ID: 自律システム・プロバイダ認可のプロファイル
要旨
本文書は、リソース公開鍵基盤(RPKI)で使用する自律システム・プロバイダ認可(ASPA)オブジェクトのための暗号メッセージ構文(CMS)で保護されたコンテンツ・タイプを定義する。ASPAはデジタル署名されたオブジェクトで、発行者(自律システム識別子の保有者)は、ASPAを通じて1つ以上の他の自律システム(AS)を上流プロバイダとして認可することができる。検証することで、ASPAのeContentは経路漏洩の検出と軽減に利用できる。
要件言語
この文書のキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、および「OPTIONAL」は、ここに示すように、すべて大文字で表示される場合に限り、 BCP 14 [RFC2119] [RFC8174]の記述に従って解釈される。
本文書の位置付け
本インターネット・ドラフトは、BCP78およびBCP 79の規定に完全に準拠して提出されている。
インターネット・ドラフトは、Internet Engineering Task Force (IETF)の作業文書である。他のグループも作業文書をインターネット・ドラフトとして配布する場合がある。現在のインターネット・ドラフトの一覧は、<https://datatracker.ietf.org/drafts/current/>にある。
インターネット・ドラフトは、最長6か月間有効なドラフト文書であり、いつでも更新、置き換え、または他の文書によって廃止される可能性がある。インターネット・ドラフトを参考資料として使用したり、「進行中の作業」以外の理由で引用することは不適切である。
このインターネット・ドラフトの有効期限は2024年12月27日である。
著作権表示
Copyright (c) 2025 IETFトラストおよび文書の著者として特定された人物。無断転載を禁じる。
本文書は、BCP 78および文書の発行日において有効なIETF文書に関するIETFトラストの法的規定(<https://trustee.ietf.org/license-info>)に従うものとする。これらの文書には、本文書に関するあなたの権利と制限が記載されているため、注意深く確認して欲しい。文書から抽出されたコード・コンポーネントには、トラスト法的条項のセクション4.eに記載されている改訂BSDライセンスのテキストを含まなければならず、改訂BSDライセンスに記載されているように保証なしで提供する。
1. はじめに
リソース公開鍵基盤(RPKI)の主な目的は、ルーティング・セキュリティを向上させることである[RFC6480]。この基盤の一部として、カスタマとしての立場で自律システム(AS)識別子の保有者が、他ASをプロバイダとして認可することを容易にするメカニズムが必要である。プロバイダAS(PAS)とは以下のようなネットワークである:
- カスタマにアウトバウンド(顧客からインターネット)のデータ・トラフィック接続を提供する、及び/または
- さらに、カスタマが送信する可能性のあるBGPアップデートを全方向(プロバイダ、ラテラル・ピア、カスタマ方向)に伝播する。
本文書で説明するデジタル署名された自律システム・プロバイダ認可(ASPA)オブジェクトは、上記の認可メカニズムを提供する。
ASPAオブジェクトは、自律システム識別子の保有者(以下、「カスタマAS」またはCASと呼ぶ)が署名した、暗号的に検証可能な証明書である。ASPAには1つ以上のASのリストを含み、列挙されたASがプロバイダ・ネットワークとしての役割を果たすことが認可されていることを意味する。CASが複数のプロバイダを持つ場合、すべてのプロバイダASがASPAに列挙され、そこには非透過的なインターネット・エクスチェンジ・ポイント(IXP)の経路サーバ(RS)ASも含まれる。IXPのRS ASの一般的なケースは透過的に動作し([RFC7947]セクション2.2.2.1を参照)、そのような場合、IXP経路サーバのASNはASPAにPASとして登録されない。
自律システム(AS)がeBGPネイバーとピアリング関係を持つ可能性のあるBGPロールは、[ID.ietf-sidrops-aspa-verification]で説明されている。さまざまなシナリオにおけるASのASPA登録要件の詳細も規定されている。さらに、検証済みASPAペイロード(VAP)を使用してBGP UPDATEメッセージ内のAS_PATHを検証する手順も、その文書で説明されている。
このCMS[RFC5652]の保護されたコンテンツ・タイプの定義は、 RPKI署名オブジェクトの[RFC6488]テンプレートに準拠する。[RFC6488]のセクション4に従って、本文書では以下を定義する:
- ASPA署名オブジェクトを識別するオブジェクト識別子(OID)。このOIDは、encapContentInfoオブジェクトのeContentTypeフィールドと、signerInfo構造体内の content-type署名属性に現れる。
- CASが署名したペイロードであるASPAコンテンツのASN.1構文。ASPAコンテンツは、ASN.1 [X.680] Distinguished Encoding Rules (DER) [X.690]を使用して符号化される。
- [RFC6488]が規定している検証手順を超えてASPA検証するために必要な手順。
2. ASPAコンテント・タイプ
ASPAのコンテント・タイプはid-ct-ASPAと定義され、1.2.840.113549.1.9.16.1.49の数値を持つ。このOIDは、encapContentInfo構造体内のeContentTypeとsignerInfo構造体内のcontent-type署名属性の両方に現れなければならない(MUST)([RFC6488]を参照)。
3. ASPA eContent
ASPAのコンテンツは、カスタマAS(CAS)と、CASがプロバイダとして認可したプロバイダASの集合(SPAS)を特定する。
ASPAを登録するユーザは、[ID.ietf-sidrops-aspa-verification]のセクション2、3、4を認識している必要があり、ユーザ(またはそのソフトウェア・ツール)は、同文書のセクション4のASPA登録の推奨事項に準拠しなければならない。
与えられたカスタマASに対して、非透過RS ASを含むすべてのプロバイダを含むシングルASPAオブジェクトを維持することが強く推奨される。このようなやり方は、ASPA更新中の競合状態を防ぐのに役立つ。そうでなければ、競合状態は経路伝播に影響を与えるかも知れない。ASPAレコードのホスティングを提供するソフトウェアは、この推奨事項の実施を支援する必要がある。異なるCAレジストリ間の移行プロセスの場合、ASPAレコードはその認可内容に関して、すべてのレジストリで同一に保たれる必要がある(SHOULD)。
ASPAのeContentはASProviderAttestationのインスタンスであり、正式には以下のASN.1[X.680]モジュールで定義されている。
RPKI-ASPA-2023
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
pkcs-9(9) smime(16) modules(0) id-mod-rpki-aspa-2023(TBD) }
DEFINITIONS EXPLICIT TAGS ::=
BEGIN
IMPORTS
CONTENT-TYPE
FROM CryptographicMessageSyntax-2010 -- RFC 6268
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
pkcs-9(9) smime(16) modules(0) id-mod-cms-2009(58) } ;
id-ct-ASPA OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
pkcs-9(9) id-smime(16) id-ct(1) aspa(49) }
ct-ASPA CONTENT-TYPE ::=
{ TYPE ASProviderAttestation IDENTIFIED BY id-ct-ASPA }
ASProviderAttestation ::= SEQUENCE {
version [0] INTEGER DEFAULT 0,
customerASID ASID,
providers ProviderASSet }
ProviderASSet ::= SEQUENCE (SIZE(1..MAX)) OF ASID
ASID ::= INTEGER (0..4294967295)
END
このコンテンツは、[RFC6488]が規定するように、encapContentInfo内のeContentとして表示されることに留意する。
3.1. version
この仕様に準拠するASProviderAttestationのバージョン番号は1でなければならず(MUST)、明示的に符号化しなければならない(MUST)。
3.2. customerASID
customerASIDフィールドは、認可エンティティであるカスタマの自律システムのAS番号を含む。
3.3. providers
providersフィールドには、プロバイダとして認可しているAS一覧を含む。
providersフィールドに含まれる各要素は、ASIDのインスタンスである。各ASID要素には、カスタマASからプロバイダまたはRSとして認可されたASのAS番号を含む。
正式なASN.1定義で記述されている制約に加えて、providersフィールドのコンテンツは以下の制約を満たさなければならない(MUST):
- customerASID値は、providersフィールドのどのASIDにも現れてはならない(MUST NOT)。
- providersの要素は、昇順で並べなければならない(MUST)。
- ASIDの各値は、providersの他の要素に対して一意でなければならない(MUST)。
4. ASPA検証
リライング・パーティーがルーティング・アナウンスを検証するためにASPAを使用する前に、リライング・パーティーは最初にASPAオブジェクト自体を検証しなければならない(MUST)。ASPAを検証するには、リライング・パーティーは[RFC6488]で規定されているすべての検証チェックと、以下の追加的なASPA固有の検証手順を実行しなければならない(MUST)。
- 自律システム識別子委任拡張[RFC3779]は、(ASPA内に含まれる)エンド・エンティティ(EE)証明書に存在しなければならず(MUST)、ASPA eContent内のカスタマASIDは、EE証明書の自律システム識別子委任拡張で指定されるAS番号に含まれていなければならない(MUST)。
- EE証明書の自律システム識別子委任拡張には、「継承」要素を含んではならない(MUST NOT)。
- IPアドレス委任拡張[RFC3779]は存在してはならない(MUST)。
5. IANAに関する考慮事項
5.1. S/MIMEモジュール識別子レジストリのSMIセキュリティ
以下のように、id-mod-rpki-aspa-2023
をSMI Security for S/MIME Module Identifier (1.2.840.113549.1.9.16.0)レジストリ(<https://www.iana.org/assignments/smi-numbers/smi-numbers.xml#security-smime-0>)に追加する。
10進数 | 説明 | 仕様 |
---|---|---|
TBD2 | id-mod-rpki-aspa-2023 |
[将来のRFC] |
5.2. S/MIME CMSコンテンツ・タイプ・レジストリのSMIセキュリティ
以下のように、ASPAをS/MIME CMSコンテンツ・タイプのSMIセキュリティ (1.2.840.113549.1.9.16.1)レジストリ(<https://www.iana.org/assignments/smi-numbers/smi-numbers.xml#security-smime-1>)に追加する。
10進数 | 説明 | 仕様 |
---|---|---|
49 | id-ct-ASPA |
[将来のRFC] |
5.3. RPKI署名オブジェクト・レジストリ
以下のように、RPKI署名オブジェクト・レジストリ(<https://www.iana.org/assignments/rpki/rpki.xhtml#signed-objects>)に自律システム・プロバイダ認可を追加する:
名前 | OID | 仕様 |
---|---|---|
自律システム・プロバイダ認可 | 1.2.840.113549.1.9.16.1.49 | [将来のRFC] |
5.4. RPKIリポジトリ名スキーム・レジストリ
以下のように、[RFC6481]で作成された「RPKIリポジトリ名スキーム」レジストリに、自律システム・プロバイダ認可ファイル拡張子の項目を追加する。
ファイル名拡張 | RPKIオブジェクト | 仕様 |
---|---|---|
.asa | 自律システム・プロバイダ認可 | [将来のRFC] |
5.5. メディア・タイプ・レジストリ
IANAは、メディア・タイプapplication/rpki-aspa
を以下のように「メディア・タイプ」レジストリに登録するよう要請する:
Type name: application
Subtype name: rpki-aspa
Required parameters: N/A
Optional parameters: N/A
Encoding considerations: binary
Security considerations: Carries an RPKI ASPA [RFC-to-be].
This media type contains no active content. See
Section 4 of [RFC-to-be] for further information.
Interoperability considerations: None
Published specification: [RFC-to-be]
Applications that use this media type: RPKI operators
Additional information:
Content: This media type is a signed object, as defined
in [RFC6488], which contains a payload of a list of
AS identifers as defined in [RFC-to-be].
Magic number(s): None
File extension(s): .asa
Macintosh file type code(s):
Person & email address to contact for further information:
Job Snijders <job@sobornost.net>
Intended usage: COMMON
Restrictions on usage: None
Change controller: IETF
6. 実装に関する考慮事項
セクション3で規定されているASN.1プロファイルは、特定のカスタマASIDに対して登録できるプロバイダASの数に制限はないが、バリデータやRPKIサプライ・チェーンの他の場所に存在する制限を考慮する必要がある。例えば、1つのRPKI-To-RouterプロトコルASPA PDU([ID.ietf-sidrops-8210bis]のセクション5.12のLengthフィールド制約に従う)に登録できるプロバイダASの数は
リライング・パーティの実装は、特定のカスタマASIDのプロバイダASの数に上限を設定することを推奨する。上限値は4,000から10,000を推奨する。このしきい値を超えた場合、リライング・パーティの実装は、カスタマASIDに関連するすべてのASPAオブジェクトを無効として扱う必要がある(SHOULD)。つまり、プロバイダASの部分リストを発行しない。さらに、しきい値を超えたカスタマASIDを示すエラーはローカルシステムに記録する必要がある(SHOULD)。
実装者とオペレータは、グローバル・インターネット・ルーティング・システムの環境において、課された上限が依然として妥当であるかどうかを定期的に確認する必要がある(SHOULD)。
7. セキュリティに関する考慮事項
[RFC6481]、[RFC6485]、[RFC6488]のセキュリティに関する考慮事項も、ASPAに適用される。
8. 実施状況
このセクションはRFCとして公開する前に削除する必要がある。
このセクションは、このインターネット・ドラフトが公開された時点で、この仕様で定義されているプロトコルの既知の実装の状況を記録するもので、RFC 7942に記載されている提案に基づいている。このセクションの実装の説明は、IETFがドラフトをRFCに進めるための決定プロセスを支援することを目的としている。個々の実装の一覧は、IETFによる推奨を意味するものではないことに留意する。さらに、IETFの貢献者から提供されたここで提示された情報の検証には労力が費やされていない。これは、利用可能な実装やその機能のカタログとして意図されたものではなく、またそのように解釈してはならない。読者は、他の実装が存在する可能性があることに留意することを忠告する。
RFC 7942によれば、「これによって、レビュー担当者とワーキング・グループは、実行コードの利点を持つ文書に、十分な考慮を払うことができる。これは、実装されたプロトコルをより成熟した貴重な実験とフィードバックの証拠となる可能性がある。この情報を適切と思われる方法で使用するかどうかは、個々のワーキング・グループ次第である」
- C言語で書かれたバリデータ実装[rpki-client](バージョン 8.5以降)は、ジョブ・スナイデルスが提供した。
- Rustで書かれたバリデータ実装[routinator]は、NLnet Labsのマーティン・ホフマンが提供した。
- Haskellで書かれたバリデータ実装[rpki-prover]は、ミハイル・プザノフが提供した。
- PerlでのSigner実装[rpki-aspa-demo]はAPNICのトム・ハリソンが報告した。
- Javaでの署名実装[rpki-commons]は、RIPE NCCのタイ・デ・コックが報告した。
- Rustでの署名実装[krill]は、NLnet Labsのティム・ブリュインツェルスが報告した。
9. 謝辞
著者は、ASPAプロファイル・プロジェクトの立ち上げに協力してくれたキール・パテル、ProviderASSetを標準形式にすることを提案してくれたタイ・デ・コックとティム・ブリュインツェルス、レビューといくつかの改善提案をしてくれたクラウディオ・イェカーとマーティン・ホフマンに感謝する。
寄稿者
以下の人々がこの文書に多大な貢献をした:
コティカラプディ・スリラム
米国国立標準技術研究所
メールアドレス: ksriram@nist.gov
参考文献
引用規格
[I-D.ietf-sidrops-8210bis] Bush, R. and R. Austein, "The Resource Public Key Infrastructure (RPKI) to Router Protocol, Version 2", Work in Progress, Internet-Draft, draft-ietf-sidrops-8210bis-16, 27 September 2024, <https://datatracker.ietf.org/doc/html/draft-ietf-sidrops-8210bis-16>.
[I-D.ietf-sidrops-aspa-verification] Azimov, A., Bogomazov, E., Bush, R., Patel, K., Snijders, J., and K. Sriram, "BGP AS_PATH Verification Based on Autonomous System Provider Authorization (ASPA) Objects", Work in Progress, Internet-Draft, draft-ietf-sidrops-aspa-verification-20, 4 January 2025, <https://datatracker.ietf.org/doc/html/draft-ietf-sidrops-aspa-verification-20>.
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.
[RFC3779] Lynn, C., Kent, S., and K. Seo, "X.509 Extensions for IP Addresses and AS Identifiers", RFC 3779, DOI 10.17487/RFC3779, June 2004, <https://www.rfc-editor.org/info/rfc3779>.
[RFC5652] Housley, R., "Cryptographic Message Syntax (CMS)", STD 70, RFC 5652, DOI 10.17487/RFC5652, September 2009, <https://www.rfc-editor.org/info/rfc5652>.
[RFC6481] Huston, G., Loomans, R., and G. Michaelson, "A Profile for Resource Certificate Repository Structure", RFC 6481, DOI 10.17487/RFC6481, February 2012, <https://www.rfc-editor.org/info/rfc6481>.
[RFC6485] Huston, G., "The Profile for Algorithms and Key Sizes for Use in the Resource Public Key Infrastructure (RPKI)", RFC 6485, DOI 10.17487/RFC6485, February 2012, <https://www.rfc-editor.org/info/rfc6485>.
[RFC6488] Lepinski, M., Chi, A., and S. Kent, "Signed Object Template for the Resource Public Key Infrastructure (RPKI)", RFC 6488, DOI 10.17487/RFC6488, February 2012, <https://www.rfc-editor.org/info/rfc6488>.
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[X.680] ITU-T, "Information technology - Abstract Syntax Notation One (ASN.1): Specification of basic notation", ITU-T Recommendation X.680, 2021.
[X.690] ITU-T, "Information Technology - ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)", ITU-T Recommendation X.690, 2021.
参考規格
[krill] Bruijnzeels, T., "krill", 2023, <https://mailarchive.ietf.org/arch/msg/sidrops/ RrHCYTmevxDHgebdLC_adRlKH-o/>.
[RFC4648] Josefsson, S., "The Base16, Base32, and Base64 Data Encodings", RFC 4648, DOI 10.17487/RFC4648, October 2006, <https://www.rfc-editor.org/info/rfc4648>.
[RFC6480] Lepinski, M. and S. Kent, "An Infrastructure to Support Secure Internet Routing", RFC 6480, DOI 10.17487/RFC6480, February 2012, <https://www.rfc-editor.org/info/rfc6480>.
[RFC7947] Jasinska, E., Hilliard, N., Raszuk, R., and N. Bakker, "Internet Exchange BGP Route Server", RFC 7947, DOI 10.17487/RFC7947, September 2016, <https://www.rfc-editor.org/info/rfc7947>.
[routinator] Hoffman, M., "routinator", 2023, <https://github.com/NLnetLabs/rpki-rs/pull/264>.
[rpki-aspa-demo] Harrison, T., "rpki-aspa-demo", 2023, <https://github.com/APNIC-net/rpki-aspa-demo>.
[rpki-client] Jeker, C., Snijders, J., Dzonsons, K., and T. Buehler, "OpenBSD rpki-client", 2023, <https://www.rpki-client.org/>.
[rpki-commons] de Kock, T., "rpki-commons", 2023, <https://mailarchive.ietf.org/arch/msg/sidrops/nNAmZMrr7t9NMzm12jRXU03ABN4/>.
[rpki-prover] Puzanov, M., "rpki-prover", 2023, <https://github.com/lolepezy/rpki-prover/compare/master...aspa-profile-16>.
付録 A. ASPA eContent ペイロードの例
以下に、DER符号化されたASPA eContentの例を示す。「#」文字の後に注釈が付く:
$ echo 301DA003020101020300FE633011020300FC00020301000F020500FA56EA00 \
| xxd -r -ps | openssl asn1parse -inform DER -dump -i
0:d=0 hl=2 l= 29 cons: SEQUENCE
2:d=1 hl=2 l= 3 cons: cont [ 0 ]
4:d=2 hl=2 l= 1 prim: INTEGER :01
7:d=1 hl=2 l= 3 prim: INTEGER :FE63 # Customer ASID 65123
12:d=1 hl=2 l= 17 cons: SEQUENCE
14:d=2 hl=2 l= 3 prim: INTEGER :FC00 # ProviderAS 64512
19:d=2 hl=2 l= 3 prim: INTEGER :01000F # ProviderAS 65551
24:d=2 hl=2 l= 5 prim: INTEGER :FA56EA00 # ProviderAS 4200000000
以下は、Base64[RFC4648]で符号化された完全なRPKI ASPA署名オブジェクトである。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上記は以下のようにデコードされる:
Object SHA256 hash: S6B+jKOCFXPlRn7ws6Kd5tgpsSx609tJZpw60CVaf9Y=
EE Subject key identifier: 2B:87:C7:6F:5E:EE:F6:20:44:F5:28:B8:2C:92:9B:28:D5:57:32:AC
EE Certificate issuer: /CN=root
EE Certificate serial: 04
EE Authority key identifier: 36:9A:D0:19:2C:67:4E:78:32:22:CD:32:85:66:B7:94:12:B1:8F:26
EE Authority info access: rsync://localhost/repo/369AD0192C674E783222CD328566B79412B18F26.cer
EE Subject info access: rsync://localhost/ta/an-object.asa
CMS Signing time: Mon 06 Jan 2025 10:26:48 +0000
EE notBefore: Mon 06 Jan 2025 10:26:48 +0000
EE notAfter: Tue 06 Jan 2026 10:26:48 +0000
ASPA eContent:
Customer AS: 65123
Provider Set: 1: AS: 64512
2: AS: 65551
3: AS: 4200000000
⚠️ コメント
Base64ファイルは以下の方法でデコードできる。発行者証明書を取得できないため、検証は失敗となっている。
# cat sample.base64 | openssl base64 -d > sample.asa
# rpki-client -f sample.asa
# rpki-client -v -f /tmp/sample.asa
File: sample.asa
Hash identifier: S6B+jKOCFXPlRn7ws6Kd5tgpsSx609tJZpw60CVaf9Y=
rpki-client: parse file localhost/repo/ta/369AD0192C674E783222CD328566B79412B18F26.crl: No such file or directory
rpki-client: parse file localhost/repo/369AD0192C674E783222CD328566B79412B18F26.cer: No such file or directory
rpki-client: failed to build authority chain: rsync://localhost/repo/369AD0192C674E783222CD328566B79412B18F26.cer
Subject key identifier: 2B:87:C7:6F:5E:EE:F6:20:44:F5:28:B8:2C:92:9B:28:D5:57:32:AC
Certificate issuer: /CN=root
Certificate serial: 04
Authority key identifier: 36:9A:D0:19:2C:67:4E:78:32:22:CD:32:85:66:B7:94:12:B1:8F:26
Authority info access: rsync://localhost/repo/369AD0192C674E783222CD328566B79412B18F26.cer
Subject info access: rsync://localhost/ta/an-object.asa
Signing time: Mon 06 Jan 2025 10:26:48 +0000
ASPA not before: Mon 06 Jan 2025 10:26:48 +0000
ASPA not after: Tue 06 Jan 2026 10:26:48 +0000
Customer ASID: 65123
Providers: AS: 64512
AS: 65551
AS: 4200000000
Validation: Failed, unable to get local issuer certificate
著者のアドレス
アレクサンダー・アジモフ
Yandex
メールアドレス: aeazimov@gmail.com
ユージン・ウスコフ
JetLend
メールアドレス: eu@jetlend.ru
ランディ・ブッシュ
インターネットイニシアティブ
メールアドレス: randy@psg.com
ジョブ・スナイデルス
アムステルダム
オランダ
メールアドレス: job@sobornost.net
ラス・ハウスリー
Vigil Security, LLC
918 Spring Knoll Drive
Herndon, VA 20170
アメリカ合衆国
メールアドレス: housley@vigilsec.com
ベン・マディソン
Workonline
ケープタウン
南アフリカ
メールアドレス: benm@workonline.africa
更新履歴
- 2024.8.2
- 2025.1.19: draft-ietf-sidrops-aspa-profile-19
Discussion