ニュースレターNo.54/2013年7月発行
RPKI関連の動向
関連記事「ルーティングセキュリティに関する取り組みの強化 RPKIハッカソン開催について」
本稿では、APNIC 35カンファレンスにおけるRPKI(Resource PKI - リソースPKI)の動向を報告いたします。
今回のカンファレンスでは、「RPKI CA hackathon」とそのBoFである「RPKI in AP-Region BoF」が行われました。このミーティングに先立つ2013年2月に開催されたJANOG(JApan Network Operators' Group)ミーティングでは、“RPKIルーティングを試す会”によってハッカソンが行われました。その様子は、P.12の「RPKIハッカソン開催について」でご紹介しています。
今回の「RPKI CA hackathon」は、その国別インターネットレジストリ(NIR)版として企画されたものです。また、APOPS (The Asia Pacific OPerator Sforum)の中でも、Routing Security Sessionと呼ばれる、RPKIに注目したセッションが開かれました。
RPKI CA hackathonとその背景
今回のRPKI CA hackathonは、アジア太平洋地域のNIRでも検討が進められているRPKIのCA (認証局:Certification Authority)について、参加者自身が実装を動かしてみることで、今後の情報交換と意義のあるディスカッションにつなげていくことを目的とし、行われました。
- 日 時:2013年2月26日(火) 17:45-18:20
- 場 所:APNIC 35カンファレンス会場 Island Jurong
- 参加者:13名(二つのNIRが参加)
- URL:http://conference.apnic.net/35/program/rpki-hackathon/
アジア太平洋地域には、NIRが七つあり、各国のIPアドレスとAS番号のレジストリを担っています。RPKIは、このIPアドレスとAS番号の割り振りと割り当ての構造に従って、電子証明書が発行される仕組みであるため、アジア太平洋地域におけるRPKIの普及には、NIRにおけるRPKIの導入が、鍵の一つになってくると言えます。
2013年になって、JANOGのRPKIハッカソンで確認されつつあるように、BGPルータにおけるRPKIの実装は進んできており、ルーティングの運用で使われる可能性があります。すでにRIPE NCCやLACNICでも、RPKIを使ったWebサービスが試験的に立ち上がっており、インターネットに流れる経路情報のIPアドレスが正しく割り振られたものなのか、また本来のASから広告されているのかが視覚的にわかりやすく確認できるようにする試みが行われています※1※2。
このように、他の地域におけるRPKI導入に向けた動きが活発になる中、アジア太平洋地域ではどのように取り組んでいけばよいのか、技術的にはどのような構成になっていくのかをディスカッションしていく試みとして、RPKI CA hackathon開催につながったのです。
RPKI CA hackathonの経過
RPKI CA hackathonのセッションは、2月26日(火)に設けられていました。しかし実際にはこの時間よりも、その後の打ち合わせスペースなどでの活動の方が活発に行われることになりました。その経過を簡単に報告したいと思います。
APNICカンファレンスでは、これまでにもRPKIに関する技術的な発表は多数行われていました。しかしNIRからの参加者の間では特に話題に上ることはなく、導入を検討するような段階とは程遠い状況でした。そんな中で、本セッションの時間は設けられたのですが、当日は参加者が20名ほどしか集まりませんでした。
個別に話を伺ってみると、RPKIには興味をもってはいるものの、担当者自身の興味であり、NIRとして組織的に取り組んでいるところは少ない様子でした。この状況でAP地域のRPKIについてディスカッションを進めていくにはどうしたらいいのか。そこで、セッションのように一堂に集まるのではなく、休憩コーナーなどでRPKIの情報共有を進めつつ、RPKI CA hackathonを行うというやり方で進めることになったのです。
その結果、APNIC 35カンファレンスの終了時点で、TWNICとKRNICの方がJPNICで用意していた仮想マシンを使い、NIRとしてのCAを体験されました。VNNICはRPKIの実験に必要な、APNICから割り振られたIPアドレスの確認などの作業を行いました。APNIC 35カンファレンスの終了後、TWNICは、TWNICで用意されたサーバに移設して実験を継続しています。CNNICは、BBNのツール※3を用いた技術検証を行っており、後述するBoFでの論点の一つであるIPアドレスの移転をどのように扱うのか、といった議論に参加しています。
RPKI in AP-Region BoF
RPKI in AP-Region BoF(AP地域におけるRPKI BoF)は、hackathonそのものについて意見交換を行うと共に、前述のhackathon開催を受けて、AP地域におけるRPKIの普及に関する論点を洗い出すことを目的としたBoFで、今回初めて行われました。
- RPKI in AP-Region BoF
- 日 時:2013年2月27日(水) 17:45-18:20
- 場 所:APNIC 35カンファレンス会場 Island Tanglin
- 参加者:約20名
- URL:http://conference.apnic.net/35/program/rpki-in-ap-region-bof/
議事を簡単に紹介します。
CNNIC Update, Di Ma氏, CNNIC
CNNICでは、BBN社のRahtheon氏が開発したRPSTIRやNIST SRx quaggaを利用したテストベッドを運用しています。テストベッドでは、“アドレスの移転”、“3階層モデルのCAの運用”、“セキュアBGPの普及”の三つの観点に注目し、RPKIのオペレーションを検証しています。このプレゼンテーションは、アメリカ・ボストンにいるDi Ma氏によって、Skypeを使って行われました。
Hackathon Update, 木村泰司, JPNIC
筆者は、RPKI CA Hackathonの経過を報告しました。この時にはKRNICとCNNICの方が設定を開始していたため、その様子を報告しました。RPKI CA Hakathonでは、NIRのCAを設定するためにJPNICが構築した実験用のAPNICのCAを構築してNIRのCAと連携させています。今後は、実際のAPNICのCAを利用した実験に発展させていく必要があります。
ディスカッション
ディスカッションの時間には、AP地域でのRPKIの導入を検討するために考えられる論点の洗い出しを行いました。挙げられた論点を次に示します。
a. APNICのRPKIシステムとの連携
NIRのRPKIシステムとAPNICのシステムとの連携をどのように動作検証していくのかという点です。この後、APNICでは動作試験用のサーバを1ヶ月以内に用意するという連絡がありました。
b. Publication Point
AP地域におけるリソース証明書とRPKIの配布サーバをどのように配置するかという点です。NIR自身が一次配布サーバを運用することになりますが、APNICにも配布サーバがあり、どのような全体構成にしていくのかを議論していく必要があります。
c. RIRとNIRの間の動作検証
NIRの間での動作検証をどのように行うのか、技術的なテスト環境をどこにどのように用意するかといったテストベッドの話題です。
d. ソフトウェア開発
APNICにおけるRPKIのCAと、NIRにおけるCAの開発をどのように進めていくのか、という話題です。基本的に各々のNIRが取り組んでいくことではありますが、システム構成、特に配布サーバの設置方法について情報共有を図っていくことが考えられます。
APNIC 35カンファレンスにおけるRPKIの話題を振り返って
APNIC 35カンファレンスでは、RPKI CA hackathonとRPKI in AP-Region BoFを通じて、NIRの方を交えたトライアルを始めることができました。CNNICではBGPにおける応用を視野に入れた技術検証を始めていることがわかり、さらにAPNICからはNIRが試験できるようにテスト環境を用意してくれることになりました。AP地域でもRPKIへの注目が高まってきていると思われます。
今後は、前述の論点を踏まえて、IPアドレスの移転をRPKIでどのように実現できるのか、RPKIのCAの構造はどのようになっていくのかなどの具体的な議論が進んでいくと思われます。
RPKIは、その技術の性質上、インターネットを特定の組織が制御するような構造になってしまったり、逆に、導入そのものが目的になってしまって、使われなくなってしまったりする恐れのある技術だと思います。RPKIが本当に役立つ仕組みとして導入されていくためには、NIRなど、関係する方々によって、どういうものなのかの理解が得られ、国を超えたインターネットにおいて、うまく機能する形にしていくためにディスカッションしていくことが重要です。
そのために、とりわけAPNIC 35カンファレンスにおけるRPKI関連のディスカッションには、実際に動作するプログラムと動作させる環境が不可欠でした。RPKI Toolsを簡単に試せるようにするための洞察とさまざまな改良作業をいただいたRob Austein氏とRandy Bush氏、そしてRPKIを試すことのできるBGPルータを実験用に提供してくださったインターネットマルチフィード株式会社の方々にこの場を借りて感謝したいと思います。またHakachonの形態はJANOGのRPKIルーティングを試す会の関係者各位の考案によりますことを申し添えます。
今後も、RPKIが技術的に簡単で便利なものになるよう、活動していきたいと考えています。
(JPNIC 技術部/インターネット推進部 木村泰司)
- ※1 Public RIPE NCC Validator
- http://rpki01.fra2.de.euro-transit.net:8080/
- ※2 RPKI Origin Validation Looking Glass
- http://www.labs.lacnic.net/rpkitools/looking_glass/
- ※3 RPSTIR - Relying Party Security Technology for Internet Routing
- http://sourceforge.net/projects/rpstir/
