メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ニュースレターNo.34/2006年11月発行

APNICにおけるリソース証明書の動向

APNICではリソース証明書と呼ばれる電子証明書を発行する仕組みを作るプロジェクトが進んでいます。このプロジェクトは2006年4月頃から始まった1年間のプロジェクトで、2007年4月以降、APNIC会員に対する試験的なサービスを始めることを目標に進められています。

本稿では、リソース証明書の概要を紹介するとともに、第22回APNICミーティングの参加を通じてわかってきた、プロジェクトの考え方と状況についてご報告いたします。

リソース証明書とは

リソース証明書は、IPアドレスとAS番号の利用権利を示す電子証明書です。2004年6月に発行されたRFC3779※1でその構造が提案されました、インターネットレジストリのIPアドレスの割り振り構造と同じツリー構造でPKI(Public-Key Infrastructure)の認証局を構築することで、利用されているIPアドレスとAS番号の正当性を保証するための仕組みです。リソース証明書の構造を右図に示します。(わかりやすさのために一部単純化しています)

リソース証明書はアドレスの割り振り先に対して発行されます。証明書の発行元はCA(Certification Authority)と呼ばれています。割り振り先がさらに割り振りを行うとそこでもリソース証明書が発行されるので、割り振り先にはCAとしての証明書が発行されることになります。右の図のIANA CAの部分は現在の提案内容としては存在せず、RIRが頂点になる案が有力です。

証明書の書式には基本的にX.509v3の形式が使われ、IPAddr(IPアドレス)やASIdentifier(AS番号)の値はX.509v3拡張フィールドと呼ばれる拡張の一つとして証明書の中に記載されます。発行元のリソース証明書は、発行先のリソース証明書に記載されるアドレスブロックを、内包するようなアドレスブロックが記載されます。

この証明書は、ルーティングのセキュリティとアドレス資源管理のセキュリティに役立つと考えられています。ルーティング・セキュリティのための応用として代表的なのがS-BGP※2です。S-BGPはBBNテクノロジー社のStephen Kent氏によって提案されたプロトコルで、ルーティングプロトコルのBGPを拡張し、ルータ間で交換される経路情報の正当性を電子的に確認できるようにするものです。

図:リソース証明書

APNICにおけるリソース証明書プロジェクトの進捗状況

APNICではリソース証明書について以下のスケジュールが立てられています。

図:スケジュール

フェーズ1は7月上旬に行われた第66回IETFに向けた活動、フェーズ2は9月上旬に行われた第22回APNICミーティングに向けた活動であることが読み取れます。認証局の実装はRIPE NCCと共同で開発が進められており、既にフェーズ1の“認証局の実装”と“リポジトリ”の実装が完了していることは、第66回IETFの会期中に行ったJPNICとAPNICの打ち合わせの際に確認されています。

第22回APNICミーティングでは、オペレーター向けのセッションであるAPOPSで、APNICのGeoff Huston氏によって進捗状況が報告されました。今回新しく発表があったのは以下の4点です。

  1. APNICのWebポータルで証明書発行サービスを提供すること
  2. LIRが証明書管理に利用できるツールの提供
  3. IRRのrouteオブジェクトに対する電子署名
  4. Webインターフェースを持つ電子署名ツール

aは、AP地域のコミュニティに対して情報提供することでフェーズ3で取り組むPortal webでの実装に関する意見集約を開始したものと考えられます。b、c、dについては実際の画面イメージが提示され、フェーズ2の実装が完了に近いことが示されました。ただし署名ツールの利用者をLIRの中のどの立場にするのか、その電子署名をどのように検証するのか、といった利用面での検討はまだ進んでいないようです。

リソース証明書にかかわる課題

リソース証明書の実装は、RIPE NCCとAPNICを中心に順調に進められているように見えます。しかしその背景には、証明書の発行だけでは解決できない大きな課題があります。筆者はその課題について第22回APNICのAPOPSのセッションで発表して参りましたので※3、その内容を通じて紹介いたします。

一つはリソース証明書に入るアドレスブロックが運用に適するように調節できない問題です。リソース証明書に入るアドレスブロックはアドレスの割り振り元によって決められます。しかしISPでは、割り振られたアドレスをさらに分割し、ネットワークの接続先に応じて伝達される経路情報を切り替えるような運用がしばしば行われます。従ってISPがリソース証明書に記載されるアドレスブロックをあらかじめ選択できるようにしておく必要があります。そうでないと、追加割り振りがあったような場合に、ルータに既に設定された多くの証明書を一斉に入れ替える必要が出てきてしまいます。また逆に接続先に対して不必要な経路の情報を、リソース証明書を通じて伝えてしまうことにもなりかねません。

もう一つはISPにおけるリソース証明書の管理の煩雑さです。リソース証明書が使われるようになると、ISPではルータと経路の管理の他にCAの管理を行う必要が出てきます。CAはCA自身の暗号鍵の管理や証明書の失効処理といった複雑な業務を必要とします。その上、アドレスの割り振りや返却といった処理はインターネットレジストリによって行われるため、ISPでその情報を基にした証明書管理を行うことは、一部を自動化したとしても煩雑なものになると考えられます。

これらの課題に対して、私はIRRと外部RA(Registration Authority)の二つを使う解決案のプレゼンテーションをいたしました。IRRはISPのルーティング・オペレーターによって登録情報の管理が行われています。IRRに登録されているrouteオブジェクトを使ってリソース証明書の発行が行うことができれば、経路制御のために都合のよい証明書の発行ができると考えられます。また外部RAと呼ばれている“証明書管理を行うユーザ”を設けることで、ISP自身が自分に発行される証明書の申請管理を行うことができ、また同時にISPでCAのシステムを持たなくてすみます。

これらの課題と解決策は証明書管理に限定されたものですが、S-BGPの利用にはさらに大きな課題があります。それはルータにおけるリソース証明書の扱いです。経路情報を交換するたびに電子証明書を検証していたのでは経路を確定するまでに時間がかかり過ぎてしまいます。またリソース証明書が完全に検証できなかったからといって接続を切ってしまうと、接続が切れやすいネットワークができてしまうかもしれません。リソース証明書の検証のタイミングや検証結果を経路情報にどのように反映すべきか、といった検討が必要です。

リソース証明書の今後

第22回APNICミーティングの発表を見る限り、APNICにおけるプロジェクトは順調に進んでいます。このまま進んでいけばフェーズ3も無事終了し、2007年4月にはAPNICのWebポータルであるMyAPNICで試験的に利用できるようになる可能性があります。

一方、前述した課題をクリアするためには、インターネットレジストリとIRRの関係作りが重要になってくると考えられます。これまではIPアドレスの割り振り構造であるインターネットレジストリとルーティング・オペレーターの信頼構造の根拠となるIRRは分離しており、またそれが望ましいと考えられてきました。インターネットレジストリが経路制御に関与しないという歴史的な状況が守られてきた反面、ルータの設定における簡単なアドレスの打ち間違いが他のネットワークの接続性を失わせてしまったり、本来割り振られていないアドレスがIRRに登録されてしまい、アドレスが不正利用されてしまう可能性がある状況になっています。

多くのルーティング・オペレーターに使われているRADB※4は、ARINと運営組織が異なるだけでなく、インターネットレジストリと連動する仕組みを持っていません。ARINではPKIに関するワークショップを開くなどしていますが、リソース証明書の利用については未だ先が見えない状況です。

一方、RIPE NCCで運用されているRPSLベースのレジストリシステムはIRRとインターネットレジストリが連携する仕組みを持っているようです。RIPE NCCのレジストリシステムは、IRRを兼ねているだけでなく、LIRがrouteオブジェクトを登録できるユーザを限定する機能を持っています。詳細については、今後調査を進めていく予定ですが、リソース証明書の管理にこの仕組みが使われると前述の課題は解決し、ルーティング・オペレーターにとって使いやすいリソース証明書ができることになります。RIPE NCCの2006年度の活動計画にある電子証明書がどのような形で実装されていくのか、RIRの中で注目されると思われます。

(JPNIC 技術部/インターネット推進部 木村泰司)


※1 X.509 Extensions for IP Addresses and AS Identifiers
http://www.ietf.org/rfc/rfc3779.txt
※2 Secure BGP Project (S-BGP)
http://www.ir.bbn.com/projects/sbgp/
※3 Route Origination Authorization (ROA) with IRR
http://www.apnic.net/meetings/22/program/apops-abstract.html#roa
※4 RADB
Meritという米国の研究機関によって運営されているpublicなインターネットルーティングレジストリ(IRR)の一つです。

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2020 Japan Network Information Center. All Rights Reserved.