ニュースレターNo.56/2014年3月発行
セキュリティ関連WG報告 〜RPKIの動向〜
本稿では、セキュリティ関連WGのうち、インターネットのルーティングセキュリティ技術として注目されている、リソースPKI(Resource Public-Key Infrastructure; RPKI)の動向をまとめてお送りします。
RPKIは、IPアドレスの記載された電子証明書(以下、リソース証明書と呼びます)と、AS番号が記載されたROA(Route Origin Authorization)と呼ばれる電子署名のついたデータを使って、不正な経路情報を検出できるセキュリティの技術です。
今回のIETFでは、WGでの議論に加えて、LACNICからエクアドルでのRPKI導入に関する興味深い発表がありましたので、SIDR WGの報告と併せて、このLACNICのプレゼンテーションについても取り上げます。
SIDR WG - BGPSECの仕様策定は足踏み状態、Origin Validationの改良が続く
SIDR(Secure Inter-Domain Routing)WGは、インターネットにおける経路制御のための、PKI技術を使ったセキュリティの仕組み、すなわちRPKIを使ったセキュアなルーティングの仕様を検討しているWGです。第88回IETFミーティングでは、2時間半のミーティングが1回行われました。参加者は40名ほどで、多くが常連の顔ぶれでした。
SIDR WGでは、経路情報のAS番号とIPアドレスの組み合わせを確認するOrigin Validation(経路広告元ASの検証技術)と、ASパスを確認するPath Validation(ASパスの検証技術)の二つの技術課題に取り組んでおり、この二つが合わさったものはBGPSECと呼ばれています。WGでは、Origin ValidationのRFC化が2013年初頭に進み、今度はPath Validationのドキュメントを準備している段階です。
今回のミーティングで行われた、主なプレゼンテーションを簡単に紹介します。
An Out-Of-Band Setup Protocol For RPKI Production Services(RPKI発行サービスのための out-of-band の鍵セットアッププロトコル)
リソース証明書は、発行先と発行元の間でセキュアな通信を行うために、最初におのおのの公開鍵や名称を交換しますが、そのプロトコルの策定を提案するプレゼンテーションです。特にプロトコルの定まっていない現在は、USBメモリや電子署名つきのメールなどさまざまな方法で行われています。
A Publication Protocol for the Resource Public Key Infrastructure(RPKIのデータ公開プロトコル)
リソース証明書やROAを公開するための、XML(Extensible Markup Language)ベースのプロトコルの提案です。現在はrsyncが使われていますが、この公開プロトコルに転送プロトコルなどを加えることで、rsyncの代替になることを含めて検討されています。
A Fail-safe Mechanism for the RPKI(RPKIのためのフェイルセーフの機構)
特定のROAの署名検証に使われる認証局(Certificate Authority; CA)を、通常のRIRのものと別にすることができる方式の提案です。RIRと異なるCA、すなわちRIRのプリフィクスを扱えるLTAM(Local Trust Anchor Management)に代わる方式で、独自のRPKIのツリー構造を構築できるようにするために提案されています。
WGで行われている議論は、IPアドレスの移転への対応のように、Origin Validationの仕組みを補強したり、特定の用途で使うために考えられているもので、まだまだPath ValidationのRFC化に向けた議論には至っていない状況です。日本国内ではAS Pathを使った経路フィルターが導入されているASが多いと言われており、今後のPath Validationの動向が気になるところです。
エクアドルにおける急速な導入 - 総プリフィクスの90%がカバーされる
エクアドルは、ラテンアメリカの地域インターネットレジストリ(RIR; Regional Internet Registry)であるLACNICから、IPアドレスの割り振りを受けている国です。経路情報としては、8,800ほどのプリフィクスが観測されています。
2013年9月に、このうちの90%をカバーするリソース証明書とROAが、一斉に発行されました。ROAにはIPアドレスとAS番号が書かれているため、インターネットの他のASからROAに書かれているIPアドレスが経路広告された場合には、検出することができます。検出自体はエクアドル国内でなくてもできるため、例えばヨーロッパやアジアにあるASであっても、エクアドル国内のプリフィクスが経路広告されたときには、それを観測できることになります。
IETFミーティングの初日に行われたIEPG(Internet Engineering and Planning Group)ミーティングでは、LACNICのスタッフであるSofia Silva Berenguer氏よって、このイベントについてプレゼンテーションされました。
RPKI and Origin Validation Deployment in Ecuador
今回、RPKI導入の主役となったのはNAP.ECというIXPで、エクアドル国内の97%のネットワークを収容しています。RPKIを導入するイベントは2013年の7月と9月に行われ、9月にROAの一斉発行が行われました。このイベントは、RPKIが普及しないために導入効果が上がらず、同時にそのことが普及の足止めになっている、いわゆる“鶏卵問題”を解消するため、LACNICの協力のもと開催に至ったとのことでした。ROAの発行だけでなく、NAP.ECで経路情報を配布しているルートサーバに、RPKIの電子署名の検証を行う“RPKI cache”が導入されているとのことです。ただし、検証結果に応じてルートサーバの挙動を変えるわけではないようです。
今後、不適切な経路情報の検出が実際にはどの程度できるようになり、インターネット経路制御の運用に役立つのかが注目されます。今回の話題は、LACNICのブログに詳しく掲載されています。
Deployment of RPKI and BGP Origin Validation in Ecuador, LACNIC
RPKIの可視化サイトで知られている、オランダにあるSurfnetのRPKI Dashboardによると、2013年12月12日現在、RPKIを使って経路広告元ASの判定ができるプリフィクスは22,808あります。国際的な経路情報の総量は515,101観測されていることから、そのうちの4.4%ほどであることがわかります。またROAの発行の段階で、既にAS番号が実際の経路と異なっているものが1,196あります。従って、ISPなどにおいて実運用されているとは、まだまだ考えにくい段階にあると言えます。
今後、実際にRPKIが使われていくためには、発行数を増やすだけでなく、IPアドレス担当者と経路制御の担当者が連絡し合い、正しいASが入ったROAが発行されていく必要があると考えられます。
(JPNIC 技術部/インターネット推進部 木村泰司)
