ニュースレターNo.52/2012年11月発行
APNIC34カンファレンス報告
リソースPKI関連報告
本稿では、APNIC34カンファレンスにおけるリソースPKI(Resource Public Key Infrastructure; RPKI)の話題について報告します。
今回は、JPNICで企画したRPKI routing BoFと、RPKIをルーティングに利用する際の情報伝送に関する技術的な話題、そしてライトニングトークにおける、米国BBN社で開発されているRPKI検証ツールの紹介など、さまざまな話題がありました。
RPKI routing BoF
このBoFは、RPKIのルーティングにおける利用が現実味を帯びてきたことを受けてアジア太平洋地域(以下、AP地域)で十分な情報共有を図り、インターネット経路制御の運用者やIPアドレスのコミュニティに、無理のない形でRPKIが普及していくことを目的として企画されました。
- Resource Public Key Infrastructure (RPKI) routing BoF
http://conference.apnic.net/34/program/rpki-bof/
RPKI routing BoFで行われたプレゼンテーションの内容を簡単に紹介します。
-
Introduction to this BoF, 木村泰司(JPNIC)
RPKI routing BoFを企画した立場で、はじめに筆者から趣旨などの説明を行いました。
このBoF開催のきっかけの一つは、JANOG30で講演した「BGPセキュリティーの動向と日本の現状 ~RPKI時代のルーティング~」です。BGPルータでRPKIの処理ができるようになりつつあることは、AP地域のNIRやLIRにとっても興味深い様子でした。
- BGPセキュリティーの動向と日本の現状 ~RPKI時代のルーティング~
http://www.janog.gr.jp/meeting/janog30/program/rpk.html
もう一つは、RIPE地域におけるRPKIについてのディスカッションの活発化です。RIPE地域では“RIPE NCCはRPKIの取り組みを継続するべきかどうか”という議論を発端に、RPKIの持つ課題の認識がRIPEコミュニティの間で明確化されています。この件については、「第64回RIPEミーティング報告」のメールマガジンで、詳しく記載していますので、ご興味があればご覧ください。
- 第64回RIPEミーティング報告 [後編] RPKIとルー ティングに関する動向
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2012/vol969.html
- BGPセキュリティーの動向と日本の現状 ~RPKI時代のルーティング~
-
RPKI experience report from Japan, 吉田友哉(インターネットマルチフィード株式会社)
インターネットマルチフィード社の吉田友哉氏からは、JANOG30でも発表された実験の結果が報告されました。RPKIを使って発行されたROA (Route Origination Authorization)のデータを実際にルータに転送し、それにかかる時間やルータで発生する技術課題などが見えてきています。発表資料は上記のJANOGのページから入手できます。
-
RPKI Service Promotion, Di Ma(CNNIC)
CNNICのDi Ma氏からは、CNNICにおいて取り組んでいる、RPKIに関して行われている技術調査と今後のプロモーションについて紹介されました。北京で開催された第79回IETFの際に行われたRPKIの相互運用実験(RPKI toolを用いたRPKI testbed)にはCNNICからの参加もあり、CNNIC内では技術調査が行われてきている様子がうかがわれます。RPKI testbedの詳細は「第79回IETF報告[第5弾]セキュリティ関連WG報告」をご覧ください。
- 第79回IETF報告 [第5弾] セキュリティ関連WG報告
http://www.nic.ad.jp/ja/mailmagazine/backnumber/2011/vol811.html
- 第79回IETF報告 [第5弾] セキュリティ関連WG報告
-
Technical and Operational issues and overcoming them,Randy Bush(株式会社インターネットイニシアティブ)
Randy Bush氏からは、RPKIをBGPルータで利用する際に重要になるROA配布サーバ(publication point)の運用状況について報告がありました。RIRで実験的に運用されているROAの配布サーバは、障害などによって不具合が起きることがあります。この課題点と克服するための糸口が解説されました。
-
APNIC RPKI Report, George Michaelson(APNIC)
最後にAPNICのGeorge Michaelson氏から、APNICにおいてRPKIとROAのユーザーインタフェースと、NIRにおいてRPKIのCA (Certification Authority)が立ち上げられる場合の収容方法などについての、技術的な解説がありました。ROAは署名付きのデータファイルであるため、メールに添付して送ることができるといったユースケースも紹介されています。
BoFでは、今回プレゼンテーションを行ったCNNICをはじめ、KRNIC、そして他のRIRからの参加者から、AP地域におけるRPKIの展開に関心が高まっている様子がうかがわれました。NIRの方々と連絡先を交換し、今後、RPKIのプログラムを使った実験などを、NIRの間で情報交換を進めながら行っていくことになりました。
● RPKI routing BoF会場の様子
APOPSにおけるRPKIの話題
APOPSでは、BoFでも発表をされたRandy Bush氏から、北陸先端科学技術大学院大学(JAIST)のStarBed※1を利用して行われている計測実験の紹介が行われました。
ROAをBGPルータで利用する際には、ROAの配布/保管場所である“publication point”から、BGPルータの近傍にある“cache server”に転送する必要があります。全世界の数多くのBGPルータにROAを配布するには、どのくらいの時間がかかるのか、という実験が行われています。実験では60分近くもの時間がかかっており、BGPルータにおいてROAの情報反映をどのように行っていくかという課題がありそうです。仮想的に数多くのcache serverを設けるためにJAISTのStarBedが使われたというのが印象的でした。
ライトニングトークにおけるRPKIの話題
ライトニングトークでは、米国BBN社のRichard Barnes氏によってROAをBGPルータで使うのに役立つオープンソースソフトウェアRPSTIR※2の紹介が行われました。RPSTIRは、publication pointからダウンロードしたRPKIの一連のデータを検証し、IPアドレスのprefixの一覧を出力することができます。
JPNICにおいても「RPKIの利用実験をして欲しい」とのご要望をいただいており、鋭意準備を行っております。ご興味のある方はぜひご連絡いただければ幸いです。
(JPNIC 技術部/インターネット推進部 木村泰司)
- ※1 StarBed
- http://www.starbed.org/
- ※2 RPSTIR
- http://sourceforge.net/projects/rpstir/
