを勝手 に使ってしまわないように、その分配を証明するRPKIが必要であるとして、 2008年頃にはAPNICやRIPE NCCによるリソース証明書の試験的な提供が始まり ました。この頃から、RPKIのルート認証局(Certificate Authority; CA)は五 つ地域インターネットレジストリ(RIR)が担っていました。ICANNのIANA機能 がルートとなって、各RIRにリソース証明書を発行する構想は何度か上がった ものの、RIRの中で調整がつかないなどの理由で、いまだに実現していませ ん。 またRPKIは元来、番号資源の分配を受けた者は、その一部をさらに分配する 際に、リソース証明書を発行するためCAを運用するモデルです。しかし、番 号資源の分配を受けるために、RPKIのCAを運用しなければリソース証明書の 利用ができないことは、言わば導入障壁となってしまいました。代替案とし て考えられた、RIRや国別インターネットレジストリ(NIR)でローカルインター ネットレジストリ(LIR)のCAを運用するモデルが現在は主流になっています。 例えば、JPNICでは「ROAWeb」という専用のWebサイトを使って、ROAを管理す る仕組みを導入しています。一連のリソース証明書を見てみると、リソース 証明書はRIRやNIRごとに設置されたリポジトリに置かれているのみならずファ イルで使われている命名規則が各々一律であるなど、RIRやNIRがLIRのCAを代 行して運用している様子が窺われます。 ■ RPKIとBGPセキュリティ BGPのセキュリティのためにRPKIを利用するアイディアは1997年当初からあり ましたが、現在利用が広まりつつあるROAのモデルに至るまでには、BGPのセ キュリティに関する分析と、要求事項の整理が行われました。それが、 RFC4272です。BGPでは長い期間TCPのコネクションが利用されるため、TCPの セキュリティ(MD5オプションなど)が取り上げられるとともに、このRFCにお いて着目されたのはBGPメッセージの生成や書き換えでした。あるIPアドレス の経路を、広告すべきでないASによって勝手に経路公告が行われてしまうこ とと、BGPメッセージに含まれるASパス属性が書き換えられてしまうことの二 つは、攻撃者が他のネットワークの接続性に影響を及ぼし得る要素です。後 に、IETF sidr WGで検討が進められるBGPsecは、この二つへの対策技術に位 置づけられました。 ■ ROA ROAは、IPアドレスの分配先組織(アドレスホルダー)が、ASを指定して、経路 広告を行うことを認可=オーソライズ(authorize)したことを示すデータです。 前述したBGPsecの一つ目の機能である、"経路公告を行うASの指定"が実現さ れています。指定されたASと異なるASが、あるIPアドレスの経路公告を行っ ていたら、それは不正な経路であると判別できます。これがROAを使ったオリ ジン・バリデーション(OV)です。 経路情報の正しさを検査する方法としては、IRR(*4)を使った経路フィルター と対比されます。RADbやJPIRRといったIRRには、IPアドレスホルダーによる 認可という概念がありませんでした。そのため、IPアドレスの分配とは無関 係にIPアドレスを登録オブジェクトに記載することができました。このこと は、経路公告にはアドレスホルダーが関与するという、ROAのデザインに繋がっ ていると考えられます。 (*4) Internet Routing Registryは、ルーティングに関する情報を登録・検 索できる情報共有用のオンラインデータベースです。IPアドレスの経路 情報やその管理組織(メンテナー)に関する情報を相互にリンクできる"オ ブジェクト"として扱い、また各オブジェクトの書式を定めておくこと で、プログラムで処理しやすくなっています。書式と言語はRPSLと呼ば れ、1990年代から、BGPルータに設定される経路フィルターを生成する など、広く利用されてきました。 ■ ROAの普及状況 国際的なROAの普及状況は、米国国立標準技術研究所(NIST)のRPKI monitorで 見ることができます。執筆時点(2022年7月)では、IPv4のBGP経路における 38.08%が、IPv6のBGP経路における37.58%が、ROAを使った検証の結果、VALID (ROAと一致している)と判定されています。カバー率という意味ではまだまだ 普及の余地がありますが、3年前には10%ほど(IPv4)であり継続的な増加傾向 が見られます。 日本では、2018年末の段階で3.5%だったIPv4のカバー率が、冒頭で述べたよ うに2022年に45%台になりました。特に、2021年の伸びに著しいものがありま した。 ■ RPKI応用のこれから - ASパス検証の技術 ROAは、ASパスの検証には利用できません。これは、ROAが経路の広告元ASに 注目したもので、その経路情報が経由したASパスをカバーするものではない ためです。いわゆるルート・リークのように想定とは異なるASパスを検知す るには、ASパスを検証する仕組みが必要になります。 前述のBGPsecには、BGPを拡張し、ASパスの並び一つ一つに電子署名を付与し た"BGPsecパス"があります。しかし、2013年に発表された論文「部分的なデ プロイメントにおけるBGPセキュリティ:そのジュースは絞る価値があるの か? (Security in Partial Deployment: Is the Juice Worth the Squeeze?)(*5)によって、その導入効果が普及率に対して高くないことが示さ れました。これはシミュレーションに基づく結果ですが、それ以降、RPKIを 使ったASパスの検証技術を検討してきたIETF sidrops WGでは、BGPsecパスに 代わる方式が検討されてきました。それが、Autonomous System Provider Authorization (ASPA)です。 ASPAは、指定したASがUpstreamプロバイダーであること、つまり自らのAS番 号を含めた経路情報を広告することを認可したことを示すデータです。つま り、ASパスのうちの一つの隣接関係を示しています。ASPAでは、BGPsecにお けるBGPsecパスのように一連のASパスをチェックするではなく一つ一つの隣 接関係を確認していきます。すべての隣接関係にASPAで示された関係が認め られれば正しいASパスであることが分かります。Upstreamプロバイダーとし て複数のASを指定することが可能です。 2022年2月にJPNICで行われたRPKIワークショップで発表された大阪大学の学 生によるOA研究(*6)では、部分的な普及を前提としたとしても、ASPAを使っ たASパス検証の方式は不正なASパスの検知のために十分広い範囲のネットワー クに効果を発揮することが分かっています。 (*5) "BGP Security in Partial Deployment: Is the Juice Worth the Squeeze?", Lychev, Robert and Goldberg, Sharon and Schapira, Michael, 2013, ACM, SIGCOMM Computer Communication Review, 171-182 (*6) "ASPAの仕組みと効果", 梅田直希, 大阪大学 https://youtu.be/5PnRkuy6AII ■ RPKI応用のこれから - BYOIP RPKIは、さらに応用範囲を広げようとしています。元来の、IPアドレスの分 配を証明する仕組みの応用です。一部のクラウド事業者は、アドレスホルダー がIPアドレスを持ち込んで、そのクラウド事業者のサービスのために使う "Bring Your Own IP - BYOIP"ができるようになっています。その際に、クラ ウド事業者が、顧客に対してIPアドレスホルダーであるかどうかを確認する 必要が出てきます。そのような用途に使えるものとして、IETFで議論されて いるのがRSC (RPKI Signed Checklist)です。RSCは、RPKIのリソース証明書 を使って任意のデータに署名できる書式で、これにクラウド事業者のユーザー を示す値を入れるなどすることで、クラウド事業者が特定のユーザーがアド レスホルダーであることを確認することが想定されます。現在、提案と議論、 そしてクラウド事業者との相談が行われている段階であり、将来どうなるか は分かりませんが、RPKIを応用する仕組みの一つの方向性として捉えること ができます。 ■ おわりに - ROAを使った経路の検証に向けて 2022年6月現在、国内においてROAの作成は広まりつつありますが、ROAを使っ たBGP経路の検証(ROV)を行う国内のASはまだまだ少ない状況です。なお、国 際的にはAmazon Web Services (AWS)社、Google社、Cloudflare社といったク ラウド事業者の他、大手通信事業者において導入されています。国内でも、 本来と異なるBGP経路の検知を行い、不正なBGP経路が伝搬してくるようなこ とが起きても対策が取れるようにすることが重要だと考えられます。しかし ROVの導入は、Invalidと判定されたBGP経路が使えなくなることから、導入に 敷居を感じているAS運用者はいるのではないでしょうか。 そこでJPNICと有識者とで、ROVの導入に資する実験を企画しています。この 実験ではAS運用をされている方々が、 (1) ROVで不正経路から守られること (2) ROVを導入しても通常は問題ないこと (3) 問題が起きても対処できること の三つの"確証"を得ることを目的として、仮想環境や実際の機材を使った体 験ができるような企画です。これらの活動が、日本のインターネットのルー ティング、すなわち基幹部分を担う方々による状態の把握や、技術的に有効 性のあるものとして、運用の質をさらに高めていく一助になればと考えてお ります。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ わからない用語については、【JPNIC用語集】をご参照ください。 https://www.nic.ad.jp/ja/tech/glossary.html ◇ ◇ ◇ メールマガジン以外でも、情報を発信しています! JPNICブログ https://blog.nic.ad.jp/ Twitter https://twitter.com/JPNIC_info YouTubeでは初心者向けセミナー資料を公開しています https://www.youtube.com/channel/UC7BboGLuldn77sxQmI5VoPw ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ┃ ◆◇◆◇◆ 本号のご感想をお聞かせください ◆◇◆◇◆ ┃ ┃良かった ┃ ┃ https://feedback.nic.ad.jp/1936/47eb5a804eb894d00e44510d6118ed5a ┃ ┃ ┃ ┃悪かった ┃ ┃ https://feedback.nic.ad.jp/1936/37a0c5225004f7db4f429bea5228a692 ┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ ___________________________________ ■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■ ::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/ :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有) □┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□ ┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ━━ JPNICへのご連絡/お問い合わせは極力電子メールでお願いします ━━ ┏━◇【COVID-19に対応したJPNICの業務について】 ◇━━━━━━━━━┓ https://www.nic.ad.jp/ja/profile/covid-19.html ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ ■ 各種お問い合わせ先:https://www.nic.ad.jp/ja/profile/info.html ■ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ JPNIC News & Views vol.1936 【臨時号】 @ 発行 一般社団法人 日本ネットワークインフォメーションセンター 101-0047 東京都千代田区内神田2-12-6 内神田OSビル4階 @ 問い合わせ先 jpnic-news@nic.ad.jp ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ___________________________________ 本メールを転載・複製・再配布・引用される際には https://www.nic.ad.jp/ja/copyright.html をご確認ください  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ◇ JPNIC Webにも掲載していますので、情報共有にご活用ください ◇ 登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/ バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/ ___________________________________ ■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■ ::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■◆ @ Japan Network Information Center ■■◆ @ https://www.nic.ad.jp/ ■■ Copyright(C), 2022 Japan Network Information Center