Internet Engineering Task Force (IETF)                       J. Snijders
Request for Comments: 9582                                        Fastly
Obsoletes: 6482                                              B. Maddison
Category: Standards Track                                     Workonline
ISSN: 2070-1721                                              M. Lepinski
                                                        Carleton College
                                                                 D. Kong
                                                                Raytheon
                                                                 S. Kent
                                                             Independent
                                                                May 2024
        
A Profile for Route Origin Authorizations (ROAs)
ルートオリジン認可(ROA)のプロファイル
Abstract
概要

This document defines a standard profile for Route Origin Authorizations (ROAs). A ROA is a digitally signed object that provides a means of verifying that an IP address block holder has authorized an Autonomous System (AS) to originate routes to one or more prefixes within the address block. This document obsoletes RFC 6482.

このドキュメントでは、ルートオリジン認証(ROA)の標準プロファイルを定義します。ROAは、IPアドレスブロックホルダーがアドレスブロック内の1つ以上のプレフィックスへのルートを発信する自律システム(AS)を承認したことを確認する手段を提供するデジタル署名されたオブジェクトです。このドキュメントは、RFC 6482を廃止します。

Status of This Memo
本文書の位置付け

This is an Internet Standards Track document.

これは、インターネット標準トラックドキュメントです。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.

このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。インターネット標準の詳細については、RFC 7841のセクション2で入手できます。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9582.

このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、https://www.rfc-editor.org/info/rfc9582で取得できます。

著作権表示

Copyright (c) 2024 IETF Trust and the persons identified as the document authors. All rights reserved.

著作権(c)2024 IETF Trustおよび文書著者として特定された人。無断転載を禁じます。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.

このドキュメントは、BCP 78およびIETFドキュメント(https://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、改訂されたBSDライセンスで説明されている保証なしで提供されるように、改訂されたBSDライセンステキストを含める必要があります。

Table of Contents
目次
   1.  Introduction
     1.1.  Requirements Language
     1.2.  Changes from RFC 6482
   2.  Related Work
   3.  The ROA Content Type
   4.  The ROA eContent
     4.1.  The version Element
     4.2.  The asID Element
     4.3.  The ipAddrBlocks Element
       4.3.1.  Type ROAIPAddressFamily
       4.3.2.  Type ROAIPAddress
       4.3.3.  Canonical Form for ipAddrBlocks
   5.  ROA Validation
   6.  Security Considerations
   7.  IANA Considerations
     7.1.  SMI Security for S/MIME CMS Content Type
           (1.2.840.113549.1.9.16.1)
     7.2.  RPKI Signed Objects Registry
     7.3.  File Extension
     7.4.  SMI Security for S/MIME Module Identifier
           (1.2.840.113549.1.9.16.0)
     7.5.  Media Type
   8.  References
     8.1.  Normative References
     8.2.  Informative References
   Appendix A.  Example ROA eContent Payload
   Acknowledgements
   Authors' Addresses
        
1. Introduction
1. はじめに

The primary purpose of the Resource Public Key Infrastructure (RPKI) is to improve routing security. (See [RFC6480] for more information.) As part of this system, a mechanism is needed to allow entities to verify that an Autonomous System (AS) has been given permission by an IP address block holder to advertise routes to one or more prefixes within that block. A Route Origin Authorization (ROA) provides this function.

リソース公開キーインフラストラクチャ(RPKI)の主な目的は、ルーティングセキュリティを改善することです。(詳細については[RFC6480]を参照してください。)このシステムの一部として、エンティティが自律システム(AS)が1つ以上のプレフィックスへのルートを宣伝するために許可を与えられていることを確認するためにメカニズムが必要です。そのブロック内。ルートオリジン認証(ROA)がこの機能を提供します。

The ROA makes use of the template for RPKI digitally signed objects [RFC6488], which defines a Cryptographic Message Syntax (CMS) wrapper [RFC5652] for the ROA content as well as a generic validation procedure for RPKI signed objects. Therefore, to complete the specification of the ROA (see Section 4 of [RFC6488]), this document defines:

ROAは、RPKIデジタル署名されたオブジェクト[RFC6488]のテンプレートを使用します。これは、ROAコンテンツの暗号化メッセージ構文(CMS)ラッパー[RFC5652]と、RPKI署名されたオブジェクトの一般的な検証手順を定義します。したがって、ROAの仕様を完了するため([RFC6488]のセクション4を参照)、このドキュメントは次のとおりです。

* The OID that identifies the signed object as being a ROA. (This OID appears within the eContentType in the encapContentInfo object as well as the content-type signed attribute in the signerInfo object.)

* 署名されたオブジェクトをROAであると識別するOID。(このoidは、ecapcontentinfoオブジェクトのecontenttype内に表示され、Signerinfoオブジェクトにコンテンツタイプの署名属性が表示されます。)

* The ASN.1 syntax for the ROA eContent. (This is the payload that specifies the AS being authorized to originate routes as well as the prefixes to which the AS may originate routes.) The ROA eContent is ASN.1 encoded using the Distinguished Encoding Rules (DER) [X.690].

* RoA econtentのASN.1構文。(これは、ASがルートを発信することを許可されているASを指定するペイロードと、ASがルートを開始する可能性のある接頭辞です。)ROAエコネントは、著名なエンコードルール(der)[x.690]を使用してエンコードされます。

* Additional steps required to validate ROAs (in addition to the validation steps specified in [RFC6488]).

* ROASを検証するために必要な追加の手順([RFC6488]で指定された検証手順に加えて)。

1.1. Requirements Language
1.1. 要件言語

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.

「必須」、「必要」、「必須」、「shall」、「shall」、「suff」、 "not"、 "becommended"、 "becommented"、 "may"、 "optional「このドキュメントでは、BCP 14 [RFC2119] [RFC8174]で説明されているように解釈されます。

1.2. Changes from RFC 6482
1.2. RFC 6482からの変更

This section summarizes the significant changes between [RFC6482] and the profile described in this document.

このセクションでは、[RFC6482]とこのドキュメントで説明されているプロファイルとの間の大きな変化をまとめたものです。

* Clarified the requirements for the IP address and AS identifier X.509 certificate extensions.

* IPアドレスの要件と識別子X.509証明書拡張機能を明確にしました。

* Strengthened the ASN.1 formal notation and definitions.

* ASN.1の正式な表記法と定義を強化しました。

* Incorporated errata for RFC 6482.

* RFC 6482のIncorporated Errata。

* Added an example ROA eContent payload, and a complete ROA (Appendix A).

* ROA Econtentペイロードの例と完全なROAを追加しました(付録A)。

* Specified a canonicalization procedure for the content of ipAddrBlocks.

* iPaddrblocksの内容の標準化手順を指定しました。

2. 関連作業

It is assumed that the reader is familiar with the terms and concepts described in "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile" [RFC5280] and "X.509 Extensions for IP Addresses and AS Identifiers" [RFC3779].

読者は、「インターネットx.509公開キーインフラストラクチャ証明書および証明書取消リスト(CRL)プロファイル」[RFC5280]および「IPアドレスおよび識別子としてのX.509拡張機能」[X.509拡張子] [X.509拡張子]に記載されている用語と概念に精通していると想定されています。RFC3779]。

Additionally, this document makes use of the RPKI signed object profile [RFC6488]; thus, familiarity with that document is assumed. Note that the RPKI signed object profile makes use of certificates adhering to the RPKI resource certificate profile [RFC6487]; thus, familiarity with that profile is also assumed.

さらに、このドキュメントでは、RPKI署名されたオブジェクトプロファイル[RFC6488]を使用しています。したがって、そのドキュメントに精通していることが想定されます。RPKI署名されたオブジェクトプロファイルは、RPKIリソース証明書プロファイル[RFC6487]を順守する証明書を使用していることに注意してください。したがって、そのプロファイルに精通していることも想定されています。

3. The ROA Content Type
3. ROAコンテンツタイプ

The content-type for a ROA is defined as id-ct-routeOriginAuthz and has the numerical value 1.2.840.113549.1.9.16.1.24.

ROAのコンテンツタイプは、ID-CT-routeoriginauthzとして定義され、数値1.2.840.113549.1.9.16.1.1.1.1.1.1.1.1.16.1.24を持っています。

This OID MUST appear within both the eContentType in the encapContentInfo object and the content-type signed attribute in the signerInfo object (see [RFC6488]).

このoidは、capcontentinfoオブジェクトのecontentTypeと、SignerInfoオブジェクトのコンテンツタイプの署名属性の両方に表示されなければなりません([rfc6488]を参照)。

4. The ROA eContent
4. Roa Econtent

The content of a ROA identifies a single AS that has been authorized by the address space holder to originate routes and a list of one or more IP address prefixes that will be advertised. If the address space holder needs to authorize multiple ASes to advertise the same set of address prefixes, the holder issues multiple ROAs, one per AS number. A ROA is formally defined as:

ROAのコンテンツは、アドレススペースホルダーがルートを発信するように承認された単一を識別し、宣伝される1つ以上のIPアドレスプレフィックスのリストを識別します。アドレススペースホルダーが同じアドレスプレフィックスを宣伝するように複数のASEを承認する必要がある場合、ホルダーは複数のROAを発行します。ROAは正式に次のように定義されています。

   RPKI-ROA-2023
     { iso(1) member-body(2) us(840) rsadsi(113549)
     pkcs(1) pkcs9(9) smime(16) mod(0)
     id-mod-rpkiROA-2023(75) }

   DEFINITIONS EXPLICIT TAGS ::=
   BEGIN

   IMPORTS
     CONTENT-TYPE
     FROM CryptographicMessageSyntax-2010 -- in [RFC6268]
       { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
         pkcs-9(9) smime(16) modules(0) id-mod-cms-2009(58) } ;

   ct-routeOriginAttestation CONTENT-TYPE ::=
     { TYPE RouteOriginAttestation
       IDENTIFIED BY id-ct-routeOriginAuthz }

   id-ct-routeOriginAuthz OBJECT IDENTIFIER ::=
     { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
       pkcs-9(9) id-smime(16) id-ct(1) routeOriginAuthz(24) }

   RouteOriginAttestation ::= SEQUENCE {
     version [0]   INTEGER DEFAULT 0,
     asID          ASID,
     ipAddrBlocks  SEQUENCE (SIZE(1..2)) OF ROAIPAddressFamily }

   ASID ::= INTEGER (0..4294967295)

   ROAIPAddressFamily ::= SEQUENCE {
     addressFamily ADDRESS-FAMILY.&afi ({AddressFamilySet}),
     addresses     ADDRESS-FAMILY.&Addresses
                                  ({AddressFamilySet}{@addressFamily}) }

   ADDRESS-FAMILY ::= CLASS {
     &afi          OCTET STRING (SIZE(2)) UNIQUE,
     &Addresses
   } WITH SYNTAX { AFI &afi ADDRESSES &Addresses }

   AddressFamilySet ADDRESS-FAMILY ::=
     { addressFamilyIPv4 | addressFamilyIPv6 }

   addressFamilyIPv4 ADDRESS-FAMILY ::=
     { AFI afi-IPv4 ADDRESSES ROAAddressesIPv4 }
   addressFamilyIPv6 ADDRESS-FAMILY ::=
     { AFI afi-IPv6 ADDRESSES ROAAddressesIPv6 }

   afi-IPv4 OCTET STRING ::= '0001'H
   afi-IPv6 OCTET STRING ::= '0002'H

   ROAAddressesIPv4 ::= SEQUENCE (SIZE(1..MAX)) OF ROAIPAddress{ub-IPv4}
   ROAAddressesIPv6 ::= SEQUENCE (SIZE(1..MAX)) OF ROAIPAddress{ub-IPv6}

   ub-IPv4 INTEGER ::= 32
   ub-IPv6 INTEGER ::= 128

   ROAIPAddress {INTEGER: ub} ::= SEQUENCE {
     address       BIT STRING (SIZE(0..ub)),
     maxLength     INTEGER (0..ub) OPTIONAL }

   END
        
4.1. The version Element
4.1. バージョン要素

The version number of the RouteOriginAttestation entry MUST be 0.

Routeoriginattestationエントリのバージョン番号は0でなければなりません。

4.2. The asID Element
4.2. ASID要素

The asID element contains the AS number that is authorized to originate routes to the given IP address prefixes.

ASID要素には、特定のIPアドレスプレフィックスへのルートを発信することが許可されているAS番号が含まれています。

4.3. The ipAddrBlocks Element
4.3. iPaddrblocks要素

The ipAddrBlocks element encodes the set of IP address prefixes to which the AS is authorized to originate routes. Note that the syntax here is more restrictive than that used in the IP address delegation extension defined in [RFC3779]. That extension can represent arbitrary address ranges, whereas ROAs need to represent only IP prefixes.

iPaddrblocks要素は、ルートの発生が許可されているASがあるIPアドレスプレフィックスのセットをエンコードします。ここの構文は、[RFC3779]で定義されているIPアドレス委任拡張拡張機能よりも制限的であることに注意してください。その拡張は任意のアドレスの範囲を表すことができますが、ROAはIPプレフィックスのみを表す必要があります。

4.3.1. Type ROAIPAddressFamily
4.3.1. roaipaddressfamilyと入力します

Within the ROAIPAddressFamily structure, the addressFamily element contains the Address Family Identifier (AFI) of an IP address family. This specification only supports IPv4 and IPv6; therefore, addressFamily MUST be either 0001 or 0002. IPv4 prefixes MUST NOT appear as IPv4-mapped IPv6 addresses (Section 2.5.5.2 of [RFC4291]).

roaipaddressfamily構造内には、アドレスファミリー要素には、IPアドレスファミリーのアドレスファミリー識別子(AFI)が含まれています。この仕様は、IPv4とIPv6のみをサポートしています。したがって、アドレスファミリーは0001または0002のいずれかでなければなりません。IPv4プレフィックスは、IPv4-Mapped IPv6アドレスとして表示されてはなりません([RFC4291]のセクション2.5.5.2)。

There MUST be only one instance of ROAIPAddressFamily per unique AFI in the ROA. Thus, the ROAIPAddressFamily structure MUST NOT appear more than twice.

ROAには、一意のAFIごとにroaipaddressfamilyのインスタンスが1つだけ存在する必要があります。したがって、roaipaddressfamily構造は2回以上表示されてはなりません。

The addresses field contains IP prefixes as a sequence of type ROAIPAddress.

アドレスフィールドには、型roaipAddressのシーケンスとしてIPプレフィックスが含まれています。

4.3.2. Type ROAIPAddress
4.3.2. roaipaddressと入力します

A ROAIPAddress structure is a sequence containing an address element of type BIT STRING and an optional maxLength element of type INTEGER.

RoaipAddress構造は、型ビット文字列のアドレス要素とタイプ整数のオプションの最大要素を含むシーケンスです。

4.3.2.1. The address Element
4.3.2.1. アドレス要素

The address element is of type BIT STRING and represents a single IP address prefix. This field uses the same representation of an IP address prefix as a BIT STRING as the IPAddress type defined in Section 2.2.3.8 of [RFC3779].

アドレス要素はビット文字列のタイプで、単一のIPアドレスプレフィックスを表します。このフィールドは、[RFC3779]のセクション2.2.3.8で定義されているiPaddressタイプと同じ文字列として、IPアドレスプレフィックスの同じ表現をビット文字列として使用します。

4.3.2.2. The maxLength Element
4.3.2.2. MaxLength Element

When present, the maxLength element specifies the maximum length of the IP address prefix that the AS is authorized to advertise. The maxLength element SHOULD NOT be encoded if the maximum length is equal to the prefix length. Certification Authorities SHOULD anticipate that future Relying Parties will become increasingly stringent in considering the presence of superfluous maxLength elements an encoding error.

存在する場合、MaxLength要素は、ASが宣伝することが許可されているIPアドレスプレフィックスの最大長を指定します。最大長がプレフィックス長に等しい場合、最大長要素はエンコードしないでください。認証当局は、将来の頼る当事者が、余分な最大要素の存在をエンコーディングエラーと考えると、ますます厳しくなると予測する必要があります。

If present, the maxLength element MUST be:

存在する場合、MaxLength要素は次のとおりです。

* an integer greater than or equal to the length of the accompanying prefix, and

* 付随するプレフィックスの長さ以上の整数、および

* less than or equal to the maximum length (in bits) of an IP address in the applicable address family: 32 in the case of IPv4 and 128 in the case of IPv6.

* 該当するアドレスファミリのIPアドレスの最大長(ビット)以下:IPv4の場合は32、IPv6の場合は128。

For example, if the IP address prefix is 203.0.113.0/24 and maxLength is 26, the AS is authorized to advertise any more-specific prefix with a maximum length of 26. In this example, the AS would be authorized to advertise 203.0.113.0/24, 203.0.113.128/25, or 203.0.113.192/26, but not 203.0.113.0/27. See [RFC9319] for more information on the use of maxLength.

たとえば、IPアドレスのプレフィックスが203.0.113.0/24で、MaxLengthが26の場合、ASは最大26のより固有のプレフィックスを宣伝することが許可されています。この例では、203.0を宣伝することが許可されます。113.0/24、203.0.113.128/25、または203.0.113.192/26、しかし203.0.113.0/27ではなく。MaxLengthの使用の詳細については、[RFC9319]を参照してください。

When the maxLength element is not present, the AS is only authorized to advertise the exact prefix specified in the ROAIPAddress structure's address element.

MaxLength要素が存在しない場合、ASは、RoaipAddress構造のアドレス要素で指定された正確なプレフィックスを宣伝することのみを許可されています。

4.3.2.3. Note on Overlapping or Superfluous Information Encoding
4.3.2.3. オーバーラップまたは余分な情報エンコーディングに関する注意

Note that a valid ROA may contain an IP address prefix (within a ROAIPAddress element) that is encompassed by another IP address prefix (within a separate ROAIPAddress element). For example, a ROA may contain the prefix 203.0.113.0/24 with maxLength 26, as well as the prefix 203.0.113.0/28 with maxLength 28. This ROA would authorize the indicated AS to advertise any prefix beginning with 203.0.113 with a minimum length of 24 and a maximum length of 26, as well as the specific prefix 203.0.113.0/28.

有効なROAには、別のIPアドレスプレフィックス(別のRoaipAddress要素内)に含まれるIPアドレスプレフィックス(RoaipAddress要素内)が含まれる場合があることに注意してください。たとえば、ROAには、MaxLength 26のプレフィックス203.0.113.0/24、およびMaxLength 28のプレフィックス203.0.113.0/28を含むことができます。24の最小長、26の最大長、および特定のプレフィックス203.0.113.0/28。

Additionally, a ROA MAY contain two ROAIPAddress elements, where the IP address prefix is identical in both cases. However, this is NOT RECOMMENDED, because in such a case, the ROAIPAddress element with the shorter maxLength grants no additional privileges to the indicated AS and thus can be omitted without changing the meaning of the ROA.

さらに、ROAには2つのRoaipAddress要素が含まれている場合があります。この要素では、両方の場合にIPアドレスプレフィックスが同一です。ただし、これは推奨されません。そのような場合、より短いMaxLengthの付与を備えたRoaipAddress要素は、示されたASに追加の特権を与えないため、ROAの意味を変更せずに省略できます。

4.3.3. Canonical Form for ipAddrBlocks
4.3.3. iPaddrblocksの標準形式

As the data structure described by the ROA ASN.1 module allows for many different ways to represent the same set of IP address information, a canonical form is defined such that every set of IP address information has a unique representation. In order to produce and verify this canonical form, the process described in this section SHOULD be used to ensure that information elements are unique with respect to one another and sorted in ascending order. Certification Authorities SHOULD anticipate that future Relying Parties will impose a strict requirement for the ipAddrBlocks field to be in this canonical form. This canonicalization procedure builds upon the canonicalization procedure specified in Section 2.2.3.6 of [RFC3779].

ROA ASN.1モジュールで説明されているデータ構造により、多くの異なる方法が同じIPアドレス情報セットを表すことができるように、IPアドレス情報のすべてのセットに一意の表現があるように標準形式が定義されています。この標準的な形式を作成して検証するために、このセクションで説明するプロセスを使用して、情報要素が互いに一意であり、昇順で並べ替えられるようにする必要があります。認証当局は、将来の頼る当事者が、iPaddrblocksフィールドがこの標準的な形になるために厳しい要件を課すと予想すべきです。この標準化手順は、[RFC3779]のセクション2.2.3.6で指定された標準化手順に基づいています。

In order to semantically compare, sort, and deduplicate the contents of the ipAddrBlocks field, each ROAIPAddress element is mapped to an abstract data element composed of four integer values:

iPaddrblocksフィールドのコンテンツを意味的に比較、並べ替え、および容易にするために、各roaipAddress要素は、4つの整数値で構成される抽象データ要素にマッピングされます。

afi

AFI

The AFI value appearing in the addressFamily field of the containing ROAIPAddressFamily as an integer.

整数としてroaipaddressfamilyを含む住所ファミリーフィールドに表示されるAFI値。

addr

addr

The first IP address of the IP prefix appearing in the ROAIPAddress address field, as a 32-bit (IPv4) or 128-bit (IPv6) integer value.

32ビット(IPv4)または128ビット(IPv6)整数値として、RoaipAddressアドレスフィールドに表示されるIPプレフィックスの最初のIPアドレス。

plen

プレンします

The length of the IP prefix appearing in the ROAIPAddress address field as an integer value.

整数値としてroaipAddressアドレスフィールドに表示されるIPプレフィックスの長さ。

mlen

mlen

The value appearing in the maxLength field of the ROAIPAddress element, if present; otherwise, the above prefix length value.

存在する場合、roaipaddress要素の最大長フィールドに表示される値。それ以外の場合は、上記のプレフィックスの長さの値。

Thus, the equality or relative order of two ROAIPAddress elements can be tested by comparing their abstract representations.

したがって、2つのRoaipAddress要素の平等または相対順序は、抽象表現を比較することでテストできます。

4.3.3.1. Comparator
4.3.3.1. コンパレータ

The set of ipAddrBlocks is totally ordered. The order of two ipAddrBlocks is determined by the first non-equal comparison in the following list.

iPaddrblocksのセットは完全に注文されます。2つのiPaddrblocksの順序は、次のリストの最初の非等しい比較によって決定されます。

1. Data elements with a lower afi value precede data elements with a higher afi value.

1. AFI値が低いデータ要素は、AFI値が高いデータ要素に先行します。

2. Data elements with a lower addr value precede data elements with a higher addr value.

2. ADDR値が低いデータ要素は、より高いADDR値を持つデータ要素に先行します。

3. Data elements with a lower plen value precede data elements with a higher plen value.

3. 値が低いデータ要素は、値が高いデータ要素に先行します。

4. Data elements with a lower mlen value precede data elements with a higher mlen value.

4. MLEN値が低いデータ要素は、MLEN値が高いデータ要素に先行します。

Data elements for which all four values compare equal are duplicates of one another.

4つの値がすべて等しいと比較されるデータ要素は、互いの複製です。

4.3.3.2. Example Implementations
4.3.3.2. 実装の例

* A sorting implementation [roasort-c] in ISO/IEC 9899:1999 ("ANSI C99").

* ISO/IEC 9899:1999( "ANSI C99")のソート実装[Roasort-C]。

* A sorting implementation [roasort-rs] in the Rust 2021 Edition.

* Rust 2021エディションのソート実装[Roasort-Rs]。

5. ROA Validation
5. ROA検証

Before a Relying Party can use a ROA to validate a routing announcement, the Relying Party MUST first validate the ROA. To validate a ROA, the Relying Party MUST perform all the validation checks specified in [RFC6488] as well as the following additional ROA-specific validation steps:

頼る当事者がROAを使用してルーティングアナウンスを検証する前に、頼る当事者は最初にROAを検証する必要があります。ROAを検証するには、依存者は[RFC6488]で指定されたすべての検証チェックと、次の追加のROA固有の検証手順を実行する必要があります。

* The IP address delegation extension [RFC3779] is present in the end-entity (EE) certificate (contained within the ROA), and every IP address prefix in the ROA payload is contained within the set of IP addresses specified by the EE certificate's IP address delegation extension.

* IPアドレス委任拡張[RFC3779]は、エンドエンティティ(EE)証明書(ROA内に含まれる)に存在し、ROAペイロードのすべてのIPアドレスプレフィックスは、EE証明書のIPアドレスで指定されたIPアドレスのセットに含まれています委任拡張。

* The EE certificate's IP address delegation extension MUST NOT contain "inherit" elements as described in [RFC3779].

* EE証明書のIPアドレス委任拡張機能には、[RFC3779]に記載されているように、「継承」要素を含めてはなりません。

* The Autonomous System identifier delegation extension described in [RFC3779] is not used in ROAs and MUST NOT be present in the EE certificate.

* [RFC3779]で説明されている自律システム識別子委任拡張機能は、ROASで使用されておらず、EE証明書に存在してはなりません。

* The ROA content fully conforms with all requirements specified in Sections 3 and 4.

* ROAコンテンツは、セクション3および4で指定されたすべての要件に完全に適合しています。

If any of the above checks fail, the ROA in its entirety MUST be considered invalid and an error SHOULD be logged.

上記のチェックのいずれかが失敗した場合、ROA全体が無効であると見なされ、エラーを記録する必要があります。

6. Security Considerations
6. セキュリティに関する考慮事項

There is no assumption of confidentiality for the data in a ROA; it is anticipated that ROAs will be stored in repositories that are accessible to all ISPs, and perhaps to all Internet users. There is no explicit authentication associated with a ROA, since the PKI used for ROA validation provides authorization but not authentication. Although the ROA is a signed, application-layer object, there is no intent to convey non-repudiation via a ROA.

ROAのデータの機密性の仮定はありません。ROASは、すべてのISP、およびおそらくすべてのインターネットユーザーがアクセスできるリポジトリに保存されると予想されます。ROA検証に使用されるPKIは認証ではなく、認証を提供するため、ROAに関連する明示的な認証はありません。ROAは署名されたアプリケーションレイヤーオブジェクトですが、ROAを介して非repudiationを伝えるつもりはありません。

The purpose of a ROA is to convey authorization for an AS to originate a route to the prefix or prefixes in the ROA. Thus, the integrity of a ROA MUST be established. This ROA specification makes use of the RPKI signed object format; thus, all security considerations discussed in [RFC6488] also apply to ROAs. Additionally, the signed object profile uses the CMS signed message format for integrity; thus, ROAs inherit all security considerations associated with that data structure.

ROAの目的は、ROAのプレフィックスまたはプレフィックスへのルートを発生するように、ANの許可を伝えることです。したがって、ROAの完全性を確立する必要があります。このROA仕様では、RPKI署名されたオブジェクト形式を使用しています。したがって、[RFC6488]で説明されているすべてのセキュリティ上の考慮事項もROASに適用されます。さらに、署名されたオブジェクトプロファイルは、整合性のためにCMS署名されたメッセージ形式を使用します。したがって、ROASは、そのデータ構造に関連するすべてのセキュリティ上の考慮事項を継承します。

The right of the ROA signer to authorize the target AS to originate routes to the prefix or prefixes is established through the use of the address space and AS number PKI as described in [RFC6480]. Specifically, one MUST verify the signature on the ROA using an X.509 certificate issued under this PKI and check that the prefix or prefixes in the ROA are contained within those in the certificate's IP address delegation extension.

[RFC6480]に記載されているように、アドレス空間および番号PKIを使用して、プレフィックスまたはプレフィックスへのルートを発信するターゲットをターゲットに承認するROA署名者の権利が確立されます。具体的には、このPKIに基づいて発行されたX.509証明書を使用してROAの署名を検証し、ROAのプレフィックスまたはプレフィックスが証明書のIPアドレス委任拡張拡張子の内容に含まれていることを確認する必要があります。

7. IANA Considerations
7. IANAの考慮事項
7.1. SMI Security for S/MIME CMS Content Type (1.2.840.113549.1.9.16.1)
7.1. S/MIME CMSコンテンツタイプのSMIセキュリティ(1.2.840.113549.1.9.16.1)

IANA has updated the id-ct-routeOriginAuthz entry in the "SMI Security for S/MIME CMS Content Type (1.2.840.113549.1.9.16.1)" registry as follows:

IANAは、「S/MIME CMSコンテンツタイプのSMIセキュリティ(1.2.840.113549.1.9.16.1.9.16.1.9)」のID-Routeoriginauthzエントリを次のように更新しました。

                    +=========+========================+============+
                    | Decimal | Description            | References |
                    +=========+========================+============+
                    | 24      | id-ct-routeOriginAuthz | RFC 9582   |
                    +---------+------------------------+------------+

                                         Table 1
        
7.2. RPKI Signed Objects Registry
7.2. RPKIはオブジェクトレジストリに署名しました

IANA has updated the Route Origination Authorization entry in the "RPKI Signed Objects" registry created by [RFC6488] as follows:

IANAは、次のように[RFC6488]によって作成された「RPKI署名オブジェクト」レジストリのルートオリジネーション認証エントリを更新しました。

      +===================+============================+===========+
      | Name              | OID                        | Reference |
      +===================+============================+===========+
      | Route Origination | 1.2.840.113549.1.9.16.1.24 | RFC 9582  |
      | Authorization     |                            |           |
      +-------------------+----------------------------+-----------+

                                 Table 2
        
7.3. File Extension
7.3. ファイル拡張子

IANA has updated the entry for the ROA file extension in the "RPKI Repository Name Schemes" registry created by [RFC6481] as follows:

IANAは、[RFC6481]によって作成された「RPKIリポジトリ名スキーム」レジストリのROAファイル拡張機能のエントリを次のように更新しました。

+====================+=================================+===========+
| Filename Extension | RPKI Object                     | Reference |
+====================+=================================+===========+
| .roa               | Route Origination Authorization | RFC 9582  |
+--------------------+---------------------------------+-----------+

                              Table 3
        
7.4. SMI Security for S/MIME Module Identifier (1.2.840.113549.1.9.16.0)
7.4. S/MIMEモジュール識別子のSMIセキュリティ(1.2.840.113549.1.9.16.0)

IANA has allocated the following entry in the "SMI Security for S/MIME Module Identifier (1.2.840.113549.1.9.16.0)" registry:

IANAは、「S/MIMEモジュール識別子のSMIセキュリティ(1.2.840.113549.1.9.16.0)」に次のエントリを割り当てました。

                      +=========+=====================+============+
                      | Decimal | Description         | References |
                      +=========+=====================+============+
                      | 75      | id-mod-rpkiROA-2023 | RFC 9582   |
                      +---------+---------------------+------------+

                                         Table 4
        
7.5. Media Type
7.5. メディアタイプ

IANA has updated the media type application/rpki-roa in the "Media Types" registry as follows:

IANAは、「メディアタイプ」レジストリでメディアタイプアプリケーション/RPKI-ROAを次のように更新しました。

Type name:

タイプ名:

application

応用アプリケーション出願塗布申請アプリ使用利用申込申し込み応募運用願い願い出要請控訴勉励丹念請求応用力適用業務

Subtype name:

サブタイプ名:

rpki-roa

rpki-roa

Required parameters:

必要なパラメーター:

N/A

n/a

Optional parameters:

オプションのパラメーター:

N/A

n/a

Encoding considerations:

考慮事項のエンコード:

binary

バイナリバイナリー二進

Security considerations:

セキュリティ上の考慮事項:

Carries an RPKI ROA (RFC 9582). This media type contains no active content. See Section 6 of RFC 9582 for further information.

RPKI ROA(RFC 9582)を持ちます。このメディアタイプには、アクティブなコンテンツが含まれていません。詳細については、RFC 9582のセクション6を参照してください。

Interoperability considerations:

相互運用性の考慮事項:

None

なし

Published specification:

公開された仕様:

RFC 9582

RFC 9582

Applications that use this media type:

このメディアタイプを使用するアプリケーション:

RPKI operators

RPKIオペレーター

Additional information:

追加情報:

Content:

コンテンツ:

This media type is a signed object, as defined in [RFC6488], which contains a payload of a list of prefixes and an AS identifier as defined in RFC 9582.

このメディアタイプは、[RFC6488]で定義されているように署名されたオブジェクトであり、RFC 9582で定義されているプレフィックスのリストとAS識別子のペイロードが含まれています。

Magic number(s):

マジックナンバー:

None

なし

File extension(s):

ファイル拡張子:

.roa

.roa

Macintosh file type code(s):

Macintoshファイルタイプコード:

None

なし

Person & email address to contact for further information:

詳細については、連絡先への個人およびメールアドレス:

Job Snijders <job@fastly.com>

jobsnijders <job@fastly.com>

Intended usage:

意図された使用法:

COMMON

一般

Restrictions on usage:

使用に関する制限:

None

なし

Change controller:

Change Controller:

IETF

IETF

8. References
8. 参考文献
8.1. Normative References
8.1. 引用文献
   [RFC2119]  Bradner, S., "Key words for use in RFCs to Indicate
              Requirement Levels", BCP 14, RFC 2119,
              DOI 10.17487/RFC2119, March 1997,
              <https://www.rfc-editor.org/info/rfc2119>.
        
   [RFC3779]  Lynn, C., Kent, S., and K. Seo, "X.509 Extensions for IP
              Addresses and AS Identifiers", RFC 3779,
              DOI 10.17487/RFC3779, June 2004,
              <https://www.rfc-editor.org/info/rfc3779>.
        
   [RFC4291]  Hinden, R. and S. Deering, "IP Version 6 Addressing
              Architecture", RFC 4291, DOI 10.17487/RFC4291, February
              2006, <https://www.rfc-editor.org/info/rfc4291>.
        
   [RFC5652]  Housley, R., "Cryptographic Message Syntax (CMS)", STD 70,
              RFC 5652, DOI 10.17487/RFC5652, September 2009,
              <https://www.rfc-editor.org/info/rfc5652>.
        
   [RFC6268]  Schaad, J. and S. Turner, "Additional New ASN.1 Modules
              for the Cryptographic Message Syntax (CMS) and the Public
              Key Infrastructure Using X.509 (PKIX)", RFC 6268,
              DOI 10.17487/RFC6268, July 2011,
              <https://www.rfc-editor.org/info/rfc6268>.
        
   [RFC6481]  Huston, G., Loomans, R., and G. Michaelson, "A Profile for
              Resource Certificate Repository Structure", RFC 6481,
              DOI 10.17487/RFC6481, February 2012,
              <https://www.rfc-editor.org/info/rfc6481>.
        
   [RFC6482]  Lepinski, M., Kent, S., and D. Kong, "A Profile for Route
              Origin Authorizations (ROAs)", RFC 6482,
              DOI 10.17487/RFC6482, February 2012,
              <https://www.rfc-editor.org/info/rfc6482>.
        
   [RFC6487]  Huston, G., Michaelson, G., and R. Loomans, "A Profile for
              X.509 PKIX Resource Certificates", RFC 6487,
              DOI 10.17487/RFC6487, February 2012,
              <https://www.rfc-editor.org/info/rfc6487>.
        
   [RFC6488]  Lepinski, M., Chi, A., and S. Kent, "Signed Object
              Template for the Resource Public Key Infrastructure
              (RPKI)", RFC 6488, DOI 10.17487/RFC6488, February 2012,
              <https://www.rfc-editor.org/info/rfc6488>.
        
   [RFC8174]  Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC
              2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174,
              May 2017, <https://www.rfc-editor.org/info/rfc8174>.
        
   [X.690]    ITU-T, "Information Technology - ASN.1 encoding rules:
              Specification of Basic Encoding Rules (BER), Canonical
              Encoding Rules (CER) and Distinguished Encoding Rules
              (DER)", ITU-T Recommendation X.690, February 2021.
        
8.2. Informative References
8.2. 参考引用
   [RFC4648]  Josefsson, S., "The Base16, Base32, and Base64 Data
              Encodings", RFC 4648, DOI 10.17487/RFC4648, October 2006,
              <https://www.rfc-editor.org/info/rfc4648>.
        
   [RFC5280]  Cooper, D., Santesson, S., Farrell, S., Boeyen, S.,
              Housley, R., and W. Polk, "Internet X.509 Public Key
              Infrastructure Certificate and Certificate Revocation List
              (CRL) Profile", RFC 5280, DOI 10.17487/RFC5280, May 2008,
              <https://www.rfc-editor.org/info/rfc5280>.
        
   [RFC6480]  Lepinski, M. and S. Kent, "An Infrastructure to Support
              Secure Internet Routing", RFC 6480, DOI 10.17487/RFC6480,
              February 2012, <https://www.rfc-editor.org/info/rfc6480>.
        
   [RFC9319]  Gilad, Y., Goldberg, S., Sriram, K., Snijders, J., and B.
              Maddison, "The Use of maxLength in the Resource Public Key
              Infrastructure (RPKI)", BCP 185, RFC 9319,
              DOI 10.17487/RFC9319, October 2022,
              <https://www.rfc-editor.org/info/rfc9319>.
        
   [roasort-c]
              Snijders, J., "ROA sorter in C", commit 68969ea, July
              2023, <https://github.com/job/roasort>.
        
   [roasort-rs]
              Maddison, B., "ROA sorter in Rust", commit 023e756, August
              2023, <https://github.com/benmaddison/roasort>.
        
Appendix A. Example ROA eContent Payload
付録A. 例roa econtentペイロード

An example of a DER-encoded ROA eContent is provided below, with annotation following the "#" character.

DERエンコードされたROAエコネントの例を以下に示し、「#」文字に続いて注釈が付けられています。

   $ echo 16i 301802030100003011300F040200023009300703050020010DB8 P \
     | dc | openssl asn1parse -inform DER -i -dump
    0:d=0  hl=2 l=  24 cons: SEQUENCE           # RouteOriginAttestation
    2:d=1  hl=2 l=   3 prim:  INTEGER  :010000  #  asID 65536
    7:d=1  hl=2 l=  17 cons:  SEQUENCE          #  ipAddrBlocks
    9:d=2  hl=2 l=  15 cons:   SEQUENCE         #   ROAIPAddressFamily
   11:d=3  hl=2 l=   2 prim:    OCTET STRING    #    addressFamily
      0000 - 00 02                              #     IPv6
   15:d=3  hl=2 l=   9 cons:    SEQUENCE        #    addresses
   17:d=4  hl=2 l=   7 cons:     SEQUENCE       #     ROAIPAddress
   19:d=5  hl=2 l=   5 prim:      BIT STRING    #      2001:db8::/32
       0000 - 00 20 01 0d b8
        

Below is a complete RPKI ROA signed object, Base64 encoded per [RFC4648].

以下は、完全なRPKI ROA署名されたオブジェクト、[RFC4648]ごとにbase64エンコードされた完全なRPKI ROA署名オブジェクトです。

   MIIGgAYJKoZIhvcNAQcCoIIGcTCCBm0CAQMxDTALBglghkgBZQMEAgEwKwYLKoZI
   hvcNAQkQARigHAQaMBgCAwEAADARMA8EAgACMAkwBwMFACABDbigggR8MIIEeDCC
   A2CgAwIBAgIBAzANBgkqhkiG9w0BAQsFADAvMS0wKwYDVQQDEyQ4NjUyNWNkNS00
   NGQ3LTRkZjktODA3OS00YTlkY2RmMjY5NDQwHhcNMjQwNTAxMDAzNDEzWhcNMjUw
   NTAxMDAzNDEzWjAvMS0wKwYDVQQDEyRlYjg3NmJmMC1lYTlkLTRiMjItYTExZS0y
   YmNhZDA4MzliMTMwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCsPSYD
   JnGOFRSHUZuVxibx2TQfWWoPIHNKgQAwYn1Kz88HaGgVf63G1mJd/cxBNMj5AfNQ
   m2zKSAb83UAp97DUXf+lvoKj4F+lxCCjFaBpBeehc7X0XPDpbcbqo1YrzIzxxqou
   GijEwZ4k+BaM2avEFYMBszqWA+ZdneBSuZ3YbHPKp2royn4pJ9a1I5fYdqFQi0eo
   VZbAc8pZmwRVOuedYYqQiy9CSRGsbiGlB0fKt2m/zSsuvl4Zit7+NyGL3wAZecjZ
   XEInsTtQsjQuy5PeJjLDyfWi/ZFi0qPsNlK0M2lMsi5B7QKaagA1RbRVHZyrkWoe
   20l5rfk1bIGMv/plAgMBAAGjggGdMIIBmTAOBgNVHQ8BAf8EBAMCB4AwHQYDVR0O
   BBYEFN4UWxk/syCyWnRDVSmMi/fCUj0iMB8GA1UdIwQYMBaAFNZyCOpHDp1t1mVA
   IvVTrcE4mrQ0MBgGA1UdIAEB/wQOMAwwCgYIKwYBBQUHDgIwWgYIKwYBBQUHAQEE
   TjBMMEoGCCsGAQUFBzAChj5yc3luYzovL3Jwa2kuZXhhbXBsZS5uZXQvcmVwby8x
   bklJNmtjT25XM1daVUFpOVZPdHdUaWF0RFNnLmNlcjBRBgNVHR8ESjBIMEagRKBC
   hkByc3luYzovL3Jwa2kuZXhhbXBsZS5uZXQvcmVwby9BLzFuSUk2a2NPblczV1pV
   QWk5Vk90d1RpYXREU2cuY3JsMFwGCCsGAQUFBwELBFAwTjBMBggrBgEFBQcwC4ZA
   cnN5bmM6Ly9ycGtpLmV4YW1wbGUubmV0L3JlcG8vQS8zaFJiR1QteklMSmFkRU5W
   S1l5TDk4SlNQU0tnLnJvYTAgBggrBgEFBQcBBwEB/wQRMA8wDQQCAAIwBwMFACAB
   DbgwDQYJKoZIhvcNAQELBQADggEBAKFoMax1Gdxb9mvSfKE2Jo+DudqCGjWF3mGv
   rkhag8CQYi2CBJZLrkpCRha8doBW4PbrL36waWG55A/TdLKvWzAf66/v3iL5QcXo
   Krb0+fp1pu/YVK4xFxwYJhbX4OnL4Gqh9+t4fFXhEDj2QemlgjWZyxvgx2Sra/iK
   fOt6gxUhie3oIT+FiYjqF//WIUBP/HjTf+E4IRGN8tCr3NDhMZG6c0njq2keW7w4
   wnw1+GqSyDhqu0Rsr0m3XUbivkc+h0ZZBBS9SxPM+GfgdzEDV51VcK1SeMa3G3Ca
   j0cJA99eTM+j52tkNVupftv1Y+4Wt0XGLKmRNKw26XDaphzw3B8xggGqMIIBpgIB
   A4AU3hRbGT+zILJadENVKYyL98JSPSIwCwYJYIZIAWUDBAIBoGswGgYJKoZIhvcN
   AQkDMQ0GCyqGSIb3DQEJEAEYMBwGCSqGSIb3DQEJBTEPFw0yNDA1MDEwMDM0MTNa
   MC8GCSqGSIb3DQEJBDEiBCBlz4HExs5A69pxkJqTCbUvc2iTS7C4eDd3aJD4hYJS
   wjANBgkqhkiG9w0BAQEFAASCAQBa2wmuDHbcvfnMRIaOJ6m30zpCZtJVBLDELoA0
   2kLb18TfFbxQhUi/jZ9g0hNYksV0n4vOJnCQ3qP6IIfm0ZsKzRnyzZf3f2xegw2p
   Wzi9Z8QYlc//eY3+XA3bQ37h+s0r7OZkQH7+KmIwDOCYaLh/YB37wp/7giC7bpvi
   c2Fv2illQmctrK7tYDHsNGq+svULTjemUaklqfcRAAJnQTRzTz8So9wKY9SR2VVZ
   68DDItTBUx8jPYeNQtvxxoVA6HuW9wyurlYQ9m/cF8CzlizVmsHgxzjO9ifmYJj9
   YZWMLtjF7Xw1fQZLYMrD5DCZzUw3nv4GyyHxckm2kLF38mze
        

The object in this appendix has the following properties:

この付録のオブジェクトには、次のプロパティがあります。

   Object size: 1668 octets
   Object SHA256 message digest:
        3a39e0b652e79ddf6efdd178ad5e3b29e0121b1e593b89f1e0ac18f3ba60d5e7

   CMS signing time: Wed 01 May 2024 00:34:13 +0000

   X.509 end-entity certificate
   Subject key id: DE145B193FB320B25A744355298C8BF7C2523D22
   Authority key id: D67208EA470E9D6DD6654022F553ADC1389AB434
   Issuer: CN=86525cd5-44d7-4df9-8079-4a9dcdf26944
   Serial: 3
   Not before: Wed 01 May 2024 00:34:13 +0000
   Not after: Thu 01 May 2025 00:34:13 +0000
   IP address delegation: 2001:db8::/32

   ROA eContent
   asID: 65536
   addresses: 2001:db8::/32
        
Acknowledgements
謝辞

The authors wish to thank Theo Buehler, Ties de Kock, Martin Hoffmann, Charles Gardiner, Russ Housley, Jeffrey Haas, Bob Beck, and Tom Harrison for their help and contributions. Additionally, the authors thank Jim Fenton, Vijay Gurbani, Haoyu Song, Rob Austein, Roque Gagliano, Danny McPherson, Sam Weiler, Jasdip Singh, and Murray S. Kucherawy for their careful reviews and helpful comments.

著者は、Theo Buehler、Ties de Kock、Martin Hoffmann、Charles Gardiner、Russ Housley、Jeffrey Haas、Bob Beck、Tom Harrisonの助けと貢献に感謝したいと考えています。さらに、著者は、ジム・フェントン、ヴィジェイ・グルベイニ、ハーユー・ソング、ロブ・オーストイン、ロック・ガグリアーノ、ダニー・マクファーソン、サム・ワイラー、ジャスディップ・シン、マレー・S・クチェラウィに慎重なレビューと有益なコメントに感謝します。

Authors' Addresses
著者のアドレス
   Job Snijders
   Fastly
   Amsterdam
   The Netherlands
   Email: job@fastly.com
        
   Ben Maddison
   Workonline
   Cape Town
   South Africa
   Email: benm@workonline.africa
        
   Matthew Lepinski
   Carleton College
   Email: mlepinski@carleton.edu
        
   Derrick Kong
   Raytheon
   Email: derrick.kong@raytheon.com
        
   Stephen Kent
   Independent
   Email: kent@alum.mit.edu