Internet Engineering Task Force (IETF) J. Snijders
Request for Comments: 9582 Fastly
Obsoletes: 6482 B. Maddison
Category: Standards Track Workonline
ISSN: 2070-1721 M. Lepinski
Carleton College
D. Kong
Raytheon
S. Kent
Independent
May 2024
This document defines a standard profile for Route Origin Authorizations (ROAs). A ROA is a digitally signed object that provides a means of verifying that an IP address block holder has authorized an Autonomous System (AS) to originate routes to one or more prefixes within the address block. This document obsoletes RFC 6482.
このドキュメントでは、ルートオリジン認証(ROA)の標準プロファイルを定義します。ROAは、IPアドレスブロックホルダーがアドレスブロック内の1つ以上のプレフィックスへのルートを発信する自律システム(AS)を承認したことを確認する手段を提供するデジタル署名されたオブジェクトです。このドキュメントは、RFC 6482を廃止します。
This is an Internet Standards Track document.
これは、インターネット標準トラックドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。インターネット標準の詳細については、RFC 7841のセクション2で入手できます。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9582.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、https://www.rfc-editor.org/info/rfc9582で取得できます。
Copyright (c) 2024 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(c)2024 IETF Trustおよび文書著者として特定された人。無断転載を禁じます。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(https://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、改訂されたBSDライセンスで説明されている保証なしで提供されるように、改訂されたBSDライセンステキストを含める必要があります。
1. Introduction
1.1. Requirements Language
1.2. Changes from RFC 6482
2. Related Work
3. The ROA Content Type
4. The ROA eContent
4.1. The version Element
4.2. The asID Element
4.3. The ipAddrBlocks Element
4.3.1. Type ROAIPAddressFamily
4.3.2. Type ROAIPAddress
4.3.3. Canonical Form for ipAddrBlocks
5. ROA Validation
6. Security Considerations
7. IANA Considerations
7.1. SMI Security for S/MIME CMS Content Type
(1.2.840.113549.1.9.16.1)
7.2. RPKI Signed Objects Registry
7.3. File Extension
7.4. SMI Security for S/MIME Module Identifier
(1.2.840.113549.1.9.16.0)
7.5. Media Type
8. References
8.1. Normative References
8.2. Informative References
Appendix A. Example ROA eContent Payload
Acknowledgements
Authors' Addresses
The primary purpose of the Resource Public Key Infrastructure (RPKI) is to improve routing security. (See [RFC6480] for more information.) As part of this system, a mechanism is needed to allow entities to verify that an Autonomous System (AS) has been given permission by an IP address block holder to advertise routes to one or more prefixes within that block. A Route Origin Authorization (ROA) provides this function.
リソース公開キーインフラストラクチャ(RPKI)の主な目的は、ルーティングセキュリティを改善することです。(詳細については[RFC6480]を参照してください。)このシステムの一部として、エンティティが自律システム(AS)が1つ以上のプレフィックスへのルートを宣伝するために許可を与えられていることを確認するためにメカニズムが必要です。そのブロック内。ルートオリジン認証(ROA)がこの機能を提供します。
The ROA makes use of the template for RPKI digitally signed objects [RFC6488], which defines a Cryptographic Message Syntax (CMS) wrapper [RFC5652] for the ROA content as well as a generic validation procedure for RPKI signed objects. Therefore, to complete the specification of the ROA (see Section 4 of [RFC6488]), this document defines:
ROAは、RPKIデジタル署名されたオブジェクト[RFC6488]のテンプレートを使用します。これは、ROAコンテンツの暗号化メッセージ構文(CMS)ラッパー[RFC5652]と、RPKI署名されたオブジェクトの一般的な検証手順を定義します。したがって、ROAの仕様を完了するため([RFC6488]のセクション4を参照)、このドキュメントは次のとおりです。
* The OID that identifies the signed object as being a ROA. (This OID appears within the eContentType in the encapContentInfo object as well as the content-type signed attribute in the signerInfo object.)
* 署名されたオブジェクトをROAであると識別するOID。(このoidは、ecapcontentinfoオブジェクトのecontenttype内に表示され、Signerinfoオブジェクトにコンテンツタイプの署名属性が表示されます。)
* The ASN.1 syntax for the ROA eContent. (This is the payload that specifies the AS being authorized to originate routes as well as the prefixes to which the AS may originate routes.) The ROA eContent is ASN.1 encoded using the Distinguished Encoding Rules (DER) [X.690].
* RoA econtentのASN.1構文。(これは、ASがルートを発信することを許可されているASを指定するペイロードと、ASがルートを開始する可能性のある接頭辞です。)ROAエコネントは、著名なエンコードルール(der)[x.690]を使用してエンコードされます。
* Additional steps required to validate ROAs (in addition to the validation steps specified in [RFC6488]).
* ROASを検証するために必要な追加の手順([RFC6488]で指定された検証手順に加えて)。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
「必須」、「必要」、「必須」、「shall」、「shall」、「suff」、 "not"、 "becommended"、 "becommented"、 "may"、 "optional「このドキュメントでは、BCP 14 [RFC2119] [RFC8174]で説明されているように解釈されます。
This section summarizes the significant changes between [RFC6482] and the profile described in this document.
このセクションでは、[RFC6482]とこのドキュメントで説明されているプロファイルとの間の大きな変化をまとめたものです。
* Clarified the requirements for the IP address and AS identifier X.509 certificate extensions.
* IPアドレスの要件と識別子X.509証明書拡張機能を明確にしました。
* Strengthened the ASN.1 formal notation and definitions.
* ASN.1の正式な表記法と定義を強化しました。
* Incorporated errata for RFC 6482.
* RFC 6482のIncorporated Errata。
* Added an example ROA eContent payload, and a complete ROA (Appendix A).
* ROA Econtentペイロードの例と完全なROAを追加しました(付録A)。
* Specified a canonicalization procedure for the content of ipAddrBlocks.
* iPaddrblocksの内容の標準化手順を指定しました。
It is assumed that the reader is familiar with the terms and concepts described in "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile" [RFC5280] and "X.509 Extensions for IP Addresses and AS Identifiers" [RFC3779].
読者は、「インターネットx.509公開キーインフラストラクチャ証明書および証明書取消リスト(CRL)プロファイル」[RFC5280]および「IPアドレスおよび識別子としてのX.509拡張機能」[X.509拡張子] [X.509拡張子]に記載されている用語と概念に精通していると想定されています。RFC3779]。
Additionally, this document makes use of the RPKI signed object profile [RFC6488]; thus, familiarity with that document is assumed. Note that the RPKI signed object profile makes use of certificates adhering to the RPKI resource certificate profile [RFC6487]; thus, familiarity with that profile is also assumed.
さらに、このドキュメントでは、RPKI署名されたオブジェクトプロファイル[RFC6488]を使用しています。したがって、そのドキュメントに精通していることが想定されます。RPKI署名されたオブジェクトプロファイルは、RPKIリソース証明書プロファイル[RFC6487]を順守する証明書を使用していることに注意してください。したがって、そのプロファイルに精通していることも想定されています。
The content-type for a ROA is defined as id-ct-routeOriginAuthz and has the numerical value 1.2.840.113549.1.9.16.1.24.
ROAのコンテンツタイプは、ID-CT-routeoriginauthzとして定義され、数値1.2.840.113549.1.9.16.1.1.1.1.1.1.1.1.16.1.24を持っています。
This OID MUST appear within both the eContentType in the encapContentInfo object and the content-type signed attribute in the signerInfo object (see [RFC6488]).
このoidは、capcontentinfoオブジェクトのecontentTypeと、SignerInfoオブジェクトのコンテンツタイプの署名属性の両方に表示されなければなりません([rfc6488]を参照)。
The content of a ROA identifies a single AS that has been authorized by the address space holder to originate routes and a list of one or more IP address prefixes that will be advertised. If the address space holder needs to authorize multiple ASes to advertise the same set of address prefixes, the holder issues multiple ROAs, one per AS number. A ROA is formally defined as:
ROAのコンテンツは、アドレススペースホルダーがルートを発信するように承認された単一を識別し、宣伝される1つ以上のIPアドレスプレフィックスのリストを識別します。アドレススペースホルダーが同じアドレスプレフィックスを宣伝するように複数のASEを承認する必要がある場合、ホルダーは複数のROAを発行します。ROAは正式に次のように定義されています。
RPKI-ROA-2023
{ iso(1) member-body(2) us(840) rsadsi(113549)
pkcs(1) pkcs9(9) smime(16) mod(0)
id-mod-rpkiROA-2023(75) }
DEFINITIONS EXPLICIT TAGS ::=
BEGIN
IMPORTS
CONTENT-TYPE
FROM CryptographicMessageSyntax-2010 -- in [RFC6268]
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
pkcs-9(9) smime(16) modules(0) id-mod-cms-2009(58) } ;
ct-routeOriginAttestation CONTENT-TYPE ::=
{ TYPE RouteOriginAttestation
IDENTIFIED BY id-ct-routeOriginAuthz }
id-ct-routeOriginAuthz OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
pkcs-9(9) id-smime(16) id-ct(1) routeOriginAuthz(24) }
RouteOriginAttestation ::= SEQUENCE {
version [0] INTEGER DEFAULT 0,
asID ASID,
ipAddrBlocks SEQUENCE (SIZE(1..2)) OF ROAIPAddressFamily }
ASID ::= INTEGER (0..4294967295)
ROAIPAddressFamily ::= SEQUENCE {
addressFamily ADDRESS-FAMILY.&afi ({AddressFamilySet}),
addresses ADDRESS-FAMILY.&Addresses
({AddressFamilySet}{@addressFamily}) }
ADDRESS-FAMILY ::= CLASS {
&afi OCTET STRING (SIZE(2)) UNIQUE,
&Addresses
} WITH SYNTAX { AFI &afi ADDRESSES &Addresses }
AddressFamilySet ADDRESS-FAMILY ::=
{ addressFamilyIPv4 | addressFamilyIPv6 }
addressFamilyIPv4 ADDRESS-FAMILY ::=
{ AFI afi-IPv4 ADDRESSES ROAAddressesIPv4 }
addressFamilyIPv6 ADDRESS-FAMILY ::=
{ AFI afi-IPv6 ADDRESSES ROAAddressesIPv6 }
afi-IPv4 OCTET STRING ::= '0001'H
afi-IPv6 OCTET STRING ::= '0002'H
ROAAddressesIPv4 ::= SEQUENCE (SIZE(1..MAX)) OF ROAIPAddress{ub-IPv4}
ROAAddressesIPv6 ::= SEQUENCE (SIZE(1..MAX)) OF ROAIPAddress{ub-IPv6}
ub-IPv4 INTEGER ::= 32
ub-IPv6 INTEGER ::= 128
ROAIPAddress {INTEGER: ub} ::= SEQUENCE {
address BIT STRING (SIZE(0..ub)),
maxLength INTEGER (0..ub) OPTIONAL }
END
The version number of the RouteOriginAttestation entry MUST be 0.
Routeoriginattestationエントリのバージョン番号は0でなければなりません。
The asID element contains the AS number that is authorized to originate routes to the given IP address prefixes.
ASID要素には、特定のIPアドレスプレフィックスへのルートを発信することが許可されているAS番号が含まれています。
The ipAddrBlocks element encodes the set of IP address prefixes to which the AS is authorized to originate routes. Note that the syntax here is more restrictive than that used in the IP address delegation extension defined in [RFC3779]. That extension can represent arbitrary address ranges, whereas ROAs need to represent only IP prefixes.
iPaddrblocks要素は、ルートの発生が許可されているASがあるIPアドレスプレフィックスのセットをエンコードします。ここの構文は、[RFC3779]で定義されているIPアドレス委任拡張拡張機能よりも制限的であることに注意してください。その拡張は任意のアドレスの範囲を表すことができますが、ROAはIPプレフィックスのみを表す必要があります。
Within the ROAIPAddressFamily structure, the addressFamily element contains the Address Family Identifier (AFI) of an IP address family. This specification only supports IPv4 and IPv6; therefore, addressFamily MUST be either 0001 or 0002. IPv4 prefixes MUST NOT appear as IPv4-mapped IPv6 addresses (Section 2.5.5.2 of [RFC4291]).
roaipaddressfamily構造内には、アドレスファミリー要素には、IPアドレスファミリーのアドレスファミリー識別子(AFI)が含まれています。この仕様は、IPv4とIPv6のみをサポートしています。したがって、アドレスファミリーは0001または0002のいずれかでなければなりません。IPv4プレフィックスは、IPv4-Mapped IPv6アドレスとして表示されてはなりません([RFC4291]のセクション2.5.5.2)。
There MUST be only one instance of ROAIPAddressFamily per unique AFI in the ROA. Thus, the ROAIPAddressFamily structure MUST NOT appear more than twice.
ROAには、一意のAFIごとにroaipaddressfamilyのインスタンスが1つだけ存在する必要があります。したがって、roaipaddressfamily構造は2回以上表示されてはなりません。
The addresses field contains IP prefixes as a sequence of type ROAIPAddress.
アドレスフィールドには、型roaipAddressのシーケンスとしてIPプレフィックスが含まれています。
A ROAIPAddress structure is a sequence containing an address element of type BIT STRING and an optional maxLength element of type INTEGER.
RoaipAddress構造は、型ビット文字列のアドレス要素とタイプ整数のオプションの最大要素を含むシーケンスです。
The address element is of type BIT STRING and represents a single IP address prefix. This field uses the same representation of an IP address prefix as a BIT STRING as the IPAddress type defined in Section 2.2.3.8 of [RFC3779].
アドレス要素はビット文字列のタイプで、単一のIPアドレスプレフィックスを表します。このフィールドは、[RFC3779]のセクション2.2.3.8で定義されているiPaddressタイプと同じ文字列として、IPアドレスプレフィックスの同じ表現をビット文字列として使用します。
When present, the maxLength element specifies the maximum length of the IP address prefix that the AS is authorized to advertise. The maxLength element SHOULD NOT be encoded if the maximum length is equal to the prefix length. Certification Authorities SHOULD anticipate that future Relying Parties will become increasingly stringent in considering the presence of superfluous maxLength elements an encoding error.
存在する場合、MaxLength要素は、ASが宣伝することが許可されているIPアドレスプレフィックスの最大長を指定します。最大長がプレフィックス長に等しい場合、最大長要素はエンコードしないでください。認証当局は、将来の頼る当事者が、余分な最大要素の存在をエンコーディングエラーと考えると、ますます厳しくなると予測する必要があります。
If present, the maxLength element MUST be:
存在する場合、MaxLength要素は次のとおりです。
* an integer greater than or equal to the length of the accompanying prefix, and
* 付随するプレフィックスの長さ以上の整数、および
* less than or equal to the maximum length (in bits) of an IP address in the applicable address family: 32 in the case of IPv4 and 128 in the case of IPv6.
* 該当するアドレスファミリのIPアドレスの最大長(ビット)以下:IPv4の場合は32、IPv6の場合は128。
For example, if the IP address prefix is 203.0.113.0/24 and maxLength is 26, the AS is authorized to advertise any more-specific prefix with a maximum length of 26. In this example, the AS would be authorized to advertise 203.0.113.0/24, 203.0.113.128/25, or 203.0.113.192/26, but not 203.0.113.0/27. See [RFC9319] for more information on the use of maxLength.
たとえば、IPアドレスのプレフィックスが203.0.113.0/24で、MaxLengthが26の場合、ASは最大26のより固有のプレフィックスを宣伝することが許可されています。この例では、203.0を宣伝することが許可されます。113.0/24、203.0.113.128/25、または203.0.113.192/26、しかし203.0.113.0/27ではなく。MaxLengthの使用の詳細については、[RFC9319]を参照してください。
When the maxLength element is not present, the AS is only authorized to advertise the exact prefix specified in the ROAIPAddress structure's address element.
MaxLength要素が存在しない場合、ASは、RoaipAddress構造のアドレス要素で指定された正確なプレフィックスを宣伝することのみを許可されています。
Note that a valid ROA may contain an IP address prefix (within a ROAIPAddress element) that is encompassed by another IP address prefix (within a separate ROAIPAddress element). For example, a ROA may contain the prefix 203.0.113.0/24 with maxLength 26, as well as the prefix 203.0.113.0/28 with maxLength 28. This ROA would authorize the indicated AS to advertise any prefix beginning with 203.0.113 with a minimum length of 24 and a maximum length of 26, as well as the specific prefix 203.0.113.0/28.
有効なROAには、別のIPアドレスプレフィックス(別のRoaipAddress要素内)に含まれるIPアドレスプレフィックス(RoaipAddress要素内)が含まれる場合があることに注意してください。たとえば、ROAには、MaxLength 26のプレフィックス203.0.113.0/24、およびMaxLength 28のプレフィックス203.0.113.0/28を含むことができます。24の最小長、26の最大長、および特定のプレフィックス203.0.113.0/28。
Additionally, a ROA MAY contain two ROAIPAddress elements, where the IP address prefix is identical in both cases. However, this is NOT RECOMMENDED, because in such a case, the ROAIPAddress element with the shorter maxLength grants no additional privileges to the indicated AS and thus can be omitted without changing the meaning of the ROA.
さらに、ROAには2つのRoaipAddress要素が含まれている場合があります。この要素では、両方の場合にIPアドレスプレフィックスが同一です。ただし、これは推奨されません。そのような場合、より短いMaxLengthの付与を備えたRoaipAddress要素は、示されたASに追加の特権を与えないため、ROAの意味を変更せずに省略できます。
As the data structure described by the ROA ASN.1 module allows for many different ways to represent the same set of IP address information, a canonical form is defined such that every set of IP address information has a unique representation. In order to produce and verify this canonical form, the process described in this section SHOULD be used to ensure that information elements are unique with respect to one another and sorted in ascending order. Certification Authorities SHOULD anticipate that future Relying Parties will impose a strict requirement for the ipAddrBlocks field to be in this canonical form. This canonicalization procedure builds upon the canonicalization procedure specified in Section 2.2.3.6 of [RFC3779].
ROA ASN.1モジュールで説明されているデータ構造により、多くの異なる方法が同じIPアドレス情報セットを表すことができるように、IPアドレス情報のすべてのセットに一意の表現があるように標準形式が定義されています。この標準的な形式を作成して検証するために、このセクションで説明するプロセスを使用して、情報要素が互いに一意であり、昇順で並べ替えられるようにする必要があります。認証当局は、将来の頼る当事者が、iPaddrblocksフィールドがこの標準的な形になるために厳しい要件を課すと予想すべきです。この標準化手順は、[RFC3779]のセクション2.2.3.6で指定された標準化手順に基づいています。
In order to semantically compare, sort, and deduplicate the contents of the ipAddrBlocks field, each ROAIPAddress element is mapped to an abstract data element composed of four integer values:
iPaddrblocksフィールドのコンテンツを意味的に比較、並べ替え、および容易にするために、各roaipAddress要素は、4つの整数値で構成される抽象データ要素にマッピングされます。
afi
AFI
The AFI value appearing in the addressFamily field of the containing ROAIPAddressFamily as an integer.
整数としてroaipaddressfamilyを含む住所ファミリーフィールドに表示されるAFI値。
addr
addr
The first IP address of the IP prefix appearing in the ROAIPAddress address field, as a 32-bit (IPv4) or 128-bit (IPv6) integer value.
32ビット(IPv4)または128ビット(IPv6)整数値として、RoaipAddressアドレスフィールドに表示されるIPプレフィックスの最初のIPアドレス。
plen
プレンします
The length of the IP prefix appearing in the ROAIPAddress address field as an integer value.
整数値としてroaipAddressアドレスフィールドに表示されるIPプレフィックスの長さ。
mlen
mlen
The value appearing in the maxLength field of the ROAIPAddress element, if present; otherwise, the above prefix length value.
存在する場合、roaipaddress要素の最大長フィールドに表示される値。それ以外の場合は、上記のプレフィックスの長さの値。
Thus, the equality or relative order of two ROAIPAddress elements can be tested by comparing their abstract representations.
したがって、2つのRoaipAddress要素の平等または相対順序は、抽象表現を比較することでテストできます。
The set of ipAddrBlocks is totally ordered. The order of two ipAddrBlocks is determined by the first non-equal comparison in the following list.
iPaddrblocksのセットは完全に注文されます。2つのiPaddrblocksの順序は、次のリストの最初の非等しい比較によって決定されます。
1. Data elements with a lower afi value precede data elements with a higher afi value.
1. AFI値が低いデータ要素は、AFI値が高いデータ要素に先行します。
2. Data elements with a lower addr value precede data elements with a higher addr value.
2. ADDR値が低いデータ要素は、より高いADDR値を持つデータ要素に先行します。
3. Data elements with a lower plen value precede data elements with a higher plen value.
3. 値が低いデータ要素は、値が高いデータ要素に先行します。
4. Data elements with a lower mlen value precede data elements with a higher mlen value.
4. MLEN値が低いデータ要素は、MLEN値が高いデータ要素に先行します。
Data elements for which all four values compare equal are duplicates of one another.
4つの値がすべて等しいと比較されるデータ要素は、互いの複製です。
* A sorting implementation [roasort-c] in ISO/IEC 9899:1999 ("ANSI C99").
* ISO/IEC 9899:1999( "ANSI C99")のソート実装[Roasort-C]。
* A sorting implementation [roasort-rs] in the Rust 2021 Edition.
* Rust 2021エディションのソート実装[Roasort-Rs]。
Before a Relying Party can use a ROA to validate a routing announcement, the Relying Party MUST first validate the ROA. To validate a ROA, the Relying Party MUST perform all the validation checks specified in [RFC6488] as well as the following additional ROA-specific validation steps:
頼る当事者がROAを使用してルーティングアナウンスを検証する前に、頼る当事者は最初にROAを検証する必要があります。ROAを検証するには、依存者は[RFC6488]で指定されたすべての検証チェックと、次の追加のROA固有の検証手順を実行する必要があります。
* The IP address delegation extension [RFC3779] is present in the end-entity (EE) certificate (contained within the ROA), and every IP address prefix in the ROA payload is contained within the set of IP addresses specified by the EE certificate's IP address delegation extension.
* IPアドレス委任拡張[RFC3779]は、エンドエンティティ(EE)証明書(ROA内に含まれる)に存在し、ROAペイロードのすべてのIPアドレスプレフィックスは、EE証明書のIPアドレスで指定されたIPアドレスのセットに含まれています委任拡張。
* The EE certificate's IP address delegation extension MUST NOT contain "inherit" elements as described in [RFC3779].
* EE証明書のIPアドレス委任拡張機能には、[RFC3779]に記載されているように、「継承」要素を含めてはなりません。
* The Autonomous System identifier delegation extension described in [RFC3779] is not used in ROAs and MUST NOT be present in the EE certificate.
* [RFC3779]で説明されている自律システム識別子委任拡張機能は、ROASで使用されておらず、EE証明書に存在してはなりません。
* The ROA content fully conforms with all requirements specified in Sections 3 and 4.
* ROAコンテンツは、セクション3および4で指定されたすべての要件に完全に適合しています。
If any of the above checks fail, the ROA in its entirety MUST be considered invalid and an error SHOULD be logged.
上記のチェックのいずれかが失敗した場合、ROA全体が無効であると見なされ、エラーを記録する必要があります。
There is no assumption of confidentiality for the data in a ROA; it is anticipated that ROAs will be stored in repositories that are accessible to all ISPs, and perhaps to all Internet users. There is no explicit authentication associated with a ROA, since the PKI used for ROA validation provides authorization but not authentication. Although the ROA is a signed, application-layer object, there is no intent to convey non-repudiation via a ROA.
ROAのデータの機密性の仮定はありません。ROASは、すべてのISP、およびおそらくすべてのインターネットユーザーがアクセスできるリポジトリに保存されると予想されます。ROA検証に使用されるPKIは認証ではなく、認証を提供するため、ROAに関連する明示的な認証はありません。ROAは署名されたアプリケーションレイヤーオブジェクトですが、ROAを介して非repudiationを伝えるつもりはありません。
The purpose of a ROA is to convey authorization for an AS to originate a route to the prefix or prefixes in the ROA. Thus, the integrity of a ROA MUST be established. This ROA specification makes use of the RPKI signed object format; thus, all security considerations discussed in [RFC6488] also apply to ROAs. Additionally, the signed object profile uses the CMS signed message format for integrity; thus, ROAs inherit all security considerations associated with that data structure.
ROAの目的は、ROAのプレフィックスまたはプレフィックスへのルートを発生するように、ANの許可を伝えることです。したがって、ROAの完全性を確立する必要があります。このROA仕様では、RPKI署名されたオブジェクト形式を使用しています。したがって、[RFC6488]で説明されているすべてのセキュリティ上の考慮事項もROASに適用されます。さらに、署名されたオブジェクトプロファイルは、整合性のためにCMS署名されたメッセージ形式を使用します。したがって、ROASは、そのデータ構造に関連するすべてのセキュリティ上の考慮事項を継承します。
The right of the ROA signer to authorize the target AS to originate routes to the prefix or prefixes is established through the use of the address space and AS number PKI as described in [RFC6480]. Specifically, one MUST verify the signature on the ROA using an X.509 certificate issued under this PKI and check that the prefix or prefixes in the ROA are contained within those in the certificate's IP address delegation extension.
[RFC6480]に記載されているように、アドレス空間および番号PKIを使用して、プレフィックスまたはプレフィックスへのルートを発信するターゲットをターゲットに承認するROA署名者の権利が確立されます。具体的には、このPKIに基づいて発行されたX.509証明書を使用してROAの署名を検証し、ROAのプレフィックスまたはプレフィックスが証明書のIPアドレス委任拡張拡張子の内容に含まれていることを確認する必要があります。
IANA has updated the id-ct-routeOriginAuthz entry in the "SMI Security for S/MIME CMS Content Type (1.2.840.113549.1.9.16.1)" registry as follows:
IANAは、「S/MIME CMSコンテンツタイプのSMIセキュリティ(1.2.840.113549.1.9.16.1.9.16.1.9)」のID-Routeoriginauthzエントリを次のように更新しました。
+=========+========================+============+
| Decimal | Description | References |
+=========+========================+============+
| 24 | id-ct-routeOriginAuthz | RFC 9582 |
+---------+------------------------+------------+
Table 1
IANA has updated the Route Origination Authorization entry in the "RPKI Signed Objects" registry created by [RFC6488] as follows:
IANAは、次のように[RFC6488]によって作成された「RPKI署名オブジェクト」レジストリのルートオリジネーション認証エントリを更新しました。
+===================+============================+===========+
| Name | OID | Reference |
+===================+============================+===========+
| Route Origination | 1.2.840.113549.1.9.16.1.24 | RFC 9582 |
| Authorization | | |
+-------------------+----------------------------+-----------+
Table 2
IANA has updated the entry for the ROA file extension in the "RPKI Repository Name Schemes" registry created by [RFC6481] as follows:
IANAは、[RFC6481]によって作成された「RPKIリポジトリ名スキーム」レジストリのROAファイル拡張機能のエントリを次のように更新しました。
+====================+=================================+===========+
| Filename Extension | RPKI Object | Reference |
+====================+=================================+===========+
| .roa | Route Origination Authorization | RFC 9582 |
+--------------------+---------------------------------+-----------+
Table 3
IANA has allocated the following entry in the "SMI Security for S/MIME Module Identifier (1.2.840.113549.1.9.16.0)" registry:
IANAは、「S/MIMEモジュール識別子のSMIセキュリティ(1.2.840.113549.1.9.16.0)」に次のエントリを割り当てました。
+=========+=====================+============+
| Decimal | Description | References |
+=========+=====================+============+
| 75 | id-mod-rpkiROA-2023 | RFC 9582 |
+---------+---------------------+------------+
Table 4
IANA has updated the media type application/rpki-roa in the "Media Types" registry as follows:
IANAは、「メディアタイプ」レジストリでメディアタイプアプリケーション/RPKI-ROAを次のように更新しました。
Type name:
タイプ名:
application
応用アプリケーション出願塗布申請アプリ使用利用申込申し込み応募運用願い願い出要請控訴勉励丹念請求応用力適用業務
Subtype name:
サブタイプ名:
rpki-roa
rpki-roa
Required parameters:
必要なパラメーター:
N/A
n/a
Optional parameters:
オプションのパラメーター:
N/A
n/a
Encoding considerations:
考慮事項のエンコード:
binary
バイナリバイナリー二進
Security considerations:
セキュリティ上の考慮事項:
Carries an RPKI ROA (RFC 9582). This media type contains no active content. See Section 6 of RFC 9582 for further information.
RPKI ROA(RFC 9582)を持ちます。このメディアタイプには、アクティブなコンテンツが含まれていません。詳細については、RFC 9582のセクション6を参照してください。
Interoperability considerations:
相互運用性の考慮事項:
None
なし
Published specification:
公開された仕様:
RFC 9582
RFC 9582
Applications that use this media type:
このメディアタイプを使用するアプリケーション:
RPKI operators
RPKIオペレーター
Additional information:
追加情報:
Content:
コンテンツ:
This media type is a signed object, as defined in [RFC6488], which contains a payload of a list of prefixes and an AS identifier as defined in RFC 9582.
このメディアタイプは、[RFC6488]で定義されているように署名されたオブジェクトであり、RFC 9582で定義されているプレフィックスのリストとAS識別子のペイロードが含まれています。
Magic number(s):
マジックナンバー:
None
なし
File extension(s):
ファイル拡張子:
.roa
.roa
Macintosh file type code(s):
Macintoshファイルタイプコード:
None
なし
Person & email address to contact for further information:
詳細については、連絡先への個人およびメールアドレス:
Job Snijders <job@fastly.com>
jobsnijders <job@fastly.com>
Intended usage:
意図された使用法:
COMMON
一般
Restrictions on usage:
使用に関する制限:
None
なし
Change controller:
Change Controller:
IETF
IETF
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119,
DOI 10.17487/RFC2119, March 1997,
<https://www.rfc-editor.org/info/rfc2119>.
[RFC3779] Lynn, C., Kent, S., and K. Seo, "X.509 Extensions for IP
Addresses and AS Identifiers", RFC 3779,
DOI 10.17487/RFC3779, June 2004,
<https://www.rfc-editor.org/info/rfc3779>.
[RFC4291] Hinden, R. and S. Deering, "IP Version 6 Addressing
Architecture", RFC 4291, DOI 10.17487/RFC4291, February
2006, <https://www.rfc-editor.org/info/rfc4291>.
[RFC5652] Housley, R., "Cryptographic Message Syntax (CMS)", STD 70,
RFC 5652, DOI 10.17487/RFC5652, September 2009,
<https://www.rfc-editor.org/info/rfc5652>.
[RFC6268] Schaad, J. and S. Turner, "Additional New ASN.1 Modules
for the Cryptographic Message Syntax (CMS) and the Public
Key Infrastructure Using X.509 (PKIX)", RFC 6268,
DOI 10.17487/RFC6268, July 2011,
<https://www.rfc-editor.org/info/rfc6268>.
[RFC6481] Huston, G., Loomans, R., and G. Michaelson, "A Profile for
Resource Certificate Repository Structure", RFC 6481,
DOI 10.17487/RFC6481, February 2012,
<https://www.rfc-editor.org/info/rfc6481>.
[RFC6482] Lepinski, M., Kent, S., and D. Kong, "A Profile for Route
Origin Authorizations (ROAs)", RFC 6482,
DOI 10.17487/RFC6482, February 2012,
<https://www.rfc-editor.org/info/rfc6482>.
[RFC6487] Huston, G., Michaelson, G., and R. Loomans, "A Profile for
X.509 PKIX Resource Certificates", RFC 6487,
DOI 10.17487/RFC6487, February 2012,
<https://www.rfc-editor.org/info/rfc6487>.
[RFC6488] Lepinski, M., Chi, A., and S. Kent, "Signed Object
Template for the Resource Public Key Infrastructure
(RPKI)", RFC 6488, DOI 10.17487/RFC6488, February 2012,
<https://www.rfc-editor.org/info/rfc6488>.
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC
2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174,
May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[X.690] ITU-T, "Information Technology - ASN.1 encoding rules:
Specification of Basic Encoding Rules (BER), Canonical
Encoding Rules (CER) and Distinguished Encoding Rules
(DER)", ITU-T Recommendation X.690, February 2021.
[RFC4648] Josefsson, S., "The Base16, Base32, and Base64 Data
Encodings", RFC 4648, DOI 10.17487/RFC4648, October 2006,
<https://www.rfc-editor.org/info/rfc4648>.
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S.,
Housley, R., and W. Polk, "Internet X.509 Public Key
Infrastructure Certificate and Certificate Revocation List
(CRL) Profile", RFC 5280, DOI 10.17487/RFC5280, May 2008,
<https://www.rfc-editor.org/info/rfc5280>.
[RFC6480] Lepinski, M. and S. Kent, "An Infrastructure to Support
Secure Internet Routing", RFC 6480, DOI 10.17487/RFC6480,
February 2012, <https://www.rfc-editor.org/info/rfc6480>.
[RFC9319] Gilad, Y., Goldberg, S., Sriram, K., Snijders, J., and B.
Maddison, "The Use of maxLength in the Resource Public Key
Infrastructure (RPKI)", BCP 185, RFC 9319,
DOI 10.17487/RFC9319, October 2022,
<https://www.rfc-editor.org/info/rfc9319>.
[roasort-c]
Snijders, J., "ROA sorter in C", commit 68969ea, July
2023, <https://github.com/job/roasort>.
[roasort-rs]
Maddison, B., "ROA sorter in Rust", commit 023e756, August
2023, <https://github.com/benmaddison/roasort>.
An example of a DER-encoded ROA eContent is provided below, with annotation following the "#" character.
DERエンコードされたROAエコネントの例を以下に示し、「#」文字に続いて注釈が付けられています。
$ echo 16i 301802030100003011300F040200023009300703050020010DB8 P \
| dc | openssl asn1parse -inform DER -i -dump
0:d=0 hl=2 l= 24 cons: SEQUENCE # RouteOriginAttestation
2:d=1 hl=2 l= 3 prim: INTEGER :010000 # asID 65536
7:d=1 hl=2 l= 17 cons: SEQUENCE # ipAddrBlocks
9:d=2 hl=2 l= 15 cons: SEQUENCE # ROAIPAddressFamily
11:d=3 hl=2 l= 2 prim: OCTET STRING # addressFamily
0000 - 00 02 # IPv6
15:d=3 hl=2 l= 9 cons: SEQUENCE # addresses
17:d=4 hl=2 l= 7 cons: SEQUENCE # ROAIPAddress
19:d=5 hl=2 l= 5 prim: BIT STRING # 2001:db8::/32
0000 - 00 20 01 0d b8
Below is a complete RPKI ROA signed object, Base64 encoded per [RFC4648].
以下は、完全なRPKI ROA署名されたオブジェクト、[RFC4648]ごとにbase64エンコードされた完全なRPKI ROA署名オブジェクトです。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The object in this appendix has the following properties:
この付録のオブジェクトには、次のプロパティがあります。
Object size: 1668 octets
Object SHA256 message digest:
3a39e0b652e79ddf6efdd178ad5e3b29e0121b1e593b89f1e0ac18f3ba60d5e7
CMS signing time: Wed 01 May 2024 00:34:13 +0000
X.509 end-entity certificate
Subject key id: DE145B193FB320B25A744355298C8BF7C2523D22
Authority key id: D67208EA470E9D6DD6654022F553ADC1389AB434
Issuer: CN=86525cd5-44d7-4df9-8079-4a9dcdf26944
Serial: 3
Not before: Wed 01 May 2024 00:34:13 +0000
Not after: Thu 01 May 2025 00:34:13 +0000
IP address delegation: 2001:db8::/32
ROA eContent
asID: 65536
addresses: 2001:db8::/32
The authors wish to thank Theo Buehler, Ties de Kock, Martin Hoffmann, Charles Gardiner, Russ Housley, Jeffrey Haas, Bob Beck, and Tom Harrison for their help and contributions. Additionally, the authors thank Jim Fenton, Vijay Gurbani, Haoyu Song, Rob Austein, Roque Gagliano, Danny McPherson, Sam Weiler, Jasdip Singh, and Murray S. Kucherawy for their careful reviews and helpful comments.
著者は、Theo Buehler、Ties de Kock、Martin Hoffmann、Charles Gardiner、Russ Housley、Jeffrey Haas、Bob Beck、Tom Harrisonの助けと貢献に感謝したいと考えています。さらに、著者は、ジム・フェントン、ヴィジェイ・グルベイニ、ハーユー・ソング、ロブ・オーストイン、ロック・ガグリアーノ、ダニー・マクファーソン、サム・ワイラー、ジャスディップ・シン、マレー・S・クチェラウィに慎重なレビューと有益なコメントに感謝します。
Job Snijders
Fastly
Amsterdam
The Netherlands
Email: job@fastly.com
Ben Maddison
Workonline
Cape Town
South Africa
Email: benm@workonline.africa
Matthew Lepinski
Carleton College
Email: mlepinski@carleton.edu
Derrick Kong
Raytheon
Email: derrick.kong@raytheon.com
Stephen Kent
Independent
Email: kent@alum.mit.edu