=================================== __ /P▲ ◆ JPNIC News & Views vol.1126【臨時号】2013.9.20 ◆ _/NIC =================================== ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ News & Views vol.1126 です ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 本号では、APNIC 36カンファレンスにおける最後の報告となる「RPKIの動向 報告」をお届けします。 RPKIとは、IPアドレスやAS番号といった、アドレス資源の割り振りや割り当 てを証明するためのPKI(Public-Key Infrastructure:公開鍵基盤)です。この RPKIに関して、アジア太平洋地域では、ヨーロッパや北米地域ほどの熱がな いと言われていましたが、今回のAPNICカンファレンスでは、実に三つのセッ ションが開かれたそうです。今回は、この動きをまとめてお届けします。 APNIC 36報告のバックナンバーは、以下のURLからご覧ください。 □APNIC 36カンファレンス報告特集 ○[第1弾] 全体およびアドレスポリシー動向報告 (vol.1123) https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1123.html ○[第2弾] APNIC20周年関連報告 (vol.1124) https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1124.html ○[第3弾] 技術動向報告 (vol.1125) https://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1125.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 「APNIC36カンファレンス報告 [第4弾] RPKIの動向報告」 JPNIC 技術部/インターネット推進部 木村泰司 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ APNIC 34の「RPKI routing BoF」に始まり、APNIC 35でNIRにおけるハッカソ ンを試みたRPKI (Resource Public-Key Infrastructure)は、今回のAPNIC 36 で、このRPKIをメイントピックとする三つのセッションが開かれるまでに至 りました。「APOPS RPKIオペレーショナルパネル」「NIR RPKIワークショッ プ」「LIR RPKIワークショップ」の三つです。 本稿では、さまざまな視点で技術課題の議論が行われたAPNIC 36カンファレ ンスにおけるRPKIの動向を報告します。 ■技術課題を出し合ったAPOPS RPKIオペレーショナルパネル APOPS (Asia Pacific Operators Forum)は、インターネットの運用に関わる 参加者を対象としたセッションです。今回はDNSや計測といったテーマを集め た二つのAPOPSプレナリーに加えて、一つのセッションをすべてパネルディス カッションの時間にあてた「RPKIオペレーショナルパネル」が行われました。 このパネルディスカッションは、アフリカからRPKI Toolsのテストベッドに 参加しているMark Tinka氏(Seacom社)による企画と司会で行われました。 RPKIを運用する際の課題や疑問点を、レジストリやISPの立場で明らかにして いくという狙いです。 パネリストは、Geoff Huston氏(APNIC)、Randy Bush氏(株式会社インターネッ トイニシアティブ(IIJ))、吉田友哉氏(インターネットマルチフィード株式会 社)、松崎吉伸氏(IIJ)と筆者でした。 このパネルディスカッションは、用意されたさまざまな質問にパネリストが 答える形式で進められました。これらの質問は事前にパネリストに見せられ ていなかったため、パネリストとしてもどのような議論になるのかが予測が つかないセッションでしたが、結果的にレジストリとISP、そしてRIRである APNICとNIRという立場の違いと、同じリスクに対しても立場の違いが見えて くるようなセッションになりました。特に印象に残った議論を紹介します。 ・トラストアンカー(信頼の基点)の考え方 httpsのサーバ証明書と同様に、RPKIの認証局(CA - Certificate Authority)にもトラストアンカーとなる認証局があります。トラストア ンカーは電子証明書を検証するときに使われる重要な認証局で、現在は RIRのRPKIの認証局が、RPKIにおけるトラストアンカーになることが想 定されています。 パネルディスカッションでは、IANAに設置され、RIRの上位認証局すな わちルートの認証局となるグローバルトラストアンカー(GTA)の必要性 が指摘されました。なお筆者は、PKIにおけるトラストアンカーは、最 終的に証明書の利用者によって決定されるものであり、GTAが現れても RIRやNIRの認証局がトラストアンカーになり得ることを申し添えました。 ・RPKIはIBGP (Internal BGP)で使えるか RPKIを使って経路の広告元を確認する技術である「Origin Validation」 は、本来とは異なるASによってIPアドレスの経路広告が行われてしまう ことを検知する技術です。AS間で使うEBGP (External BGP)ではなく、 一つのAS内で利用されるBGP接続であるIBGPにおいてOrigin Validationは役立つかという質問が挙げられました。 これに対してパネリストからは、不正な経路情報を検知するという監視 の目的であれば使えるといった意見が出されました。 ・レジストリにおける障害対応 RPKIにおける認証局には、リソース証明書とRoute Origin Authorization (ROA)と呼ばれる電子署名の付いたデータを配布する公 開サーバの運用が必要になります。電子署名に不備があったり、公開サー バにアクセスできなくなったりすると、広い範囲のインターネット経路 制御に影響が出かねません。 パネリストからは、公開サーバにアクセスできなくなる原因がレジスト リ側にだけあるわけではないといった意見が出されていました。逆引き DNSの障害よりも広範囲に影響が出る可能性のあるRPKIにおいて、監視 や回避策の検討が重要であることを再認識させられる議論でした。 RPKIオペレーショナルパネルは、同時に行われているセッションがない"シン グルトラック"であり、RPKIがアジア太平洋地域において多くの関心を集めつ つある話題であることが実感されたセッションでした。 ■RPKIの技術課題が確認されたNIR RPKIワークショップ NIR RPKIワークショップは、事前に紹介と参加申し込みが必要な "Invitation Only"のミーティングとして8月27日(火)に行われました。NIRの 立場でRPKIについての情報交換を行っていこうという趣旨のもと、Randy Bush氏と共に企画し、JPNICとしてもNIRの知人に参加を呼びかけてきたセッ ションです。 参加者は18名で、四つのNIRとAPNICの技術者の他、Stephen Kent氏といった RPKIに詳しい技術者が集まりました。はじめにRandy Bush氏によってRPKIが アジア太平洋地域で普及していない現状などが話され、続いてAPNICの George Michealson氏から、APNICにおけるRPKI機能の現状が説明されました。 最後に筆者が日本で行われたRPKIのワークショップの様子と、そこで出され た論点を紹介しました。 ワークショップでの議論は、技術課題とインドのNIRであるIRINNからの参加 者との質疑応答が主なものになりました。技術課題の一つはNIRやAPNICが運 用することが想定されるRPKIの公開サーバです。公開サーバが停止してしま うと下位認証局の公開サーバを参照していくことができなくなってしまうた め、DNSと同様に、上位のサーバの信頼性を高めることが重要になってきます。 レジストリだけでなくISPにおいても公開サーバを運用し、冗長性を高める方 法などについて議論されました。新しいNIRであるIRINNではレジストリシス テムの運用が始まって日が浅いですが、RPKIにも興味がある様子で、RPKI技 術の仕様について積極的に質問されていました。 今後RPKIについてNIRの課題になると考えられるものに、IPアドレス移転への 対応や、レジストリ間における障害対応の方法の違いなどが考えられますが、 今回の議論はそこまでは至らず、情報交換の場ができたという状況ではない かと思います。 他の地域と違ってアジア太平洋地域には多くのNIRがあり、RPKIで3階層の構 造が形成される国際的にも珍しい地域です。APNICとNIRの連携が重要である とともに、NIRがどういう形でRPKIを導入していくのかが注目されると思われ ます。 ・NIR RPKI Workshop http://conference.apnic.net/36/program#session/62874 ■LIR RPKIワークショップ LIR RPKIワークショップは、Randy Bush氏が講師となって行われているハン ズオン形式のチュートリアルで、JANOG32の前日に行われたRPKIセッションと ほぼ同じ内容でした。参加者は約10名でした。 ・LIR RPKI workshop http://conference.apnic.net/36/program#session/61723 ・RPKIセッション JANOG32 http://www.janog.gr.jp/meeting/janog32/tutorial/RPKI.html ◇ ◇ ◇ 「RPKIハッカソン」の一環として、前回のAPNIC 35カンファレンスでTWNICや KRNICの方とJPNICのRPKI実験環境について情報交換をしました。その後、 TWNICの技術担当の方とは、RPKI Toolsのインストール方法などについてメー ルのやり取りをしていたのですが、KRNICの方とは特にやり取りはありません でした。ところが、今回のNIR SIGでの報告によると、KRNICでもラック1本を まるまる使ったRPKIの実験環境を作ったということでした。詳しく伺ってみ ると、RPKIハッカソンを受けて、急きょ設備を手配し、RPKI Toolsやルータ のソフトウェアを試した上で構築されたそうです。始めると進めるのが早い KRNICの底力を垣間見たような気がしました。 次回のAPNIC 37カンファレンスは、2014年2月24日(月)から28日(金)、タイの バンコクで行われます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ わからない用語については、【JPNIC用語集】をご参照ください。 https://www.nic.ad.jp/ja/tech/glossary.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ┃ ◆◇◆◇◆ 本号のご感想をお聞かせください ◆◇◆◇◆ ┃ ┃良かった ┃ ┃→ http://feedback.nic.ad.jp/1126/ff77e7ab2f0bd7510c86133104fe0cf2┃ ┃ ┃ ┃悪かった ┃ ┃→ http://feedback.nic.ad.jp/1126/123aaeac5ebdb894bb11b4a07fedafbd┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ ___________________________________ ■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■ ::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/ :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有) □┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□ ┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ =================================== JPNIC News & Views vol.1126 【臨時号】 @ 発行 一般社団法人 日本ネットワークインフォメーションセンター 101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F @ 問い合わせ先 jpnic-news@nic.ad.jp =================================== ___________________________________ 本メールを転載・複製・再配布・引用される際には https://www.nic.ad.jp/ja/copyright.html をご確認ください  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/ バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/ ___________________________________ ■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■ ::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■◆ @ Japan Network Information Center ■■◆ @ https://www.nic.ad.jp/ ■■ Copyright(C), 2013 Japan Network Information Center