________________________________________________________________________ prop-059-v001: Using the Resource Public Key Infrastructure to construct validated IRR data ________________________________________________________________________ Author: Randy Bush Version: 1 Date: 31 March 2008 1. Introduction ---------------- This is a proposal to introduce a new registry that augments Internet Routing Registry (IRR) data with the formally verifiable trust model of the Resource Public Key Infrastructure (RPKI) and provide ISPs with the tools to generate an overlay to the IRR which is much more strongly trustable. この提案は、新しいレジストリーを導入するものである。 正式な信頼性モデルであるResource Public Key Infrastructure (RPKI)を使って Internet Routing Registry (IRR)データが増大するのである。 そしてISPに対して、IRRにオーバーレイにより従来よりはるかに信頼性の高まる ツールを提供するものである。 2. Summary of current problem ------------------------------ The current methods for adding or updating Internet Routing Registry (IRR) data have weak security, and lack an inherently formally verifiable structure, resulting in a low level of trust in IRR data. 現在の Internet Routing Registry(IRR) データはのセキュリティーは弱く、 内在的に正式な証明ができない構造になっている。 その結果、IRRデータの信頼性が低くなっている。 To address the problem of this low level of trust in IRR data, there have been proposals to use Resource Public Key Infrastructure (RPKI) to sign IRR data. The problem with most of the proposed schemes, however, is that they are conceptually weak and hard to implement due to the differences between the trust structures of the IRR and the RPKI. この信頼性の低い IRRデータに対応するために、これまでに Resource Public Key Infrastructure (RPKI)を使うという提案がいくつかあった。 しかし、ほとんどの提案には問題があった。これらの提案のコンセプトは弱く、 更にIRRの信頼性の構造とRPKIには違いがあり実装が難しかったのである。 More recently, however, Ruediger Volk has described a very simple method of using the RPKI that involves no change to the IRR, software that uses the IRR, or the RPKI. しかし、最近、ルエディガー・フォルクさんがRPKIを使ったとてもシンプルな 方式を説いた。それはIRR、IRRで使うソフトウェア、RPKI に変更を加えること がない。 This is a proposal to implement Ruediger Volk's idea to strengthen the operators' use of data in the global IRR. この提案は、世界のIRRにおけるオペレーターにとってのデータの使い勝手を 強化するルエディガー・フォルクさんのアイディアを実装するものである。 3. Situation in other RIRs ---------------------------- This proposal has yet to be made in any other RIR. この提案は、まだどのRIRからも提案されていない。 4. Details of the proposal ---------------------------- It is proposed that: この提案は次の通りである。 4.1 APNIC publish a new IRR that contains 'route' objects generated from Route Origin Authorizations (ROAs) in the RPKI. APNICは RPKIの Route Origin Authorizations (ROAs) から作り出される 'route'オブジェクトを含む新しい IRR を公開した。 - This new IRR would accept 'route' objects generated from the global RPKI, and would therefore cover the entire routing space, in so much as the RPKI covers the global space. この新しいIRRは、世界のRPKIから作り出される'route'を受け付け、その 結果、RPKIが全世界のスペースをカバーするように、新IRRは全てのルー ティングスペースをカバーするものである。 - Operators who use the IRR to generate routing filters can choose to put this new IRR registry logically in front of the other registries. Operators can then given preference to routing origin information that can be formally validated. 経路フィルターを書くためにIRRを使うオペレーターはこの新IRRを論理 的にその他のレジストリーの前に置くことができる。 - This new registry would be made available as an IRR publication point. この新レジストリーはIRRパブリケーションポイントとして作られるで あろう。 4.2 APNIC publish an open source tool that enables network operators to generate their own overlay IRR publication points themselves. APNICはネットワークオペレーターが独自にオーバーレイIRRパブリケーショ ンポイントを作成することのできるオープンソースツールを公開した。 - Such generated IRR publication points should be identical to the one generated and made available by APNIC. ここで作られたIRRパブリケーションポイントは、APNICによって作られ たものと同じであるべきである。 - Producing overlay IRR publication points allows security conscious operators to have a more formal trust model that prevents attacks on the IRR segment generated and served by APNIC. オーバーレイIRRパブリケーションポイントを作ることによって、セキュ リティーを重要視するオペレーターに正式な信頼性のあるモデルを提供す ることができる。これにより、APNICによって作られて提供されているIRR セグメントが攻撃を防ぐことができる。 5. Advantages and disadvantages of the proposal ------------------------------------------------- Advantages: - Router filters would be more reliable as they would prefer RPKI validated origins, where available, rather than those not validated in the RPKI. 有効なオリジンを持たないRPKIよりも、この仕組みによって可能となる有効 なオリジンを持つRPKIのルーターフィルターの方が信頼性がある。 ISPs would achieve this by configuring tools that automatically generate router filters to give priority to the IRR publication point of the new registry based on RPKI-signed objects. ISPは、RPKIによってサインされたオブジェクトベースの新しいレジストリー によって作られたIRRパブリケーションポイントを優先したフィルターを自動 的に作成するツールを設定することによりこれを実現することができるように なる。 - The community will have an enhanced ability to filter BGP peer prefixes at no additional cost or changes to the data or tool bases. This would increase the reliability of the global routing system. コミュニティーは追加コスト無く、やデータやツールの変更を行うこともな くBGPピアのプレフィックスフィルターの機能を上げることができるようにな る。 - This new IRR publication point would be much simpler than other current ideas about how to use RPKI in conjunction with IRR data. この新しいIRRパブリケーションポイントは、いかにIRRデータとRPKIを結合 するかという現在のアイディアよりもはるかにシンプルである。 - This proposal requires no changes to RPSL, the IRR, IRR toolsets, or the RPKI. この提案によって、RPSL、IRR、IRRツール、RPKI に変更を必要としない。 Disadvantages: - None are known 何も見つけられていない。 6. Effect on APNIC members ---------------------------- See 'Advantages' above. 'Advantages' を参照。 7. Effect on NIRs ------------------- None are known 何も見つけられていない。