あたらしい RPKI のはなし

138 Views

October 31, 25

#jpnic

スライド概要

JANOG 56.5 IRS (Inter-Domain Routing Security) 枠での発表

参考リンク:
- The ERIK Protocol for use with the RPKI – Job Snijders - YouTube https://youtu.be/65wifHK4nWc
- IETF 124: IEPG - Internet Engineering and Planning Group (IEPG) 2025-11-02 15:00 - YouTube https://youtu.be/xpLWB2sxVls?t=4456
- The Erik Synchronisation Protocol for use with the RPKI - slides-124-sidrops-the-erik-synchronisation-protocol-for-use-with-the-rpki-00 https://datatracker.ietf.org/meeting/124/materials/slides-124-sidrops-the-erik-synchronisation-protocol-for-use-with-the-rpki-00
- IETF 124: SIDR Operations (SIDROPS) 2025-11-03 19:30 - YouTube https://youtu.be/dT7FWQ0Gtc0?t=3060

profile-image
スライド一覧

JPNIC

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

slide-thumbnail

JSNOG へのお誘い | wakamonog14
jsnog
user-img alt 767
slide-thumbnail

JPNIC での直近のイベントのご案内
jpnic
user-img alt 754
slide-thumbnail

JPNIC より直近のイベント等のお知らせ | wakamonog14
jpnic
user-img alt 679
slide-thumbnail

学振特別研究員になるために~2025年度申請版
学振 dc1 dc2 jsps pd
user-img 大上雅史 773K
slide-thumbnail

研究に使える便利なフリーソフト ImageJ
imagej 放射線技師
user-img 片山豊 361.4K
slide-thumbnail

StampFlyで学ぶマルチコプタ制御
user-img 伊藤恒平 356K
各ページのテキスト
1.

あたらしい RPKI のはなし JPNIC 大谷 亘 <[email protected]> 2025/10/31 JANOG56.5 IRS Copyright © 2025 2025 Japan Japan Network Network Information Information Center Center || 1 1 Copyright ©

2.

目次 現在の差分転送モデル 課題 Erik Protocol 国際動向のご紹介 NRO RPKI Document IETF SIDROPS WG Publication server BCP rov-check Copyright © 2025 2025 Japan Japan Network Network Information Information Center Center || 2 2 Copyright ©

3.

現在の差分転送モデル RP のファイル転送に関する挙動 rsync: ファイルメタデータのリストを転送し差分を調べ,差分の実体を転送する RRDP: 最新のシリアルを調べ,自分のシリアルとの差分の実体を転送する Copyright © 2025 2025 Japan Japan Network Network Information Information Center Center || 3 3 Copyright ©

4.

現在の差分転送モデル 全世界のレポジトリの状況 オブジェクト数: -456,000 オブジェクト 更新頻度: 半数近くが毎日更新,新しいオブジェクトが毎秒 2 個 合計サイズ: -0.8GB RP: -5000 インスタンス トレンド: 右肩上がり https://labs.ripe.net/author/job_snijders/rpkis-2024-year-inreview/ Copyright © 2025 2025 Japan Japan Network Network Information Information Center Center || 4 4 Copyright ©

5.

課題 日頃の運用 && IETF 123 Hackathon より RRDP RP は本来不要な snapshot をダウンロードしてしまっている レポジトリの総トラフィックの 30-50% snapshot を超えるデータ差分が発生したときに一番効率よく転送できる (delta) rsync on-the-fly で差分計算するためリソースを食う 小さいファイルが大量にある RPKI のケースではメタデータが割高 https://datatracker.ietf.org/meeting/123/materials/slides-123hackathon-sessd-improving-rpki-repository-hackathon-report-00 Copyright © 2025 2025 Japan Japan Network Network Information Information Center Center || 5 5 Copyright ©

6.

Erik Protocol RPKI 特化型の同期プロトコルを実現 Merkle Tree を用いた差分検出による効率化 Content-addressable URI によるデータ取得 順序制御と HTTP トランスポートで実装容易性を確保 RPKI を CDN 化する (リレーとして動作) https://datatracker.ietf.org/doc/draft-spaghetti-sidrops-rpki-erikprotocol/ Copyright © 2025 2025 Japan Japan Network Network Information Information Center Center || 6 6 Copyright ©

7.

Erik Protocol Markle Tree を用いた同期 1. リレーから Tree Head (ルートハッシュ) を取得 2. ローカルと比較,差異があれば枝方向へハッシュを問い合わせ 3. 最終的に不足/変更オブジェクトを特定 4. sequence number で最新か判断し取得 object oriented なアドレッシング データオブジェクトはハッシュ値を URI に含む 例: https://relay.example/rpki/erik/{hash} 真正性検証として取得後にハッシュ照合を実施 Copyright © 2025 2025 Japan Japan Network Network Information Information Center Center || 7 7 Copyright ©

8.

Erik Protocol サーバ側動作 1. CA レポジトリ/他リレーからデータ取得 2. Merkle Tree 構築・ErikIndex/ErikPartition 生成 3. HTTP サーバとして配信 4. パーティショニング戦略はハッシュ先頭ビット等で決定 クライアント側動作 1. ErikIndex/hash 比較で更新判定 2. ErikPartition/hash 比較で部分更新判定 3. manifestNumber で新旧判断 4. 必要な証明書/オブジェクトを Content-addressable URI から取得 Copyright © 2025 2025 Japan Japan Network Network Information Information Center Center || 8 8 Copyright ©

9.

国際動向のご紹介 NRO RPKI Document https://www.nro.net/technical-coordination/nro-rpki-program/rpkibest-practices-and-lessons-learned/ Best practice と lessons learned をまとめて文書化 ROA の作成 maxLength の使い方とサブプレフィックス攻撃 (実際の広告より大きくしない) かぶる範囲を広告する際は細かいものから順に作成する 外部のバリデータ等を使って確認する ROV NotFound を drop しない Invalid を LP 下げるだけにしない RP を冗長化する Copyright © 2025 2025 Japan Japan Network Network Information Information Center Center || 9 9 Copyright ©

10.

国際動向のご紹介 Publication server BCP https://datatracker.ietf.org/doc/draft-ietf-sidrops-publicationserver-bcp/ IETF SIDROPS の WG Document として議論 レポジトリの公開サーバの運用 best practice をまとめて文書化 Copyright © 2025 2025 Japan Japan Network Network Information Information Center Center || 10 10 Copyright ©

11.

国際動向のご紹介 rov-check https://rov-check.nic.ad.jp/ お手元のネットワークが ROV で保護されているかどうか判定 Invalid 経路を Reject している場合のみ「保護されている」と評価 LP を下げるだけで FIB に乗っている場合は「保護されていない」と評価 実際に AS131971 から Invalid な経路を広告してアクセスできるか判定 IPv4/v6 dual stack 計測データは収集・統計 Copyright © 2025 2025 Japan Japan Network Network Information Information Center Center || 11 11 Copyright ©

12.

国際動向のご紹介 rov-check 昨日昼時点で 2910 回判定 1607 ユニークアドレス・257 ユニーク AS 保護されている (と判定されたことがある) AS は 49% (126 AS) ある AS の判定が日時によって変わることがある Reject し始めた or やめた など Copyright © 2025 2025 Japan Japan Network Network Information Information Center Center || 12 12 Copyright ©

13.

あたらしい RPKI のはなし JPNIC 大谷 亘 <[email protected]> 2025/10/31 JANOG56.5 IRS Copyright © 2025 2025 Japan Japan Network Network Information Information Center Center || 13 13 Copyright ©