RPKI とインターネット ルーティングセキュリティ ~ ルーティングセキュリティの未来 ~ セキュリティ事業担当 木村泰司
内容 1. リソース証明書と RPKI 2. 国際的な動きと標準化動向 3. ディスカッションのポイント 2
1 リソース証明書と RPKI
リソース証明書とは ~ アドレス資源の 正しさ ~ イ ) これは正しいアドレスだ whois $ whois h whois.nic.ad.jp 192.0.2.0 ロ ) ハードディスク 192020 192.0.2.0 192.0.2.255 2 255 4
リソース証明書と RPKI 正しい リソースとは レジストリに登録された通りに割り振りまたは割り当てが行われているリソースである AfriNIC RIPE NCC APNIC ARIN LACNIC リソース証明 CNNIC KRNIC TWNIC リソース証明書 RPKI のイメージ PA 割当先指定事業者ユーザ組織 当該アドレスを利用する権利 5
リソース証明書の 検証 IPアドレスの割り振りと割り当て IPアドレスの例リソース証明書 APNIC 192.168.0.0/16 APNIC 自身が発行 192.168.128.0/17 APNIC が発行 LIR (IP 指定事業者 ) 192.168.128.0/24 JPNICが発行 LIRがユーザ組織 192.168.128.128/25168 128 128/25 発行 チェックポイント IP アドレスが発行元の IP アドレスの範囲に入っていること 元を辿っていくとレジストリの認証局にたどり着くこと 6
RPKI の用途 a. アドレス資源の管理 Whoisに代わる 正しい アドレス資源を証明する基盤 b. 応用 セキュアルーティング セキュアなインターネット経路制御の自動化 IX におけるアドレス確認業務の補強 7
RPKI RPKIを使ったセキュアなインターネット経路制御 AfriNIC RIPE NCC APNIC ARIN LACNIC CNNIC KRNIC TWNIC レジストリデータベース PA 割当先 ユーザ組織 指定事業者 リポジトリ リソース CA BGPメッセージをチェック ROAとリソース証明書の入手 ( オンライン ) 格納 発行 格納 発行 BGP ルータ等 Route Origination Authorization (ROA) ( 経路広告の認可情報 ) リソース証明書 BGP オペレーター 指定事業者 8
2 国際的な動きと標準化動向動向
RIR におけるリソース証明書 APNIC ARIN RIPE NCC LACNIC AfriNIC JPNIC リソース証明書 提供中 試験提供中 提供中 検討中 Resource Certificati on project 検討中 調査と検討 APNIC RIPE NCC ではリソース証明書を既に提供中 ARIN は試験提供 10
時系列 2004 th Jun RFC3779 IETF APNIC 2006 年度 2007 年度 2008 年度 2009 年度 Mar I-D ROA Mar 1 st SIDR BoF Apr I-D profile Aprp SIDR WG 結成 Jul I-D architecture リソース証明書エンジン部分の開発 I/F 等の開発 Dec I-D rpsl-sig Sep MyAPNIC での正式提供開始 Feb I-D trust anchor ARIN 開発への参加 システム設計開始 レジストリ連携の開発 Jul 試験提供開始 RIPE NCC JPNIC Oct CATF 結成 CertPROTO 開発への参加業務の検証 開発 RIR 検討への参加 / リソースセキュリティの調査 経路情報の登録機構開発 利用実験 Oct ベータテスト Oct ポリシー提案 2008-08 Jul 正式提供開始 経路ハイジャックに関する情報提供 11
IETF における標準化動向 RFC X.509 Extensions for IP Addresses and AS Identifiers (RFC3779) X.509 証明書にIPアドレスとAS 番号を入れられるようにする拡張 Internet-Draft An Infrastructure to Support Secure Internet Routing (draft-ietf-sidrarch-09.txt) リソース証明書や ROA の説明 RPKI の構造やレジストリにおける CA の役割など A Profile for Route Origin Authorizations (ROAs) (draft-ietf-sidr-roa- format-06.txt) txt) IPアドレスのholderがASに経路広告を認可するというROAを定義 A Profile for X.509 PKIX Resource Certificates (draft-ietf-sidr-res- certs-17.txt) txt) リソース証明書の意味 right-to-use やリソース証明書の記載内容( プロファイル ) を定義 12
RPKI の主要オブジェクト Resource Certificate( リソース証明書 ) IPアドレスやAS 番号の利用権利 (right-of-use) を示す電子証明書 Route Origination Authorizations(ROA) IPアドレスの割り振り先 ( または割り当て先 ) が ASに対してIPアドレスの経路広告を認可 (authorization) したことを示す電子署名付きのデータ Manifest RPKIにおける認証局が発行したリソース証明書 ROA CRLのリストに電子署名を付けたデータ リソース証明書 ROA CRLなどの 一部を消して再配布するような 不正行為対策のデータ 13
3 ディスカッションのポイント
ディスカッションのポイント 1 リソース証明書の内容は正しいのか レジストリデータベースと変わらないスと変わらない 2 RPKIを使ってみるには何がいるのか レジストリから発行されたリソース証明書 ( もしくは ) リソース証明書やROAを発行するプログラム リソース証明書やROAを検証するプログラム (OpenSSL-0.9.8e 頃より表示が可能になっている ) 3 Route Origination Authorization アドレスの利用権利を持つものが経路制御を決める 4 RPKIを使わないといけなくなるのか ARIN RIPE NCC ARINは提供開始 使わないといけないわけではない 5 日本はどうするのか? JPNIC リソース証明書について継続的に調査中 セキュアな経路制御の為に 経路情報の登録認可機構を含めて検討中 15
RPKI と JPNIC の活動 (1) JPNICの 電子証明書を用いた認証 ユーザ認証です 資源申請者 JPNIC 資源管理者 Web 申請システム 指定事業者契約に電子メールと基づく 資源管理カード オフライン確認に基づく電子証明書 認証 ID の有効性 16
RPKI と JPNIC の活動 (2) 経路情報の登録認可機構 IPアドレスの割り振り先 ( 指定事業者 ) がIRRへの登録条件を設定 ROAの考え方 ROA 管理インターフェースを視野 Whoisを使って想定される登録情報を参照利用方法設定 レジストリデータベース 実験用 IRR Route オブジェクトの登録 経路情報の登録認可機構 IRR への登録条件を設定 BGP ルータ等 BGPオペレーター 指定事業者 17
情報源 IETF Secure Inter-Domain Routing g( (sidr) http://www.ietf.org/dyn/wg/charter/sidrcharter.html APNIC Resource Certification http://www.apnic.net/services/services-apnic- net/services/services-apnicprovides/resource-certification Resource Certification (RIPE NCC) https://certtest.ripe.net/ Resource Certification (ARIN) http://rpki-pilot.arin.net/ 18
おわり