ニュースレターNo.40/2008年11月発行

RIPE NCCにおけるセキュリティ動向

概要

第56回RIPEミーティングでは、RIPE NCCのリソース証明書^※1に関して大きな動きがありました。RIPE NCCでリソース証明書に関わる検討を行ってきたCA-TF（Certification Task Force）から、1年後の第57回RIPEミーティングまでに、リソース証明書をproductionレベルのサービスとして提供できるように準備するという発表があったのです。

これまでRIPE NCCは、APNICやARINの開発プロジェクトに参加しつつ、リソース証明書の影響範囲などの検討をしてきましたが、いよいよリソース証明書を“発行するため”の検討に入りました。さらに、RIPEにおけるリソース証明書発行の考え方をまとめたポリシー提案も行われています。

本稿では、RIPE NCCにおけるリソース証明書の動向とともに、IRR関連の話題についても報告したいと思います。

RIPE NCCにおけるリソース証明書の意義

リソース証明書はIETFのPKIX WGとSIDR WGで提案され、APNICが中心となって開発が行われてきました。今回のPlenaryでは、このようにRIPE以外で提案や実装が行われてきたリソース証明書に対して、RIPE NCCとして取り組む意義が明確化されました。その内容から、RIPE NCCのメンバーに対するサービスの一環として位置づけられていることがわかります。Plenaryで紹介された、RIPE NCCとしての意義を、次に示します。

1. メンバーにとってのリソース証明書は、第三者に対する割り振りの証明である。
2. RIRの間でリソース移管を可能にする標準技術になりうる。
3. リソース証明書自体による資源の確認を可能にする。
4. 将来的に経路制御のセキュリティに役立つ。

Aに関する説明の中で、リソース証明書の使い方が示されました。RIPE NCCのLIRであるアドレスホルダー（アドレスの割り振りを受けたもの）が、そのアドレスの割り当て先を、インターネットに接続できるようにするときの使い方です。アドレスホルダーが経路制御を行うISPに対してリソース証明書を提示することで、IPアドレスの正しい割り振り先であることを示します。

Bは、APNICやARIN、AfriNICなど、複数のRIRでリソース証明書の検討が進んでいることから、RIR間のリソースの移管を行うための技術として、標準的な位置づけになるであろう、という考え方があるようです。

Cは、他のRIRであまり明文化されていないことですが、あるアドレスが本当にそのネットワークに割り振られているものであるかどうかを確認する手段としてリソース証明書を主として使う、というものです。IPアドレスの割り振り/割り当てに関する専門知識とRIRのWHOISを駆使しなくても、証明書が有効かどうかをチェックするだけで、任意のIPアドレスが正しい割り振りであるかどうかがわかる、ということです。WHOISの情報が最新かどうかわからないような場合、例えば再々割り振りが行われていても、証明書さえあれば正しいかどうかがわかることになります。

Dは、IETFのSIDR WG^※2で提案されているROA（Route Origination Authorization）オブジェクトの生成に利用できるという点です。ROAは、アドレスホルダーが特定のASに対して「当該アドレスの経路制御を認可する」という意味を持っている、電子署名つきのデータです。リソース証明書を持つものだけが正しいROAを発行できるため、ルータがROAを検証できるようになると、不正なアドレスを経路広告するようなタイプの経路ハイジャックを、ルータで検知できることになります。

RIPE NCCにおけるリソース証明書の現状と今後

リソース証明書を実際に発行してみることができる、テストプログラムの提供が2008年5月から開始されています。これは、RIPE NCCにおけるWebベースの申請システムである、“LIR Portal”の中で使えるものです。発表資料によると、リソース証明書の他に、ROAを発行する機能も持っています。

このテストプログラムは、今後、希望者に対して2008年9月まで提供され、毎月操作を行ってもらいつつ、フィードバックを反映していくような活動が行われる模様です。

また3日目のAddress Policy WGでは、“Initial Certification Policy Proposal”と題してCA-TFから発表があり、申請を行ったLIRや、PAに対してリソース証明書が発行されること、一つのLIRには複数のプリフィクスが入った一つのリソース証明書が発行されることなどが提案されていました。会場では、証明書の有効期限が切れるとBGPで経路情報が伝達されなくなってしまうのかといった、ISPにおけるリソース証明書への依存度合いに関する議論が行われていました。今後、PIホルダー（プロバイダ非依存アドレスの割り当て先）に関する追記などを行い、正式なポリシー提案が行われる模様です。

RIPE NCCにおけるIRRの関連動向

Plenaryの最初に、リソース証明書とIRRを結びつける、興味深いポリシー提案がありました。これはPolicy Proposal 2008-04^※3で、ROAに基づいたrouteオブジェクトが登録される、新しいIRRを立ち上げる提案です。

Policy Proposal 2008-04では、IRRの更新業務におけるセキュリティが確保されておらず、登録される情報の信頼性が低いという問題が指摘されています。そこで新たに別のIRRを構築し、リソース証明書の業務スキームを用いて、発行されたROAをrouteオブジェクトとして登録し、既存のIRRと同様のツールで使えるようにすることが提案されています。今回は会場での議論はほとんどなく、今後は、Routing WGで議論が継続されます。発案者のRuediger Volk氏によると、この新たなIRRに、リソース証明書に基づいたinetnumオブジェクトやinet6numオブジェクトを登録することは、今のところ考えていないようです。あくまで正しいrouteオブジェクトを、既存のツールが使えるIRRで提供することを考えている、とのことでした。

この他に4日目のDatabase WGで、エヌ・ティ・ティ・コミュニケーションズ株式会社の白崎泰弘氏によって、RIPE NCCのDatabaseソフトウェア（RIPE Database Server^※4）の信頼性を向上させる改良に関する発表が行われていました。発表資料によると、同社では、RIPE Database Serverを用いて、IRRデータベースを複数拠点に分散化するシステムの開発が行われています。複数のデータベースクラスターで同期を取るためのモジュールを開発したり、ダウンタイムの最小化やSQL文の最適化などを行ったりした結果が報告されました。今後、このプログラムコード（パッチ）は、RIPE NCCに提供されるそうです。

RIS^※5のページが面白くなっています。インターネットの経路情報に関する可視化ツールが増えてきました。経路広告の統計情報を一つのページで見せるAS dashboardは、まだテスト段階のようですが、自分のASや気になるASの歴史を簡単に知ることができます。P.22の全体会議報告で紹介したBGPlayやMyASNは、RISのToolsにリンクがあります。

MyASNといえば、JPNICでも経路ハイジャック情報通知^※6の実験が始まりました。AS番号をお持ちの方は両方試されてみてはいかがでしょうか。

次回の第57回RIPEミーティングは、2008年10月26日～30日にかけて、アラブ首長国連邦のドバイで行われる予定です。

（JPNIC 技術部/インターネット推進部 木村泰司）

---

※1 リソース証明書

IPアドレスとAS番号の利用権利を示す電子証明書で、2004年6月に発行されたRFC3779でその構造が提案されています。
RFC3779 "X.509 Extensions for IP Addresses and AS Identifiers"
http://www.ietf.org/rfc/rfc3779.txt

※2 IETF SIDR WG

http://www.ietf.org/html.charters/sidr-charter.html

※3 RIPE Policy Proposal 2008-04

http://www.ripe.net/ripe/policies/proposals/2008-04.html

※4 RIPE Database Server

http://www.ripe.net/db/cvs-bugzilla.html

※5 Routing Information Service（RIS）

http://www.ripe.net/projects/ris/

※6 Telecom-ISAC Japan 経路奉行とJPIRR間の連携実験について

http://www.nic.ad.jp/ja/ip/irr/jpirr_exp.html