ニュースレターNo.45/2010年7月発行
APNICにおけるリソースPKIの動向
本稿では、APNIC29ミーティング報告の中での発表を元に、APNICにおけるリソースPKI(RPKI)の動向について報告します。
前回のAPNIC28ミーティングで行われたメンバーミーティング(AMM)で、会場から意見があったためか、今回のAPNICミーティングでは、リソースPKIの情報共有とディスカッションを行うセッション「RPKIBoF」が開かれました。またAPNICとAP地域のNIRが集まって行われる「NIRテクニカルワークショップ」と、通常セッションである「ルーティングセキュリティ」のセッションでもリソースPKIが取り上げられました。
RPKI BoF
RPKI BoFでは、APNICによるリソースPKIへの取り組みと今後のプランに関するプレゼンテーションが行われました。本BoFのアジェンダを以下に示します。
RPKI BoF アジェンダ
- (1)リソースPKIの標準化動向
- (2)NROロードマップ
- (3)リソース証明書のCPS
- (4)MyAPNICにおける対応状況
- (5)リソース証明書検証ツール
はじめに(1)で、IETF SIDR WGにおける標準化動向について簡単に説明があり、次に(2)で、国際的にリソースPKIを適用していくロードマップについてプレゼンテーションがありました。APNICでは、今後の1年間で、次の四つのフェーズを経て実施していくプランが立てられています。
・フェーズ1-Pilot
リソース証明書に記載されているIPアドレスやAS番号が、他RIRのリソース証明書の記載と重複することを許容した状態で開始。アドレスの移転が起こった場合のリソース証明書の処理を、手動でできるようにする。
・フェーズ2-Initial Production
五つのRIRにおいて、外部トラストアンカーを利用開始。外部トラストアンカーとは、SSL/TLS等で用いる電子証明書を発行する認証局のことで、RIR毎に立ち上げられる。この段階で、リソース証明書に記載されたIPアドレスやAS番号が、他のRIRで発行されたものと重複しないようにする。
・フェーズ3-Global Consistency
RIR間のリソースの移転を、自動で処理できるようにする。
・フェーズ4-Single TA
単一のトラストアンカーを確立して、RIR間の移転を処理できるようにする。
(3)では、APNICにおけるリソース証明書発行のためのCPS(Certification Practice Statement)案が紹介されました。CPSとは認証局の業務実施内容を、情報公開用にまとめたものです。APNICにおける準備が本格化している様子がうかがわれます。
(4)では、MyAPNICのリソース証明書発行画面が紹介されました。経路情報の検証に使われるROA(Route Origination Authorization)も発行できるようになっています。
(5)では、ユーザーが手元でリソース証明書を検証できるようなツールを、今後APNICが開発することについてプレゼンテーションが行われました。リソース証明書を印刷する機能についても考えられています。
NIRテクニカルワークショップ
NIRテクニカルワークショップのアジェンダを、以下に示します。
アジェンダと内容
- (1)RPKIプロジェクト
国際的に唯一のトラストアンカーを設けることに向けた活動プラン - (2)DNSSECプロジェクト
APNICの割り振りゾーンにDNSSECを導入するプロジェクト - (3)DNS APIプロジェクト
DNSSECが使われる場合にゾーンデータを更新できるAPIの説明 - (4)High Availabilityプロジェクト
APNICのWHOISなどのサービス向上を目的とした、災害復旧計画などの検討状況 - (5)IPv6 Fast Track
自動的にIPv6を割り振る仕組み。NIRのWebポータルでも利用可能
APNICでは、NROのECG(Engineering Coordination Group)に働きかけ、これまで五つのRIRが個々にトラストアンカーの認証局を立ち上げることになっていた状況を変えて、トラストアンカーの認証局を単一(いわゆるルート証明機関)にするべく活動を行っています。
先のBoFの項で述べたように、今後1年以内に調整がつくと、よりシンプルなリソースPKIができあがることになります。ただ、トラストアンカーの認証局をどこが運用するのかという具体的なことは、まだ決まっていない模様です。
ルーティングセキュリティセッション
APNICミーティングの「ルーティングセキュリティ」セッションでは、三つのプレゼンテーションが行われました。
・RPKI and Internet Routing Security
川村 聖一氏(NECビッグローブ株式会社)
ISPの観点でルーティングのための正しい情報源の必要性と、リソースPKIが普及すると、オペレーターはリソース証明書とROAを管理しなければならない点などを指摘しています。
・The RPKI & Origin Validation
Randy Bush氏(株式会社インターネットイニシアティブ)
2008年に、YouTubeの経路情報が不正にインターネットに流れるという事件が起こりました。こうした経路ハイジャックを防ぐために、BGPの経路情報のOriginを確認する必要性を指摘した上で、BGPルータにおいてリソース証明書とROAを処理することで、Originの確認が行えることを実装を交えて示しています。
・Local Trust Anchor Management for the RPKI
Stephen Kent氏(BBN Technologies社)
プライベートアドレスや、その経路制御を扱うことを踏まえた、ローカルの証明書検証用の“Relying Party”を用いる提案です。
以上のように、APNICミーティングでは、リソースPKIの話題が積極的に取り上げられています。実験的ではありますが、RIPENCCやARINでもリソース証明書の提供を開始しており、また今回Randy Bush氏が発表していたように、リソースPKIを利用して経路情報のセキュリティに役立てるプログラムが現れてきています。
しかしAPNIC配下のNIRの中で、リソースPKIを積極的に調査し、技術的な検証を行っているようなところはほとんどないようです。AP地域のNIRが、今後どのようにリソースPKIに取り組んでいくのか、ひいてはルーティングセキュリティにどう関わっていくのか、動きが見えない状況が続いています。
(JPNIC 技術部/インターネット推進部 木村泰司)
