ニュースレターNo.55/2013年11月発行

RPKIの動向報告

技術課題を出し合ったAPOPS RPKIオペレーショナルパネル

APOPS(Asia Pacific OperatorS Forum)は、インターネットの運用に関わる参加者を対象としたセッションです。今回はDNSや計測といったテーマを集めた二つのAPOPSプレナリーに加えて、一つのセッションをすべてパネルディスカッションの時間にあてた「RPKIオペレーショナルパネル」が行われました。このパネルディスカッションは、アフリカからRPKI Toolsのテストベッドに参加しているMark Tinka氏(Seacom社)による企画と司会で行われました。RPKIを運用する際の課題や疑問点を、レジストリやISPの立場で明らかにしていくという狙いです。 パネリストは、Geoff Huston氏(APNIC)、Randy Bush氏(株式会社インターネットイニシアティブ(IIJ))、吉田友哉氏(インターネットマルチフィード株式会社)、松崎吉伸氏(IIJ)と筆者でした。

このパネルディスカッションは、用意されたさまざまな質問にパネリストが答える形式で進められました。これらの質問は事前にパネリストに見せられていなかったため、パネリストとしてもどのような議論になるのかが予測がつかないセッションでしたが、結果的にレジストリとISP、そしてRIRであるAPNICとNIRという立場の違いと、同じリスクに対しても立場の違いが見えてくるようなセッションになりました。特に印象に残った議論を紹介します。

トラストアンカー(信頼の基点)の考え方

httpsのサーバ証明書と同様に、RPKIの認証局(CA - Certificate Authority)にもトラストアンカーとなる認証局があります。トラストアンカーは電子証明書を検証するときに使われる重要な認証局で、現在はRIRのRPKIの認証局が、RPKIにおけるトラストアンカーになることが想定されています。

パネルディスカッションでは、IANAに設置され、RIRの上位認証局すなわちルートの認証局となるグローバルトラストアンカー(GTA)の必要性が指摘されました。なお筆者は、PKIにおけるトラストアンカーは、最終的に証明書の利用者によって決定されるものであり、GTAが現れてもRIRやNIRの認証局がトラストアンカーになり得ることを申し添えました。

RPKIはIBGP(Internal BGP)で使えるか

RPKIを使って経路の広告元を確認する技術である「Origin Validation」は、本来とは異なるASによってIPアドレスの経路広告が行われてしまうことを検知する技術です。AS間で使うEBGP(External BGP)ではなく、一つのAS内で利用されるBGP接続であるIBGPにおいてOriginValidationは役立つかという質問が挙げられました。

これに対してパネリストからは、不正な経路情報を検知するという監視の目的であれば使えるといった意見が出されました。

レジストリにおける障害対応

RPKIにおける認証局には、リソース証明書とRoute Origin Authorization(ROA)と呼ばれる電子署名の付いたデータを配布する公開サーバの運用が必要になります。電子署名に不備があったり、公開サーバにアクセスできなくなったりすると、広い範囲のインターネット経路制御に影響が出かねません。

パネリストからは、公開サーバにアクセスできなくなる原因がレジストリ側にだけあるわけではないといった意見が出されていました。逆引きDNSの障害よりも広範囲に影響が出る可能性のあるRPKIにおいて、監視や回避策の検討が重要であることを再認識させられる議論でした。 RPKIオペレーショナルパネルは、同時に行われているセッションがない“シングルトラック”であり、RPKIがアジア太平洋地域において多くの関心を集めつつある話題であることが実感されたセッションでした。

RPKIの技術課題が確認されたNIR RPKIワークショップ

NIR RPKIワークショップは、事前に紹介と参加申し込みが必要な“Invitation Only”のミーティングとして8月27日(火)に行われました。NIRの立場でRPKIについての情報交換を行っていこうという趣旨のもと、Randy Bush氏と共に企画し、JPNICとしてもNIRの知人に参加を呼びかけてきたセッションです。

参加者は18名で、四つのNIRとAPNICの技術者の他、Stephen Kent氏といったRPKIに詳しい技術者が集まりました。はじめにRandy Bush氏によってRPKIがアジア太平洋地域で普及していない現状などが話され、続いてAPNICのGeorge Michealson氏から、APNICにおけるRPKI機能の現状が説明されました。最後に筆者が日本で行われたRPKIのワークショップの様子と、そこで出された論点を紹介しました。

ワークショップでの議論は、技術課題とインドのNIRであるIRINNからの参加者との質疑応答が主なものになりました。技術課題の一つはNIRやAPNICが運用することが想定されるRPKIの公開サーバです。公開サーバが停止してしまうと下位認証局の公開サーバを参照していくことができなくなってしまうため、DNSと同様に、上位のサーバの信頼性を高めることが重要になってきます。レジストリだけでなくISPにおいても公開サーバを運用し、冗長性を高める方法などについて議論されました。新しいNIRであるIRINNではレジストリシステムの運用が始まって日が浅いですが、RPKIにも興味がある様子で、RPKI技術の仕様について積極的に質問されていました。

今後RPKIについてNIRの課題になると考えられるものに、IPアドレス移転への対応や、レジストリ間における障害対応の方法の違いなどが考えられますが、今回の議論はそこまでは至らず、情報交換の場ができたという状況ではないかと思います。

他の地域と違ってアジア太平洋地域には多くのNIRがあり、RPKIで3階層の構造が形成される国際的にも珍しい地域です。APNICとNIRの連携が重要であるとともに、NIRがどういう形でRPKIを導入していくのかが注目されると思われます。

• NIR RPKI Workshop
  http://conference.apnic.net/36/program#session/62874

LIR RPKIワークショップ

LIR RPKIワークショップは、Randy Bush氏が講師となって行われているハンズオン形式のチュートリアルで、JANOG32の前日に行われたRPKIセッションとほぼ同じ内容でした。参加者は約10名でした。

• LIR RPKI workshop
  http://conference.apnic.net/36/program#session/61723
• RPKIセッション JANOG32
  http://www.janog.gr.jp/meeting/janog32/tutorial/RPKI.html

---

「RPKIハッカソン」の一環として、前回のAPNIC 35カンファレンスでTWNICやKRNICの方とJPNICのRPKI実験環境について情報交換をしました。その後、TWNICの技術担当の方とは、RPKI Toolsのインストール方法などについてメールのやり取りをしていたのですが、KRNICの方とは特にやり取りはありませんでした。ところが、今回のNIR SIGでの報告によると、KRNICでもラック1本をまるまる使ったRPKIの実験環境を作ったということでした。詳しくうかがってみると、RPKIハッカソンを受けて、急きょ設備を手配し、RPKI Toolsやルータのソフトウェアを試した上で構築されたそうです。始めると進めるのが早いKRNICの底力を垣間見たような気がしました。

次回のAPNIC 37カンファレンスは、2014年2月24日(月)から28日(金)、タイのバンコクで行われます。

(JPNIC 技術部／インターネット推進部 木村泰司)