ニュースレターNo.47/2011年3月発行
リソースPKI関連報告
本稿では、APNICにおけるリソースPKI(以下、RPKI)の動向や、RIRにおけるデータベースの動向について報告します。
前回のAPNIC29ミーティングで行われたRPKI BoFに続き、今回はRPKIセミナーと呼ばれるセッションが行われました。RPKIに関する話題は、3日目(2010年8月26日)に行われたライトニングトークやRIRの活動報告、APNICのメンバーミーティングでも挙がりました。
RPKIセミナーで行われたプレゼンテーションの内容
RPKIセミナーでは、RPKIツールの開発状況やRIRの取り組み状況が報告され、ディスカッションが行われました。セミナーという名前ではありますが、チュートリアルではなく活動紹介を集めたようなセッションでした。おのおのが興味深いプレゼンテーションでしたので、内容を紹介します。
(1)BBN's RPKI Relying Party Software
RPKIの証明書検証プログラムの設計と開発を行っているBBNテクノロジーズ社のStephen Kent氏によるツールの紹介です。IETF SIDR(Secure Inter-Domain Routing)WGで新たに提案されたRPKI/Router Protocol※1を実装しています。このプロトコルは、RPKIサーバと呼ばれるリソース証明書を処理するサーバとルータの間で使われるプロトコルで、キャッシュと呼ばれる、リソース証明書の検証結果を含んだデータをBGPルータに送ることができます。今後ソースコードが公開される予定です。
(2)RPKI Tools from Soup to Nuts
ISC(Internet Systems Consortium)で、RPKIのツール開発を行っているRob Austein氏による開発状況の報告です。ISCのRPKIツールは、IPアドレスのリストからリソース証明書を発行したり、リソース証明書が格納された複数のリポジトリの間で、リソース証明書の交換を行ったりする機能を持っています。
2009年11月に広島で開催された第76回IETFの時には、既に一連の動作をするまでに開発されていましたが、その後、RPKIサーバとルータの間の通信や、リソース証明書の検証結果をBGPルータで使うための設定、IRRのようなWHOISサービスなどが実装されました。このプログラムは、以下のURLから入手可能です。
- Resource PKI Software:
- http://www.rpki.net/
(3)RIPE NCC Certification Software
RIPE NCCのレジストリシステムであるLIR Portalの、リソース証明書関連のユーザーインタフェースの紹介です。LIR Portalは、JPNICのWeb申請システムにあたります。Webインタフェースでリソース証明書やROA(Route Origin Authorizations)の生成や管理を行うことができます。2年程前にご紹介したことのある※2certtestというプロトタイプシステムと基本的な機能は変わっていませんが、当時RIPE NCCのメンバーでなくても試すことができたものが、今は実際の割り振り/割り当ての通りに提供されるようになり、RIPE NCCのメンバーのみが利用できるようになっています。
またRIPE NCCでは、RIPE NCC Validatorと呼ばれるリソース証明書の検証ツールがJavaを使って開発されました。このプログラムも、RPKI/Routerプロトコルを実装しています。
http://labs.ripe.net/Members/agowland/ripe-ncc-validator-for-resource-certification
(4)Using RPKI tools in MyAPNIC
APNICのMyAPNICにおける、RPKIの実装に関する紹介です。新たに、ROAをグループ単位で管理できるインタフェースが加わりました。これにより、数多く発行されることが予測されるROAを、一度にグループ全体で更新することなどができるようになりました。また、リソース証明書の検証を行うための公開用Webページの準備が進められているようです。
質疑応答の時間には、RIRで提供されているRPKIのツールにおける、秘密鍵の管理方法について議論されました。LIR PortalとMyAPNICは、ユーザーの秘密鍵がWebサーバ側で保管されています。Webサーバ側で保管されていることについて、ARINのチェアであるJohn Karren氏は、多くのユーザーの秘密鍵が同時に漏洩してしまう構造である点を指摘しました。これに対して、現在はWebサーバ側であるが、将来はユーザー側で管理することが考えられるという意見が挙がったり、それには鍵の生成と安全な切り替えを行う必要があるといったりした議論が行われました。
ライトニングトークにおけるRPKIの話題
APNICミーティングの3日目に行われたライトニングトークでは、RPKIを導入することの経路ハイジャックに対する効果について、RIPE NCCのMark Dranse氏が紹介していました。2008年2月に起こったYouTubeの経路ハイジャック事件のように、Origin ASが本来とは異なり、かつASパス長が短くなるような経路情報が流されるタイプの経路ハイジャックに対して、RPKIがどの程度有効なのかをRIS※3のデータを使って試算しています。
経路ハイジャックが成功しうる経路情報の組み合わせは、今回対象とした80程度のASにおける経路数の34.2%あります。しかしRPKIを導入すると、これを13.6%に下げることができるとのことです。当然のことながら、この数値はASによって違いがあり、7%~22%と幅があります。またこれは、Origin ASの確認が100%行われ、必ずASパス長が最も短い経路が優先される、といったシンプルかつ有利に働く条件で試算されています。
RIRにおけるRPKIの取り組み
APNICメンバーミーティング(AMM)での報告によると、APNICではAfriNICでのRPKIの導入に協力し、現在のテスト段階からAfriNICメンバーへの提供ができる段階まで引き上げていく活動を行っているようです。
APNICとRIPE NCCでは既にメンバーにリソース証明書を提供しており、ARINでも試験的に、メンバーのうち希望者に対しては提供されています。今後AfriNICで提供されると、四つの地域でリソース証明書が使えることになります。
しかし、NIRからアドレスの割り振りを受けている事業者は、リソース証明書を技術的に試すこともできません。今後、アジア太平洋地域でどのように取り組んでいくべきなのかを考える段階に入っていくと考えられます。
AMMの活動報告に関するプレゼンテーションの中で、DNSSEC対応が完了し、MyAPNICでDSレコードが登録できるようになったことが報告されました。ある技術がどの程度役に立つのかを議論し、綿密に検証していくことは大事なことではありますが、RIPELabsやAPNICのDNSSECに対する取り組みのように、短期間で実装し、試験利用を通じて効果や利便性を考えていくというアプローチには興味深いものがあります。
(JPNIC 技術部/インターネット推進部 木村泰司)
- ※1 “The RPKI/Router Protocol”, Randy Bush, Rob Austin
- http://tools.ietf.org/id/draft-ietf-sidr-rpki-rtr-02.txt
- ※2 JPNIC News & Views vol.592「第57回RIPEミーティング報告」
- http://www.nic.ad.jp/ja/mailmagazine/backnumber/2008/vol592.html
- ※3 Information Services(RIPE NCC)
- http://is-portal.ripe.net/
