[要約] RFC 9977は、IPブロック時の巻き添え被害を軽減することなどを目的に、サービスプロバイダーが顧客への割当プレフィックス長を公開する軽量な仕組みを定義する文書です。ルーティングポリシー仕様言語(RPSL)のinetnumクラスを拡張してCSV形式のprefixlenファイルを参照可能にし、リソース公開キー基盤(RPKI)によるオプションのファイル認証も規定しています。
Internet Engineering Task Force (IETF) O. Gasser
Request for Comments: 9977 IPinfo
Category: Standards Track R. Bush
ISSN: 2070-1721 IIJ Research & Arrcus
M. Candela
NTT
R. Housley
Vigil Security
May 2026
This document specifies how to augment the Routing Policy Specification Language (RPSL) inetnum: class to refer specifically to prefixlen files, which are Comma-Separated Values (CSV) files used to specify end-site prefix lengths. This document also describes an optional mechanism that uses the Resource Public Key Infrastructure (RPKI) to authenticate the prefixlen files.
この文書では、ルーティング ポリシー仕様言語 (RPSL) の inetnum: クラスを拡張して、特に prefixlen ファイルを参照するようにする方法を指定します。このファイルは、エンドサイトのプレフィックス長を指定するために使用されるカンマ区切り値 (CSV) ファイルです。このドキュメントでは、リソース公開キー基盤 (RPKI) を使用して prefixlen ファイルを認証するオプションのメカニズムについても説明します。
This is an Internet Standards Track document.
これはインターネット標準化トラックの文書です。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは Internet Engineering Task Force (IETF) の成果物です。これは IETF コミュニティのコンセンサスを表しています。この文書は公開レビューを受け、Internet Engineering Steering Group (IESG) によって公開が承認されています。インターネット標準の詳細については、RFC 7841 のセクション 2 を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9977.
この文書の現在のステータス、正誤表、およびそれに対するフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc9977 で入手できます。
Copyright (c) 2026 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright (c) 2026 IETF Trust および文書の著者として特定された人物。無断転載を禁じます。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
この文書は、BCP 78 およびこの文書の発行日に有効な IETF 文書に関する IETF トラストの法的規定 (https://trustee.ietf.org/license-info) の対象となります。これらの文書には、この文書に関するお客様の権利と制限が記載されているため、注意深くお読みください。このドキュメントから抽出されたコード コンポーネントには、トラスト法的規定のセクション 4.e に記載されている改訂 BSD ライセンス テキストが含まれている必要があり、改訂 BSD ライセンスに記載されているように保証なしで提供されます。
1. Introduction
2. Requirements Language
3. prefixlen Files
3.1. End-Site Prefix Length Without CGN or Proxies
3.2. End-Site Prefix Length with CGN or Proxies
3.3. Longest Prefix Matching
3.4. Not Specifying Any End-Site Prefix Length
3.5. Processing prefixlen Files
4. inetnum: Class
5. Fetching prefixlen Data
6. Authenticating prefixlen Data (Optional)
7. Operational Considerations
8. Implementation Status
9. Security Considerations
10. IANA Considerations
11. References
11.1. Normative References
11.2. Informative References
Appendix A. ASN.1 Module
Appendix B. Example
Acknowledgments
Authors' Addresses
Internet Service Providers (ISPs) delegate IP addresses or entire IP prefixes to their users. Similarly, cloud providers assign customers who use their services, such as virtual machines (VMs), a prefix of a specific size. Therefore, there are many variations of end-site prefix lengths present in the Internet. Currently, there is no easy way for content providers to know the end-site prefix size of someone accessing their service. Knowing the correct end-site's prefix size has multiple implications such as:
インターネット サービス プロバイダー (ISP) は、IP アドレスまたは IP プレフィックス全体をユーザーに委任します。同様に、クラウド プロバイダーは、仮想マシン (VM) などのサービスを使用する顧客に、特定のサイズのプレフィックスを割り当てます。したがって、インターネットにはさまざまなエンドサイト プレフィックス長のバリエーションが存在します。現在、コンテンツ プロバイダーがサービスにアクセスしているユーザーのエンドサイト プレフィックス サイズを知る簡単な方法はありません。エンドサイトのプレフィックス サイズを正確に知ることには、次のような複数の意味があります。
Blocklisting/throttling:
ブロックリスト/スロットリング:
In IPv4, IP addresses can be blocked using variable prefix lengths for different prefixes, such as /22 for prefix A, /27 for prefix B, or /32 to block a single IPv4 address. Due to the large address space in IPv6, blocking at, e.g., the /48 or /56 level could lead to overblocking (throwing multiple VMs from different users into the same bucket), while blocking at more fine-granular levels, e.g., /64, /96, or even /128, to block a single IPv6 address would lead to filling up space in the blocklist pretty quickly. The use of temporary addresses in IPv6 [RFC8981] might lead to unwanted unblocking when addresses are blocked at a too-fine-granular level (e.g., /128). All these issues apply to throttling as well.
IPv4 では、プレフィックス A には /22、プレフィックス B には /27、単一の IPv4 アドレスをブロックするには /32 など、さまざまなプレフィックスに可変プレフィックス長を使用して IP アドレスをブロックできます。IPv6 ではアドレス空間が大きいため、/48 や /56 レベルなどでブロックするとオーバーブロッキング (異なるユーザーからの複数の VM を同じバケットに投げ込む) が発生する可能性がありますが、より細かいレベル (/64、/96、さらには /128 など) で単一の IPv6 アドレスをブロックすると、ブロックリスト内のスペースがすぐに埋まってしまう可能性があります。IPv6 [RFC8981] での一時アドレスの使用は、アドレスが細かすぎるレベル (/128 など) でブロックされている場合に、望ましくないブロック解除につながる可能性があります。これらすべての問題はスロットリングにも当てはまります。
Rate limiting/CAPTCHAs:
レート制限/CAPTCHA:
A similar issue arises on the Web, where neighboring prefixes might be thrown together (e.g., in the same /48 or /56 even though the ISP hands out /64s), which leads to people "jointly" running into rate limits and then either being blocked from a service or having to solve annoying CAPTCHAs.
同様の問題が Web でも発生します。隣接するプレフィックスが一緒にスローされる可能性があり (たとえば、ISP が /64 を配布しているにもかかわらず、同じ /48 または /56 内に)、人々が「共同で」レート制限に遭遇し、サービスからブロックされるか、煩わしい CAPTCHA を解決しなければならないことになります。
Geolocation:
地理位置情報:
Getting the right prefix size for geolocation is similarly difficult, especially for IPv6. If you aggregate too much, you throw together different clients in different locations; if you aggregate too little, you fill up the geolocation database with unnecessary entries.
地理位置情報に適切なプレフィックス サイズを取得することも、特に IPv6 の場合、同様に困難です。集約しすぎると、異なるクライアントが異なる場所に集まってしまうことになります。集計が少なすぎると、地理位置情報データベースが不要なエントリでいっぱいになってしまいます。
This document specifies how to augment the Routing Policy Specification Language (RPSL) [RFC2725] inetnum: class to refer specifically to prefixlen files and how to use the files. In all places where inetnum: is used, inet6num: must also be assumed [RFC4012].
この文書は、ルーティング ポリシー仕様言語 (RPSL) [RFC2725] inetnum: クラスを拡張して、特に prefixlen ファイルを参照する方法と、そのファイルの使用方法を指定します。inetnum: が使用されるすべての場所では、inet6num: も想定される必要があります [RFC4012]。
The reader may find [DBOBJECTS] informative, with certainly more verbose descriptions, on the inetnum: and inet6num database classes.
読者は、[DBOBJECTS] が inetnum: および inet6num データベース クラスについてより詳細な説明を含んでおり、有益であることに気づくかもしれません。
An optional means for authenticating prefixlen data is also defined in Section 6.
prefixlen データを認証するためのオプションの手段もセクション 6 で定義されています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
このドキュメント内のキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、および「OPTIONAL」は、ここに示すようにすべて大文字で表示されている場合にのみ、BCP 14 [RFC2119] [RFC8174] で説明されているように解釈されます。
prefixlen files are CSV files [RFC4180] in text format with UTF-8 encoding [RFC3629], excluding problematic code points as described in [RFC9839]. Lines MUST be delimited by a line break (CRLF), and blank lines MUST be ignored. Text from a '#' character to the end of the current line MUST be treated as a comment only and is similarly ignored. The first field of each line that is not ignored specifies the prefix in question, the second the end-site prefix length within that prefix as an integer, and the third the number of end-sites within an end-site prefix length for networks using Carrier-Grade NAT (CGN) [RFC6598] or proxies. In all places Carrier-Grade NAT or CGN is used in this document, the specifications apply to proxies as well. Note that all three fields MUST be present. This means there MUST be exactly two commas in each non-commented line delimiting the three fields. The first field MUST NOT be empty on lines that are not comments, while the second and third field can be empty in certain scenarios. If both the second and third fields are empty, the publisher does not want to disclose any prefix length information.
prefixlen ファイルは、UTF-8 エンコーディング [RFC3629] を使用したテキスト形式の CSV ファイル [RFC4180] であり、[RFC9839] で説明されている問題のあるコードポイントは除外されます。行は改行 (CRLF) で区切られなければならず、空白行は無視されなければなりません。「#」文字から現在の行の終わりまでのテキストはコメントとしてのみ扱われなければならず、同様に無視されます。無視されない各行の最初のフィールドは問題のプレフィックスを指定し、2 番目はそのプレフィックス内のエンドサイト プレフィックス長を整数で指定し、3 番目はキャリア グレード NAT (CGN) [RFC6598] またはプロキシを使用するネットワークのエンドサイト プレフィックス長内のエンドサイトの数を指定します。このドキュメントではキャリア グレード NAT または CGN が使用されているすべての場所で、仕様はプロキシにも適用されます。3 つのフィールドはすべて存在する必要があることに注意してください。これは、3 つのフィールドを区切るコメント化されていない各行には、正確に 2 つのコンマがなければならないことを意味します。コメントではない行では最初のフィールドを空にしてはなりませんが、特定のシナリオでは 2 番目と 3 番目のフィールドを空にすることができます。2 番目と 3 番目のフィールドが両方とも空の場合、発行者はプレフィックス長情報を開示したくないことになります。
If an ISP delegates /56 IPv6 prefixes of the 2001:db8::/32 range and /32 IPv4 prefixes (i.e., a single IPv4 address) of the 192.0.2.0/24 range to its customers without the use of CGN [RFC6598] or proxy techniques, it would create a prefix length file containing the following example entries:
ISP が、CGN [RFC6598] やプロキシ技術を使用せずに、2001:db8::/32 範囲の /56 IPv6 プレフィックスと 192.0.2.0/24 範囲の /32 IPv4 プレフィックス (つまり、単一の IPv4 アドレス) を顧客に委任する場合、次のサンプル エントリを含むプレフィックス長ファイルを作成します。
2001:db8::/32,56,1
192.0.2.0/24,32,1
Note the third field being set to '1', which signals the absence of CGN or proxies. This has the same meaning as the third field being left empty in this scenario.
3 番目のフィールドが「1」に設定されていることに注意してください。これは、CGN またはプロキシが存在しないことを示します。これは、このシナリオで 3 番目のフィールドが空のままになっているのと同じ意味です。
prefixlen files can also be used to signal the presence of CGN [RFC6598] or proxies in networks. This is especially useful for cases where multiple end-sites behind a CGN or proxy service accessing a service at the same time might run into rate-limiting issues by service providers. If a prefixlen file signals the presence of a CGN, service providers can treat these prefixes in a way that rate limits are adjusted. To signal the presence of a CGN, the number of CGN end-sites is specified in the third field. For example, a CGN prefix 192.0.2.0/24 containing 4000 CGN end-sites would be specified as follows:
prefixlen ファイルは、ネットワーク内の CGN [RFC6598] またはプロキシの存在を通知するために使用することもできます。これは、CGN またはプロキシ サービスの背後にある複数のエンドサイトが同時にサービスにアクセスし、サービス プロバイダーによるレート制限の問題が発生する可能性がある場合に特に役立ちます。prefixlen ファイルが CGN の存在を通知する場合、サービス プロバイダーはレート制限を調整する方法でこれらのプレフィックスを処理できます。CGN の存在を知らせるために、CGN エンドサイトの数が 3 番目のフィールドで指定されます。たとえば、4000 の CGN エンドサイトを含む CGN プレフィックス 192.0.2.0/24 は次のように指定されます。
192.0.2.0/24,24,4000
Note the second field in the above example is set to '24', signaling that the 4000 CGN end-sites are present in the complete 192.0.2.0/24 prefix.
上記の例の 2 番目のフィールドは「24」に設定されており、4000 の CGN エンドサイトが完全な 192.0.2.0/24 プレフィックスに存在することを示していることに注意してください。
On the other hand, if these 4000 CGN end-sites are distributed 1000 each in the four /26 sub-prefixes within 192.0.2.0/24, this is specified as follows:
一方、これらの 4000 の CGN エンドサイトが 192.0.2.0/24 内の 4 つの /26 サブプレフィックスに 1000 ずつ分散されている場合、これは次のように指定されます。
192.0.2.0/24,26,1000
It is important to note that the third field denoting the number of CGN end-sites is referring to the prefix length specified in the second field.
CGN エンドサイトの数を示す 3 番目のフィールドは、2 番目のフィールドで指定されたプレフィックス長を参照していることに注意することが重要です。
Note that this specification can be applied to IPv6 networks as well.
この仕様は IPv6 ネットワークにも適用できることに注意してください。
Prefix length files can contain sub-prefix entries of a parent prefix; this needs to be taken into account when processing these files. For example, if a cloud provider assigns /120 IPv6 prefixes to each customer VM and a /64 prefix to premium customers, it would create a prefix length file containing the following example entries:
プレフィックス長ファイルには、親プレフィックスのサブプレフィックス エントリを含めることができます。これらのファイルを処理するときは、これを考慮する必要があります。たとえば、クラウド プロバイダーが各顧客 VM に /120 IPv6 プレフィックスを割り当て、プレミアム顧客に /64 プレフィックスを割り当てる場合、次のサンプル エントリを含むプレフィックス長ファイルが作成されます。
2001:db8::/32,120,
2001:db8:abcd::/48,64,
Note that the second entry in the above example is a subprefix of the first entry. Therefore, longest prefix matching has to be performed when parsing prefixlen files.
上記の例の 2 番目のエントリは、最初のエントリのサブプレフィックスであることに注意してください。したがって、prefixlen ファイルを解析するときは、最長プレフィックス マッチングを実行する必要があります。
If an ISP delegates /32 IPv4 prefixes (i.e., a single IPv4 address) of the 192.0.2.0/24 range to its customers without the use of CGN, and it has a special sub-prefix 192.0.2.0/28 where this policy does not apply, it can signal so with the following prefix length file:
ISP が CGN を使用せずに 192.0.2.0/24 範囲の /32 IPv4 プレフィックス (つまり、単一の IPv4 アドレス) を顧客に委任し、このポリシーが適用されない特別なサブプレフィックス 192.0.2.0/28 を持っている場合、次のプレフィックス長ファイルを使用してそのことを通知できます。
192.0.2.0/24,32,
192.0.2.0/28,,
If both the second and third fields are empty, the publisher does not want to disclose any prefix length information. Any prefix length information from covering prefixes (192.0.2.0/24 in our example) MUST be discarded for sub-prefixes specified in prefixlen files (192.0.2.0/28 in our example).
2 番目と 3 番目のフィールドが両方とも空の場合、発行者はプレフィックス長情報を開示したくないことになります。カバーするプレフィックス (この例では 192.0.2.0/24) からのプレフィックス長情報は、prefixlen ファイルで指定されたサブプレフィックス (この例では 192.0.2.0/28) については破棄されなければなりません (MUST)。
Multiple entries with exactly the same prefix MUST be considered an error, and consumer implementations SHOULD log the repeated entries for further administrative review. Publishers MUST take measures to ensure there is one and only one entry per prefix.
まったく同じプレフィックスを持つ複数のエントリはエラーとみなされなければならず (MUST)、消費者実装はさらなる管理レビューのために繰り返しエントリをログに記録すべきである (SHOULD)。発行者は、プレフィックスごとにエントリが 1 つだけ存在するようにする措置を講じなければなりません。
Upon encountering an erroneous entry in a prefixlen file, consumer implementations MUST skip that entry, log the error, and continue processing the remaining entries.
prefixlen ファイル内で誤ったエントリが見つかった場合、コンシューマ実装はそのエントリをスキップし、エラーをログに記録し、残りのエントリの処理を続行しなければなりません (MUST)。
Content providers and other parties who wish to differentiate services based on end-site prefixes need to find the relevant prefixlen data. Section 4 specifies how to find the relevant prefixlen file given an IP address.
エンドサイト プレフィックスに基づいてサービスを差別化したいコンテンツ プロバイダーやその他の関係者は、関連する prefixlen データを見つける必要があります。セクション 4 では、IP アドレスを指定して関連する prefixlen ファイルを検索する方法を指定します。
prefixlen data for large providers administrating a large number of networks and end-sites can contain millions of entries. The size of a file can be even larger if an unsigned prefixlen file combines data for many prefixes, if dual IPv4/IPv6 spaces are represented, etc.
多数のネットワークとエンドサイトを管理する大規模プロバイダーの prefixlen データには、数百万のエントリが含まれる場合があります。署名されていない prefixlen ファイルが多くのプレフィックスのデータを結合する場合、デュアル IPv4/IPv6 スペースが表現される場合など、ファイルのサイズはさらに大きくなる可能性があります。
This document also suggests an optional signature to strongly authenticate the data in the prefixlen files. The same approach to signatures is used in this document that was used in [RFC9632].
この文書では、prefixlen ファイル内のデータを強力に認証するためのオプションの署名も提案しています。この文書では、[RFC9632] で使用されたものと同じ署名アプローチが使用されています。
The original RPSL specifications ([RIPE81], [RIPE181], and a trail of subsequent documents) were written by the RIPE community. The IETF standardized RPSL in [RFC2622] and [RFC4012]. Since then, it has been modified and extensively enhanced in the Regional Internet Registry (RIR) community, mostly by RIPE [RIPE-DB]. At the time of publication, change control of RPSL effectively lies in the operator community.
元の RPSL 仕様 ([RIPE81]、[RIPE181]、およびその後の文書の痕跡) は RIPE コミュニティによって作成されました。IETF は [RFC2622] および [RFC4012] で RPSL を標準化しました。それ以来、地域インターネット レジストリ (RIR) コミュニティで、主に RIPE [RIPE-DB] によって修正され、広範囲に拡張されてきました。発行時点では、RPSL の変更管理は事実上、オペレータ コミュニティにあります。
The RPSL, and [RFC2725] and [RFC4012] used by the RIRs, specify the inetnum: database class. Each of these objects describes an IP address range and its attributes. The inetnum: objects form a hierarchy ordered on the address space.
RPSL、RIR によって使用される [RFC2725] および [RFC4012] は、inetnum: データベース クラスを指定します。これらの各オブジェクトは、IP アドレス範囲とその属性を記述します。inetnum: オブジェクトは、アドレス空間上で順序付けられた階層を形成します。
Ideally, RPSL would be augmented to define a new RPSL prefixlen: attribute in the inetnum: class. Absent implementation of the prefixlen: attribute in a particular RIR database, this document defines the syntax of a prefixlen remarks: attribute, which contains an HTTPS URL of a prefixlen file. The format of the inetnum: prefixlen remarks: attribute MUST be as in this example, "remarks: Prefixlen ", where the token "Prefixlen" MUST be case-sensitive, followed by a URL that will vary but that MUST refer only to a single prefixlen file.
理想的には、RPSL を拡張して、inetnum: クラスに新しい RPSL prefixlen: 属性を定義します。特定の RIR データベースには prefixlen: 属性が実装されていないため、この文書は prefixlen ファイルの HTTPS URL を含む prefixlen コメント: 属性の構文を定義します。inetnum: prefixlen 備考: 属性の形式は、この例のように「remarks: Prefixlen」でなければなりません。トークン「Prefixlen」は大文字と小文字を区別する必要があり、その後に URL が続きます。URL は異なりますが、単一の prefixlen ファイルのみを参照しなければなりません。
inetnum: 192.0.2.0/24 # example
remarks: Prefixlen https://example.com/prefixlen
While we leave global agreement of RPSL modification to the relevant parties, we specify that a proper prefixlen: attribute in the inetnum: class MUST be "prefixlen:" and MUST be followed by a single URL that will vary, but it MUST refer only to a single prefixlen file.
RPSL 変更に関する世界的な合意は関係者に委ねますが、inetnum: クラスの適切な prefixlen: 属性は「prefixlen:」でなければならず、その後に異なる単一の URL が続きなければなりませんが、単一の prefixlen ファイルのみを参照しなければなりません (MUST)。
inetnum: 192.0.2.0/24 # example
prefixlen: https://example.com/prefixlen
The URL uses HTTPS, so the Web Public Key Infrastructure (WebPKI) provides authentication, integrity, and confidentiality for the fetched prefixlen file. However, the WebPKI cannot provide authentication of IP address space assignment. In contrast, the RPKI (see [RFC6481]) can be used to authenticate IP space assignment; see optional authentication in Section 6.
URL は HTTPS を使用するため、Web 公開キー基盤 (WebPKI) は、フェッチされた prefixlen ファイルの認証、整合性、および機密性を提供します。ただし、WebPKI は IP アドレス空間の割り当ての認証を提供できません。対照的に、RPKI ([RFC6481] を参照) は IP 空間の割り当てを認証するために使用できます。セクション 6 のオプションの認証を参照してください。
Until all producers of inetnum: objects, i.e., the RIRs, state that they have migrated to supporting the prefixlen: attribute, consumers looking at inetnum: objects to find prefixlen URLs MUST be able to consume the remarks: and prefixlen: forms.
inetnum: オブジェクトのすべてのプロデューサー、つまり RIR が prefixlen: 属性のサポートに移行したと宣言するまで、prefixlen URL を見つけるために inetnum: オブジェクトを参照するコンシューマーは、remarks: および prefixlen: フォームを使用できなければなりません (MUST)。
The migration not only implies that the RIRs support the prefixlen: attribute, but that all registrants have migrated any inetnum: objects from remarks: to prefixlen:.
この移行は、RIR が prefixlen: 属性をサポートするだけでなく、すべての登録者がすべての inetnum: オブジェクトを 備考: から prefixlen: に移行したことを意味します。
Any particular inetnum: object SHOULD have, at most, one prefixlen reference, whether a remarks: or prefixlen: attribute when it is implemented. As the remarks: form cannot be formally checked by the RIR, this cannot be formally enforced. A prefixlen: attribute is preferred, of course, if the RIR supports it. If there is more than one type of attribute in the inetnum: object, the prefixlen: attribute MUST be prioritized over the remarks: attribute.
特定の inetnum: オブジェクトは、実装時に、remarks: 属性であっても prefixlen: 属性であっても、最大 1 つの prefixlen 参照を持つ必要があります (SHOULD)。注: RIR がフォームを正式にチェックできないため、これを正式に強制することはできません。もちろん、RIR がサポートしている場合は、prefixlen: 属性が推奨されます。inetnum: オブジェクトに複数のタイプの属性がある場合は、prefixlen: 属性が 備考: 属性よりも優先されなければなりません (MUST)。
For inetnum: instances covering the same address range, a signed prefixlen file MUST be preferred over an unsigned file. If none are signed, or more than one is signed, the (signed) inetnum: with the most recent last-modified: attribute MUST be preferred.
同じアドレス範囲をカバーする inetnum: インスタンスの場合、署名された prefixlen ファイルが署名されていないファイルよりも優先されなければなりません (MUST)。署名されていない場合、または複数が署名されている場合は、最新の last-modified: 属性を持つ (署名された) inetnum: が優先されなければなりません (MUST)。
If a prefixlen file describes multiple disjoint ranges of IP address space, there are likely to be prefixlen references from multiple inetnum: objects. Files with prefixlen references from multiple inetnum: objects are not compatible with the signing procedure in Section 6.
prefixlen ファイルが IP アドレス空間の複数の互いに素な範囲を記述している場合、複数の inetnum: オブジェクトから prefixlen 参照が存在する可能性があります。複数の inetnum: オブジェクトからの prefixlen 参照を持つファイルは、セクション 6 の署名手順と互換性がありません。
An unsigned, and only an unsigned, prefixlen file MAY be referenced by multiple inetnum: instances and MAY contain prefixes from more than one registry.
署名されていない、または署名されていない prefixlen ファイルのみが複数の inetnum: インスタンスによって参照される場合があり、複数のレジストリのプレフィックスを含めることができます。
When fetching, the most specific inetnum: object with a prefixlen reference MUST be used.
フェッチするときは、prefixlen 参照を持つ最も具体的な inetnum: オブジェクトを使用する必要があります。
It is significant that prefixlen data may have finer granularity than the inetnum: that refers to them. For example, an inetnum: object for an address range P could refer to a prefixlen file in which P has been subdivided into one or more longer prefixes.
prefixlen データがそれらを参照する inetnum: よりも細かい粒度を持つ可能性があることは重要です。たとえば、アドレス範囲 P の inetnum: オブジェクトは、P が 1 つ以上の長いプレフィックスに再分割された prefixlen ファイルを参照できます。
Backward-compatibility issues regarding the implementation of new RPSL attributes are covered by Section 10.2 of [RFC2622].
新しい RPSL 属性の実装に関する下位互換性の問題は、[RFC2622] のセクション 10.2 でカバーされています。
This document provides a guideline for how interested parties should fetch and read prefixlen files.
この文書は、関係者が prefixlen ファイルを取得して読み取る方法についてのガイドラインを提供します。
To minimize the load on RIRs' WHOIS [RFC3912] services, the RIR's bulk-download services SHOULD be used for large-scale access to gather inetnum: instances with prefixlen references. This uses efficient bulk access instead of fetching via brute-force search through the IP space. When using bulk-download services, they MUST be accessed using HTTPS [RFC9110]; FTP [RFC0959] MUST NOT be used.
RIR の WHOIS [RFC3912] サービスの負荷を最小限に抑えるために、prefixlen 参照を持つ inetnum: インスタンスを収集するための大規模アクセスには RIR の一括ダウンロード サービスを使用する必要があります (SHOULD)。これは、IP 空間を介したブルート フォース検索によるフェッチの代わりに、効率的な一括アクセスを使用します。一括ダウンロード サービスを使用する場合、HTTPS [RFC9110] を使用してアクセスしなければなりません。FTP [RFC0959] は使用してはなりません。
On the other hand, RIRs are converging on RDAP support, which includes geofeed data; see [RFC9877]. It is hoped that this will be extended, or generalized, to support prefixlen data.
一方で、RIR はジオフィード データを含む RDAP サポートに集約されています。[RFC9877]を参照してください。これが prefixlen データをサポートするように拡張または一般化されることが期待されています。
When reading data from a prefixlen file, one MUST ignore data outside the referring inetnum: object's address range. This is to avoid importing data about ranges not under the control of the operator. Note that signed files MUST only contain prefixes within the referring inetnum:'s range as mandated in Section 6.
prefixlen ファイルからデータを読み取るときは、参照している inetnum: オブジェクトのアドレス範囲外のデータを無視しなければなりません (MUST)。これは、オペレーターの制御下にない範囲に関するデータがインポートされるのを避けるためです。署名されたファイルには、セクション 6 で義務付けられている、参照している inetnum: の範囲内のプレフィックスのみが含まれなければならないことに注意してください。
If prefixlen files are fetched, other prefix length information from the inetnum: MUST be ignored.
prefixlen ファイルがフェッチされる場合、inetnum: からの他のプレフィックス長情報は無視されなければなりません (MUST)。
Given an address range of interest, the most specific inetnum: object with a prefixlen reference MUST be used to fetch the prefixlen file. For example, if the fetching party finds the following inetnum: objects:
対象のアドレス範囲が与えられた場合、prefixlen ファイルをフェッチするには、prefixlen 参照を持つ最も具体的な inetnum: オブジェクトを使用しなければなりません (MUST)。たとえば、取得側が次の inetnum: オブジェクトを見つけた場合:
inetnum: 192.0.2.0/24 # example
remarks: Prefixlen https://example.com/prefixlen_1
inetnum: 192.0.2.0/26 # example
remarks: Prefixlen https://example.com/prefixlen_2
An application looking for prefixlen data for 192.0.2.0/29 MUST ignore data in prefixlen_1 because 192.0.2.0/29 is within the more specific 192.0.2.0/26 inetnum: covering that address range and that inetnum: does have a prefixlen reference.
192.0.2.0/29 の prefixlen データを探しているアプリケーションは、prefixlen_1 のデータを無視しなければなりません。192.0.2.0/29 はより具体的な 192.0.2.0/26 inetnum: 内にあり、そのアドレス範囲をカバーしており、inetnum: には prefixlen 参照があるからです。
The question arises whether a particular prefixlen data set is valid, i.e., is authorized by the "owner" of the IP address space and is authoritative in some sense. The inetnum: that points to the prefixlen file provides some assurance. Unfortunately, the RPSL in some repositories is weakly authenticated at best. An approach where RPSL was signed per the guidance in [RFC7909] would be good, except it would have to be deployed by all RPSL registries, and there is a fair number of them.
特定の prefixlen データ セットが有効であるかどうか、つまり、IP アドレス空間の「所有者」によって認可されており、ある意味で権威があるかどうかという疑問が生じます。prefixlen ファイルを指す inetnum: は、ある程度の保証を提供します。残念ながら、一部のリポジトリの RPSL は、せいぜい認証が不十分です。[RFC7909] のガイダンスに従って RPSL が署名されたアプローチは良いでしょう。ただし、すべての RPSL レジストリによって導入される必要があり、かなりの数の RPSL レジストリが存在します。
The remainder of this section specifies an optional authenticator for the prefixlen data set that follows the Signed Object Template for the Resource Public Key Infrastructure (RPKI) [RFC6488].
このセクションの残りの部分では、リソース公開鍵基盤 (RPKI) [RFC6488] の署名付きオブジェクト テンプレートに従う prefixlen データ セットのオプションの認証子を指定します。
A single optional authenticator MAY be appended to a prefixlen file. It is a digest of the main body of the file signed by the private key of the relevant RPKI certificate for a covering address range. The following format bundles the relevant RPKI certificate with a signature over the prefixlen text.
単一のオプションの認証子を prefixlen ファイルに追加してもよい (MAY)。これは、対象となるアドレス範囲の関連する RPKI 証明書の秘密キーによって署名されたファイル本体のダイジェストです。次の形式は、prefixlen テキスト上の署名を使用して、関連する RPKI 証明書をバンドルします。
The canonicalization procedure converts the data from their internal character representation to the UTF-8 character encoding (see [RFC3629]), and the <CRLF> sequence MUST be used to denote the end of each line of text. A blank line is represented solely by the <CRLF> sequence. For robustness, any non-printable characters MUST NOT be changed by canonicalization. Trailing blank lines MUST NOT appear at the end of the file. That is, the file must not end with multiple consecutive <CRLF> sequences. Any end-of-file marker used by an operating system is not considered to be part of the file content. When present, such end-of-file markers MUST NOT be covered by the digital signature.
正規化手順は、データを内部文字表現から UTF-8 文字エンコーディング ([RFC3629] を参照) に変換し、テキストの各行の終わりを示すために <CRLF> シーケンスを使用しなければなりません (MUST)。空白行は <CRLF> シーケンスのみで表されます。堅牢性を高めるため、印刷不可能な文字は正規化によって変更してはなりません (MUST NOT)。ファイルの最後に末尾の空行を含めてはなりません。つまり、ファイルは複数の連続する <CRLF> シーケンスで終わってはなりません。オペレーティング システムで使用されるファイルの終わりマーカーは、ファイル コンテンツの一部とは見なされません。このようなファイル終了マーカーが存在する場合、デジタル署名でカバーしてはなりません (MUST NOT)。
If the authenticator is not in the canonical form described above, then the authenticator is invalid, which means that it is treated in the same manner as an unauthenticated prefixlen data.
認証子が上記の正規形式でない場合、認証子は無効です。これは、認証されていない prefixlen データと同じように扱われることを意味します。
Borrowing detached signatures from [RFC5485], after file canonicalization, the CMS (see [RFC5652]) is used to create a detached DER-encoded signature that is then Base64-encoded with padding (as defined in Section 4 of [RFC4648]) and line wrapped to 72 or fewer characters. The same digest algorithm MUST be used for calculating the message digest of the content being signed, which is the prefixlen file, and for calculating the message digest on the SignerInfo SignedAttributes (see [RFC8933]). The message digest algorithm identifier MUST appear in both the CMS SignedData DigestAlgorithmIdentifiers and the SignerInfo DigestAlgorithmIdentifier [RFC5652]. The RPKI certificate covering the prefixlen inetnum: object's address range is included in the CMS SignedData certificates field [RFC5652].
[RFC5485] から切り離された署名を借用し、ファイルの正規化後、CMS ([RFC5652] を参照) を使用して切り離された DER エンコードされた署名が作成され、その後、([RFC4648] のセクション 4 で定義されている) パディングを付けて Base64 エンコードされ、72 文字以下に行が折り返されます。署名されるコンテンツ (prefixlen ファイル) のメッセージ ダイジェストの計算と、SignerInfo SignedAttributes のメッセージ ダイジェストの計算には、同じダイジェスト アルゴリズムを使用しなければなりません ([RFC8933] を参照)。メッセージ ダイジェスト アルゴリズム識別子は、CMS SignedData DigestAlgorithmIdentifiers と SignerInfo DigestAlgorithmIdentifier [RFC5652] の両方に出現しなければなりません (MUST)。prefixlen inetnum: オブジェクトのアドレス範囲をカバーする RPKI 証明書は、CMS SignedData 証明書フィールド [RFC5652] に含まれています。
The address range of the signing certificate MUST cover all prefixes in the signed prefixlen file. If not, the authenticator is invalid.
署名証明書のアドレス範囲は、署名された prefixlen ファイル内のすべてのプレフィックスをカバーしなければなりません。そうでない場合、認証子は無効です。
The signing certificate MUST NOT include the Autonomous System Identifier Delegation certificate extension [RFC3779]. If it is present, the authenticator is invalid.
署名証明書には、Autonomous System Identifier Delegation 証明書拡張子 [RFC3779] を含めてはなりません (MUST NOT)。存在する場合、認証子は無効です。
As with many other RPKI signed objects, the IP Address Delegation certificate extension MUST NOT use the "inherit" capability defined in Section 2.2.3.5 of [RFC3779]. If "inherit" is used, the authenticator is invalid.
他の多くの RPKI 署名付きオブジェクトと同様に、IP アドレス委任証明書拡張機能は [RFC3779] のセクション 2.2.3.5 で定義されている「継承」機能を使用してはなりません (MUST NOT)。「inherit」を使用した場合、認証子は無効になります。
An IP Address Delegation certificate extension using "inherit" would complicate processing. The implementation would have to build the certification path from the end-entity to the trust anchor and then validate the path from the trust anchor to the end-entity. Then, the parameter would have to be remembered when the validated public key was used to validate a signature on a CMS object. Having to remember things from certification-path validation for use with CMS object processing would be quite complex and error-prone. And, the certificates do not get that much bigger by repeating the information.
「inherit」を使用した IP アドレス委任証明書の拡張は処理を複雑にする可能性があります。実装では、エンドエンティティからトラスト アンカーへの認証パスを構築し、その後、トラスト アンカーからエンドエンティティへのパスを検証する必要があります。次に、検証された公開キーを使用して CMS オブジェクトの署名を検証するときに、パラメータを記憶する必要があります。CMS オブジェクト処理で使用するために証明書パス検証の内容を覚えておく必要があるのは、非常に複雑でエラーが発生しやすくなります。また、情報を繰り返しても証明書はそれほど大きくなりません。
An address range A "covers" address range B if the range of B is identical to or a subset of A. "Address range" is used here because inetnum: objects and RPKI certificates need not align on Classless Inter-Domain Routing (CIDR) [RFC4632] prefix boundaries, while those of the lines in a prefixlen file do align.
B の範囲が A と同一または A のサブセットである場合、アドレス範囲 A はアドレス範囲 B を「カバー」します。ここで「アドレス範囲」が使用されているのは、inetnum: オブジェクトと RPKI 証明書はクラスレス ドメイン間ルーティング (CIDR) [RFC4632] のプレフィックス境界で位置合わせする必要がないのに対し、prefixlen ファイル内の行のプレフィックス境界では位置合わせするためです。
The Certification Authority (CA) MUST generate a new End Entity (EE) certificate for each signing of a particular prefixlen file. The private key associated with the EE certificate SHOULD sign only one prefixlen file. That is, a new key pair SHOULD be generated for each new version of a particular prefixlen file. When the EE certificate is used in this fashion, it is termed a "one-time-use" EE certificate (see Section 3 of [RFC6487]).
認証局 (CA) は、特定の prefixlen ファイルの署名ごとに新しいエンドエンティティ (EE) 証明書を生成しなければなりません (MUST)。EE 証明書に関連付けられた秘密鍵は、1 つの prefixlen ファイルのみに署名する必要があります (SHOULD)。つまり、特定の prefixlen ファイルの新しいバージョンごとに新しい鍵ペアを生成する必要があります (SHOULD)。EE 証明書がこの方法で使用される場合、それは「使い捨て」EE 証明書と呼ばれます ([RFC6487] のセクション 3 を参照)。
On the other hand, verifying the signature has no similar complexity; the certificate, which is validated in the RPKI, contains the needed public key. The RPKI trust anchors for the RIRs are available to the party performing signature validation. Validation of the CMS signature over the prefixlen file involves:
一方、署名の検証には同様の複雑さはありません。RPKI で検証される証明書には、必要な公開キーが含まれています。RIR の RPKI トラスト アンカーは、署名検証を実行する当事者が利用できます。prefixlen ファイルに対する CMS 署名の検証には、以下が含まれます。
1. Obtaining the signer's certificate from the CMS SignedData CertificateSet [RFC5652]. The certificate SubjectKeyIdentifier extension [RFC5280] MUST match the SubjectKeyIdentifier in the CMS SignerInfo SignerIdentifier [RFC5652]. If the key identifiers do not match, then validation MUST fail.
1. CMS SignedData CertificateSet [RFC5652] から署名者の証明書を取得します。証明書の SubjectKeyIdentifier 拡張子 [RFC5280] は、CMS SignerInfo SignerIdentifier [RFC5652] の SubjectKeyIdentifier と一致しなければなりません (MUST)。鍵識別子が一致しない場合、検証は失敗しなければなりません(MUST)。
2. Validating the signer's certificate MUST ensure that it is part of the current manifest per [RFC9286] and that all resources are covered by the RPKI certificate.
2. 署名者の証明書を検証する場合、それが [RFC9286] に従って現在のマニフェストの一部であること、およびすべてのリソースが RPKI 証明書によってカバーされていることを確認しなければなりません (MUST)。
3. Constructing and validating the certification path for the signer's certificate. All of the needed certificates are expected to be readily available in the RPKI repository. The certification path MUST be valid according to the validation algorithm in [RFC5280] and the additional checks specified in [RFC3779] associated with the IP Address Delegation certificate extension. If certification path validation is unsuccessful, then validation MUST fail.
3. 署名者の証明書の証明書パスを構築および検証します。必要な証明書はすべて RPKI リポジトリですぐに利用できるようになります。証明書パスは、[RFC5280] の検証アルゴリズムおよび IP アドレス委任証明書拡張に関連する [RFC3779] で指定された追加チェックに従って有効でなければなりません (MUST)。証明書パスの検証が失敗した場合、検証は失敗しなければなりません。
4. Validating the CMS SignedData as specified in [RFC5652] using the public key from the validated signer's certificate. If the signature validation is unsuccessful, then validation MUST fail.
4. 検証された署名者の証明書の公開鍵を使用して、[RFC5652] で指定されているように CMS SignedData を検証します。署名の検証が失敗した場合、検証は失敗しなければなりません。
5. Confirming that the eContentType Object IDentifier (OID) is id-ct-prefixlenCSVwithCRLF (1.2.840.113549.1.9.16.1.57). This OID MUST appear within both the eContentType in the encapContentInfo object and the ContentType signed attribute in the signerInfo object (see [RFC6488]).
5. eContentType オブジェクト IDentifier (OID) が id-ct-prefixlenCSVwithCRLF (1.2.840.113549.1.9.16.1.57) であることを確認します。この OID は、encapContentInfo オブジェクトの eContentType と、signerInfo オブジェクトの ContentType signed 属性の両方内に存在しなければなりません ([RFC6488] を参照)。
6. Verifying that the IP Address Delegation certificate extension [RFC3779] covers all of the address ranges of the prefixlen file. If all of the address ranges are not covered, then validation MUST fail.
6. IP アドレス委任証明書拡張子 [RFC3779] が prefixlen ファイルのすべてのアドレス範囲をカバーしていることを確認します。すべてのアドレス範囲がカバーされていない場合、検証は失敗しなければなりません。
All of the above steps MUST be successful to consider the prefixlen file signature to be valid.
prefixlen ファイルの署名が有効であるとみなされるには、上記の手順がすべて成功する必要があります。
The authenticator MUST be hidden as a series of "#" comments at the end of the prefixlen file. The following simple example is cryptographically incorrect:
認証子は、prefixlen ファイルの末尾にある一連の "#" コメントとして非表示にしなければなりません (MUST)。次の単純な例は、暗号的に正しくありません。
# RPKI Signature: 192.0.2.0 - 192.0.2.255
# MIIGlwYJKoZIhvcNAQcCoIIGiDCCBoQCAQMxDTALBglghkgBZQMEAgEwDQYLKoZ
# IhvcNAQkQAS+gggSxMIIErTCCA5WgAwIBAgIUJ605QIPX8rW5m4Zwx3WyuW7hZu
...
# imwYkXpiMxw44EZqDjl36MiWsRDLdgoijBBcGbibwyAfGeR46k5raZCGvxG+4xa
# O8PDTxTfIYwAnBjRBKAqAZ7yX5xHfm58jUXsZJ7Ileq1S7G6Kk=
# End Signature: 192.0.2.0 - 192.0.2.255
A correct and full example is in Appendix A.
正確な完全な例は付録 A にあります。
The CMS signature does not cover the signature lines.
CMS 署名は署名欄をカバーしません。
The bracketing "# RPKI Signature:" and "# End Signature:" MUST be present as shown in the example. The RPKI Signature's IP address range MUST match that of the prefixlen URL in the inetnum: that points to the prefixlen file.
例に示すように、括弧「# RPKI Signature:」と「# End Signature:」が存在する必要があります。RPKI 署名の IP アドレス範囲は、prefixlen ファイルを指す inetnum: 内の prefixlen URL の範囲と一致する必要があります。
To create the needed inetnum: objects, an operator wishing to register the location of their prefixlen file needs to coordinate with their Regional Internet Registry (RIR) or National Internet Registry (NIR) and/or any provider Local Internet Registry (LIR) that has assigned address ranges to them. RIRs/NIRs provide means for assignees to create and maintain inetnum: objects. They also provide means of assigning or sub-assigning IP address resources and allowing the assignee to create WHOIS data, including inetnum: objects, thereby referring to prefixlen files.
必要な inetnum: オブジェクトを作成するには、prefixlen ファイルの場所を登録したいオペレーターは、地域インターネット レジストリ (RIR) またはナショナル インターネット レジストリ (NIR)、および/またはアドレス範囲を割り当てているプロバイダーのローカル インターネット レジストリ (LIR) と調整する必要があります。RIR/NIR は、譲受人が inetnum: オブジェクトを作成および維持するための手段を提供します。また、IP アドレス リソースを割り当てまたはサブ割り当てする手段も提供し、譲受人が inetnum: オブジェクトを含む WHOIS データを作成して、prefixlen ファイルを参照できるようにします。
The prefixlen files MUST be published via and fetched using HTTPS [RFC9110].
prefixlen ファイルは、HTTPS [RFC9110] 経由で公開および取得しなければなりません (MUST)。
When using data from a prefixlen file, one MUST ignore data outside the referring inetnum: object's inetnum: attribute address range.
prefixlen ファイルのデータを使用する場合、参照している inetnum: オブジェクトの inetnum: 属性アドレス範囲外のデータを無視しなければなりません (MUST)。
If and only if the prefixlen file is not signed per Section 6, then multiple inetnum: objects MAY refer to the same prefixlen file, and the consumer MUST use only lines in the prefixlen file where the prefix is covered by the address range of the inetnum: object's URL it has followed.
prefixlen ファイルがセクション 6 に従って署名されていない場合に限り、複数の inetnum: オブジェクトは同じ prefixlen ファイルを参照してもよく、消費者は、prefixlen ファイル内で、そのプレフィックスが従う inetnum: オブジェクトの URL のアドレス範囲に含まれる行のみを使用しなければなりません (MUST)。
If the prefixlen file is signed, and the signer's certificate is replaced with another certificate, then the signature in the prefixlen file MUST be updated so that it can be properly validated with the new certificate.
prefixlen ファイルが署名されており、署名者の証明書が別の証明書に置き換えられた場合、新しい証明書で適切に検証できるように、prefixlen ファイル内の署名を更新しなければなりません (MUST)。
It is good key hygiene to use a given key for only one purpose. To dedicate a signing private key for signing a prefixlen file, an RPKI Certification Authority (CA) may issue a subordinate certificate exclusively for the purpose shown in Appendix B.
特定のキーを 1 つの目的のみに使用することは、キーの衛生上良好です。prefixlen ファイルの署名専用の署名秘密鍵を提供するために、RPKI 認証局 (CA) は、付録 B に示す目的専用の下位証明書を発行することがあります。
Harvesting and publishing aggregated prefixlen data outside of the RPSL model SHOULD be avoided: it can have the effect that more specifics from one aggregatee could undesirably affect the less specifics of a different aggregatee. Moreover, publishing aggregated prefixlen data prevents the reader of the data to perform the checks described in Sections 5 and 6.
RPSL モデルの外部で集約された prefixlen データを収集および公開することは避けるべきです (SHOULD)。これは、ある集約先からのより詳細なデータが、別の集約先のより詳細な詳細に望ましくない影響を与える可能性があります。さらに、集約された prefixlen データを公開すると、データの読み取り者はセクション 5 と 6 で説明されているチェックを実行できなくなります。
An anonymized version of bulk WHOIS data is openly available for all RIRs except ARIN, which requires an authorization. However, for users without such authorization, the same result can be achieved with extra RDAP effort. There is open-source code to pass over such data across all RIRs, collect all prefixlen references, and process them [PREFIXLEN-FINDER].
バルク WHOIS データの匿名化バージョンは、認可が必要な ARIN を除くすべての RIR で公開されています。ただし、そのような権限を持たないユーザーの場合は、追加の RDAP 作業を行うことで同じ結果が得られます。このようなデータをすべての RIR に渡し、すべての prefixlen 参照を収集し、それらを処理するオープンソース コードがあります [PREFIXLEN-FINDER]。
To prevent undue load on RPSL and prefixlen servers, entity-fetching prefixlen data using these mechanisms MUST NOT do frequent real-time lookups. prefixlen servers SHOULD send an HTTP Expires header [RFC9111] to signal when prefixlen data should be refetched. If an HTTP Expires or Cache-Control header is present, it MUST be honored by clients. As the data change very infrequently, in the absence of such an HTTP header signal, collectors SHOULD NOT fetch more frequently than weekly. It would be polite not to fetch at magic times such as midnight UTC, the first of the month, etc., because too many others are likely to do the same.
RPSL および prefixlen サーバーへの過度の負荷を防ぐために、これらのメカニズムを使用して prefixlen データを取得するエンティティは、頻繁にリアルタイム ルックアップを実行してはなりません (MUST NOT)。prefixlen サーバーは、prefixlen データをいつ再フェッチすべきかを知らせるために HTTP Expires ヘッダー [RFC9111] を送信すべきである (SHOULD)。HTTP Expires または Cache-Control ヘッダーが存在する場合、クライアントはそれを受け入れなければなりません (MUST)。データの変更は非常にまれであるため、そのような HTTP ヘッダー信号がない場合、コレクターは毎週よりも頻繁にフェッチすべきではありません (SHOULD NOT)。他の多くの人が同じことをする可能性が高いため、UTC の午前 0 時や月の 1 日などの魔法の時間には取得しないのが礼儀です。
As of November 2025, the prefixlen: attribute in inetnum objects has been implemented by the RIPE NCC database.
2025 年 11 月の時点で、inetnum オブジェクトの prefixlen: 属性が RIPE NCC データベースによって実装されました。
Registrants in databases that do not yet support the prefixlen: attribute are using the remarks:, or equivalent, attribute.
prefixlen: 属性をまだサポートしていないデータベースの登録者は、remarks: または同等の属性を使用しています。
At the time of publication, the registry data published by ARIN are not the same RPSL as that of the other registries (see [RFC7485] for a survey of the WHOIS Tower of Babel); therefore, when fetching via bulk WHOIS over HTTPS [RFC9110], WHOIS [RFC3912], the Registration Data Access Protocol (RDAP) [RFC9083], etc., the "NetRange" or "ip network" attribute/key must be treated as "inetnum" and the "Comment" attribute must be treated as "remarks".
発行時点では、ARIN によって発行されたレジストリ データは、他のレジストリの RPSL と同じ RPSL ではありません (WHOIS バベルの塔の調査については [RFC7485] を参照)。したがって、HTTPS [RFC9110]、WHOIS [RFC3912]、登録データ アクセス プロトコル (RDAP) [RFC9083] などを介してバルク WHOIS を取得する場合、「NetRange」または「ip network」属性/キーは「inetnum」として扱われ、「Comment」属性は「remarks」として扱われなければなりません。
The consumer of prefixlen data SHOULD fetch and process the data themselves. Importing datasets produced and/or processed by a third party places significant trust in the third party.
prefixlen データのコンシューマは、データ自体をフェッチして処理する必要があります (SHOULD)。サードパーティによって生成および/または処理されたデータセットをインポートすると、サードパーティに大きな信頼が置かれます。
As mentioned in Section 6, some RPSL repositories have weak, if any, authentication. This allows spoofing of inetnum: objects pointing to malicious prefixlen files. Section 6 suggests an unfortunately complex method for stronger authentication based on the RPKI.
セクション 6 で述べたように、一部の RPSL リポジトリには、認証があったとしても弱いものがあります。これにより、悪意のある prefixlen ファイルを指す inetnum: オブジェクトのなりすましが可能になります。セクション 6 では、残念ながら RPKI に基づく強力な認証のための複雑な方法を提案しています。
For example, if an inetnum: for a wide address range (e.g., a /16) points to an RPKI-signed prefixlen file, a customer or attacker could publish an unsigned equal or narrower (e.g., a /24) inetnum: in a WHOIS registry that has weak authorization, abusing the rule that the most-specific inetnum: object with a prefixlen reference MUST be used.
たとえば、広いアドレス範囲 (/16 など) の inetnum: が RPKI 署名付き prefixlen ファイルを指している場合、顧客または攻撃者は、prefixlen 参照を持つ最も具体的な inetnum: オブジェクトを使用しなければならない (MUST) というルールを悪用して、弱い権限を持つ WHOIS レジストリに署名なしの同等またはより狭い (/24 など) inetnum: を公開する可能性があります。
If signatures were mandatory, the above attack would be stymied, but, of course, that is not happening anytime soon.
署名が必須であれば、上記の攻撃は阻止されるでしょうが、もちろん、それがすぐに起こるわけではありません。
The RPSL providers have had to throttle fetching from their servers due to too-frequent queries. Usually, they throttle by the querying IP address or block. Similar defenses will likely need to be deployed by prefixlen file servers.
RPSL プロバイダーは、クエリが頻繁すぎるため、サーバーからの取得を調整する必要がありました。通常、クエリを実行する IP アドレスまたはブロックによって調整されます。おそらく、prefixlen ファイル サーバーでも同様の防御を展開する必要があるでしょう。
As prefixlen files disclose which parts of a prefix belong to an end-site, attackers could better focus DDoS traffic towards a website hosted by a cloud provider by overwhelming only IP addresses from that specific end-site. Furthermore, information collected from prefixlen files could allow for more targeted IPv6 scanning/ reconnaissance, where scanners (be it benevolent or malicious ones) can target specific sub-prefixes that they deem more interesting.
prefixlen ファイルは、プレフィックスのどの部分がエンドサイトに属しているかを明らかにするため、攻撃者は、その特定のエンドサイトからの IP アドレスのみを圧倒することで、クラウド プロバイダーがホストする Web サイトに DDoS トラフィックを集中させることができます。さらに、prefixlen ファイルから収集された情報により、よりターゲットを絞った IPv6 スキャン/偵察が可能になり、スキャナー (善意のスキャナーまたは悪意のあるスキャナー) が、より興味深いと判断した特定のサブプレフィックスをターゲットにすることができます。
It is possible for publishers of prefixlen data to specify incorrect prefixlen data about their prefixes. This could be done either by mistake or on purpose. One example could be a malicious network operator trying to overflow the storage of databases that consume prefixlen data by setting a very specific prefix size (e.g., /128 for large blocks of IPv6 address space). In another example, a network operator might annotate their prefixes as using CGN to go around legitimate blocking or throttling. A third example would be a malicious provider publishing fake small allocations, so on receipt of complaints, they could plausibly respond by saying that they stopped the actions of a bad customer and move their malicious activities to a different prefix. As a fourth example, network operators could overwhelm consumers by publishing prefixlen files containing millions or even billions of entries (e.g., enumerating all possible /96 subprefixes of a /32 IPv6 prefix). Therefore, care should be taken when processing prefixlen data, as with any external third-party data.
prefixlen データの発行者が、プレフィックスに関する誤った prefixlen データを指定する可能性があります。これは、誤ってまたは意図的に行われた可能性があります。1 つの例としては、悪意のあるネットワーク オペレータが、非常に具体的なプレフィックス サイズ (IPv6 アドレス空間の大きなブロックの場合は /128) を設定することで、prefixlen データを消費するデータベースのストレージをオーバーフローさせようとする場合が考えられます。別の例では、ネットワーク オペレータは、正当なブロッキングまたはスロットリングを回避するために CGN を使用しているという注釈をプレフィックスに付ける可能性があります。3 番目の例は、悪意のあるプロバイダーが偽の少額割り当てを公開しているため、苦情を受け取ると、悪意のある顧客の行動を停止し、悪意のあるアクティビティを別のプレフィックスに移動したともっともらしく応答する可能性があります。4 番目の例として、ネットワーク オペレータは、数百万、場合によっては数十億のエントリを含む prefixlen ファイルを公開することによって、消費者を圧倒する可能性があります (たとえば、/32 IPv6 プレフィックスのすべての可能な /96 サブプレフィックスを列挙する)。したがって、外部サードパーティ データと同様に、prefixlen データを処理するときは注意が必要です。
IANA has registered an object identifier for one ASN.1 Module in the "SMI Security for S/MIME Module Identifier (1.2.840.113549.1.9.16.0)" registry as follows:
IANA は、1 つの ASN.1 モジュールのオブジェクト識別子を「SMI Security for S/MIME Module Identifier (1.2.840.113549.1.9.16.0)」レジストリに次のように登録しました。
+=======================+============================+===========+
| Description | OID | Reference |
+=======================+============================+===========+
| id-mod-prefixlen-2025 | 1.2.840.113549.1.9.16.0.87 | RFC 9977 |
+-----------------------+----------------------------+-----------+
Table 1
IANA has registered an object identifier for one content type in the "SMI Security for S/MIME CMS Content Type (1.2.840.113549.1.9.16.1)" registry as follows:
IANA は、次のように、1 つのコンテンツ タイプのオブジェクト識別子を「SMI Security for S/MIME CMS Content Type (1.2.840.113549.1.9.16.1)」レジストリに登録しました。
+==========================+============================+=========+
|Description | OID |Reference|
+==========================+============================+=========+
|id-ct-prefixlenCSVwithCRLF| 1.2.840.113549.1.9.16.1.57 |RFC 9977 |
+--------------------------+----------------------------+---------+
Table 2
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119,
DOI 10.17487/RFC2119, March 1997,
<https://www.rfc-editor.org/info/rfc2119>.
[RFC2622] Alaettinoglu, C., Villamizar, C., Gerich, E., Kessens, D.,
Meyer, D., Bates, T., Karrenberg, D., and M. Terpstra,
"Routing Policy Specification Language (RPSL)", RFC 2622,
DOI 10.17487/RFC2622, June 1999,
<https://www.rfc-editor.org/info/rfc2622>.
[RFC2725] Villamizar, C., Alaettinoglu, C., Meyer, D., and S.
Murphy, "Routing Policy System Security", RFC 2725,
DOI 10.17487/RFC2725, December 1999,
<https://www.rfc-editor.org/info/rfc2725>.
[RFC3629] Yergeau, F., "UTF-8, a transformation format of ISO
10646", STD 63, RFC 3629, DOI 10.17487/RFC3629, November
2003, <https://www.rfc-editor.org/info/rfc3629>.
[RFC3779] Lynn, C., Kent, S., and K. Seo, "X.509 Extensions for IP
Addresses and AS Identifiers", RFC 3779,
DOI 10.17487/RFC3779, June 2004,
<https://www.rfc-editor.org/info/rfc3779>.
[RFC4012] Blunk, L., Damas, J., Parent, F., and A. Robachevsky,
"Routing Policy Specification Language next generation
(RPSLng)", RFC 4012, DOI 10.17487/RFC4012, March 2005,
<https://www.rfc-editor.org/info/rfc4012>.
[RFC4180] Shafranovich, Y., "Common Format and MIME Type for Comma-
Separated Values (CSV) Files", RFC 4180,
DOI 10.17487/RFC4180, October 2005,
<https://www.rfc-editor.org/info/rfc4180>.
[RFC4648] Josefsson, S., "The Base16, Base32, and Base64 Data
Encodings", RFC 4648, DOI 10.17487/RFC4648, October 2006,
<https://www.rfc-editor.org/info/rfc4648>.
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S.,
Housley, R., and W. Polk, "Internet X.509 Public Key
Infrastructure Certificate and Certificate Revocation List
(CRL) Profile", RFC 5280, DOI 10.17487/RFC5280, May 2008,
<https://www.rfc-editor.org/info/rfc5280>.
[RFC5652] Housley, R., "Cryptographic Message Syntax (CMS)", STD 70,
RFC 5652, DOI 10.17487/RFC5652, September 2009,
<https://www.rfc-editor.org/info/rfc5652>.
[RFC6268] Schaad, J. and S. Turner, "Additional New ASN.1 Modules
for the Cryptographic Message Syntax (CMS) and the Public
Key Infrastructure Using X.509 (PKIX)", RFC 6268,
DOI 10.17487/RFC6268, July 2011,
<https://www.rfc-editor.org/info/rfc6268>.
[RFC6481] Huston, G., Loomans, R., and G. Michaelson, "A Profile for
Resource Certificate Repository Structure", RFC 6481,
DOI 10.17487/RFC6481, February 2012,
<https://www.rfc-editor.org/info/rfc6481>.
[RFC6487] Huston, G., Michaelson, G., and R. Loomans, "A Profile for
X.509 PKIX Resource Certificates", RFC 6487,
DOI 10.17487/RFC6487, February 2012,
<https://www.rfc-editor.org/info/rfc6487>.
[RFC6488] Lepinski, M., Chi, A., and S. Kent, "Signed Object
Template for the Resource Public Key Infrastructure
(RPKI)", RFC 6488, DOI 10.17487/RFC6488, February 2012,
<https://www.rfc-editor.org/info/rfc6488>.
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC
2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174,
May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8933] Housley, R., "Update to the Cryptographic Message Syntax
(CMS) for Algorithm Identifier Protection", RFC 8933,
DOI 10.17487/RFC8933, October 2020,
<https://www.rfc-editor.org/info/rfc8933>.
[RFC9110] Fielding, R., Ed., Nottingham, M., Ed., and J. Reschke,
Ed., "HTTP Semantics", STD 97, RFC 9110,
DOI 10.17487/RFC9110, June 2022,
<https://www.rfc-editor.org/info/rfc9110>.
[RFC9286] Austein, R., Huston, G., Kent, S., and M. Lepinski,
"Manifests for the Resource Public Key Infrastructure
(RPKI)", RFC 9286, DOI 10.17487/RFC9286, June 2022,
<https://www.rfc-editor.org/info/rfc9286>.
[RFC9839] Bray, T. and P. Hoffman, "Unicode Character Repertoire
Subsets", RFC 9839, DOI 10.17487/RFC9839, August 2025,
<https://www.rfc-editor.org/info/rfc9839>.
[X680] ITU-T, "Information technology - Abstract Syntax Notation
One (ASN.1): Specification of basic notation", ITU-T
Recommendation X.680, ISO/IEC 8824-1:2021, February 2021,
<https://www.itu.int/rec/T-REC-X.680>.
[DBOBJECTS]
RIPE NCC, "Descriptions of Primary Objects",
<https://docs.db.ripe.net/RPSL-Object-Types/Descriptions-
of-Primary-Objects>.
[PREFIXLEN-FINDER]
"prefixlen-finder", commit
5f446617796bc17d7e9495513537438ec26ab8e6, May 2026,
<https://github.com/massimocandela/prefixlen-finder>.
[RFC0959] Postel, J. and J. Reynolds, "File Transfer Protocol",
STD 9, RFC 959, DOI 10.17487/RFC0959, October 1985,
<https://www.rfc-editor.org/info/rfc959>.
[RFC3912] Daigle, L., "WHOIS Protocol Specification", RFC 3912,
DOI 10.17487/RFC3912, September 2004,
<https://www.rfc-editor.org/info/rfc3912>.
[RFC4632] Fuller, V. and T. Li, "Classless Inter-domain Routing
(CIDR): The Internet Address Assignment and Aggregation
Plan", BCP 122, RFC 4632, DOI 10.17487/RFC4632, August
2006, <https://www.rfc-editor.org/info/rfc4632>.
[RFC5485] Housley, R., "Digital Signatures on Internet-Draft
Documents", RFC 5485, DOI 10.17487/RFC5485, March 2009,
<https://www.rfc-editor.org/info/rfc5485>.
[RFC6598] Weil, J., Kuarsingh, V., Donley, C., Liljenstolpe, C., and
M. Azinger, "IANA-Reserved IPv4 Prefix for Shared Address
Space", BCP 153, RFC 6598, DOI 10.17487/RFC6598, April
2012, <https://www.rfc-editor.org/info/rfc6598>.
[RFC7485] Zhou, L., Kong, N., Shen, S., Sheng, S., and A. Servin,
"Inventory and Analysis of WHOIS Registration Objects",
RFC 7485, DOI 10.17487/RFC7485, March 2015,
<https://www.rfc-editor.org/info/rfc7485>.
[RFC7909] Kisteleki, R. and B. Haberman, "Securing Routing Policy
Specification Language (RPSL) Objects with Resource Public
Key Infrastructure (RPKI) Signatures", RFC 7909,
DOI 10.17487/RFC7909, June 2016,
<https://www.rfc-editor.org/info/rfc7909>.
[RFC8805] Kline, E., Duleba, K., Szamonek, Z., Moser, S., and W.
Kumari, "A Format for Self-Published IP Geolocation
Feeds", RFC 8805, DOI 10.17487/RFC8805, August 2020,
<https://www.rfc-editor.org/info/rfc8805>.
[RFC8981] Gont, F., Krishnan, S., Narten, T., and R. Draves,
"Temporary Address Extensions for Stateless Address
Autoconfiguration in IPv6", RFC 8981,
DOI 10.17487/RFC8981, February 2021,
<https://www.rfc-editor.org/info/rfc8981>.
[RFC9083] Hollenbeck, S. and A. Newton, "JSON Responses for the
Registration Data Access Protocol (RDAP)", STD 95,
RFC 9083, DOI 10.17487/RFC9083, June 2021,
<https://www.rfc-editor.org/info/rfc9083>.
[RFC9111] Fielding, R., Ed., Nottingham, M., Ed., and J. Reschke,
Ed., "HTTP Caching", STD 98, RFC 9111,
DOI 10.17487/RFC9111, June 2022,
<https://www.rfc-editor.org/info/rfc9111>.
[RFC9632] Bush, R., Candela, M., Kumari, W., and R. Housley,
"Finding and Using Geofeed Data", RFC 9632,
DOI 10.17487/RFC9632, August 2024,
<https://www.rfc-editor.org/info/rfc9632>.
[RFC9877] Singh, J. and T. Harrison, "Registration Data Access
Protocol (RDAP) Extension for Geofeed Data", RFC 9877,
DOI 10.17487/RFC9877, October 2025,
<https://www.rfc-editor.org/info/rfc9877>.
[RIPE-DB] RIPE NCC, "RIPE Database Documentation",
<https://www.ripe.net/manage-ips-and-
asns/db/support/documentation/ripe-database-
documentation>.
[RIPE181] Bates, T., Gerich, E., Joncheray, L., Jouanigot, J.,
Karrenberg, D., Terpstra, M., and J. Yu, "Representation
Of IP Routing Policies In A Routing Registry", RIPE-181,
October 1994,
<https://www.ripe.net/publications/docs/ripe-181>.
[RIPE81] Bates, T., Jouanigot, J., Karrenberg, D., Lothberg, P.,
and M. Terpstra, "Representation Of IP Routing Policies In
The RIPE Database", RIPE-081, February 1993,
<https://www.ripe.net/publications/docs/ripe-081>.
This appendix provides an ASN.1 Module [X680] for the CMS content type used for the prefixlen file.
この付録では、prefixlen ファイルに使用される CMS コンテンツ タイプの ASN.1 モジュール [X680] を提供します。
CONTENT-TYPE is imported from the ASN.1 Module in [RFC6268].
CONTENT-TYPE は、[RFC6268] の ASN.1 モジュールからインポートされます。
PrefixLengthsModule-2025
{ iso(1) member-body(2) us(840) rsadsi(113549)
pkcs(1) pkcs9(9) smime(16) mod(0) 87 }
DEFINITIONS IMPLICIT TAGS ::=
BEGIN
-- EXPORTS ALL --
IMPORTS
CONTENT-TYPE
FROM CryptographicMessageSyntax-2010 -- in [RFC6268]
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
pkcs-9(9) smime(16) modules(0) id-mod-cms-2009(58) } ;
ContentSet CONTENT-TYPE ::= { ct-prefixlenCSVwithCRLF, ... }
ct-prefixlenCSVwithCRLF CONTENT-TYPE ::=
{ TYPE UTF8String IDENTIFIED BY id-ct-prefixlenCSVwithCRLF }
id-ct-prefixlenCSVwithCRLF OBJECT IDENTIFIER ::=
{ iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1)
pkcs-9(9) smime(16) ct(1) 57 }
END
This appendix provides an example, including a trust anchor, a Certificate Revocation List (CRL) signed by the trust anchor, a CA certificate subordinate to the trust anchor, a CRL signed by the CA, an end-entity certificate subordinate to the CA for signing the prefixlen file, and a detached signature.
この付録では、トラスト アンカー、トラスト アンカーによって署名された証明書失効リスト (CRL)、トラスト アンカーに従属する CA 証明書、CA によって署名された CRL、prefixlen ファイルに署名するための CA に従属するエンド エンティティ証明書、および分離された署名などの例を示します。
The trust anchor is represented by a self-signed certificate. As usual in the RPKI, the trust anchor has authority over all IPv4 address blocks, all IPv6 address blocks, and all Autonomous System (AS) numbers.
トラスト アンカーは自己署名証明書によって表されます。RPKI では通常どおり、トラスト アンカーは、すべての IPv4 アドレス ブロック、すべての IPv6 アドレス ブロック、およびすべての自律システム (AS) 番号に対する権限を持ちます。
-----BEGIN CERTIFICATE-----
MIIEQTCCAymgAwIBAgIUEggycNoFVRjAuN/Fw7URu0DEZNAwDQYJKoZIhvcNAQEL
BQAwFTETMBEGA1UEAxMKZXhhbXBsZS10YTAeFw0yMzA5MTkyMDMzMzlaFw0zMzA5
MTYyMDMzMzlaMBUxEzARBgNVBAMTCmV4YW1wbGUtdGEwggEiMA0GCSqGSIb3DQEB
AQUAA4IBDwAwggEKAoIBAQDQprR+g/i4JyObVURTp1JpGM23vGPyE5fDKFPqV7rw
M1Amm7cnew66U02IzV0X5oiv5nSGfRX5UxsbR+vwPBMceQyDgS5lexFiv4fB/Vjf
DT2qX/UjsLL9QOeaSOh7ToJSLjmtpa0D9iz7ful3hdxRjpMMZiE/reX9/ymdpW/E
dg0F6+T9WGZE1miPeIjl5OZwnmLHCftkN/aaYk1iPNjNniHYIOjC1jSpABmoZyTj
sgrwLE2F1fIRkVkwASqToq/D5v9voXaYYaXUNJb4H/5wenRuvT5O/n6PXh70rMQy
F5yzLs96ytxqg5gGX9kabVnvxFU8nHfPa0rhlwfTJnljAgMBAAGjggGHMIIBgzAd
BgNVHQ4EFgQUwL1SXb7SeLIW7LOjQ5XSBguZCDIwHwYDVR0jBBgwFoAUwL1SXb7S
eLIW7LOjQ5XSBguZCDIwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAQYw
GAYDVR0gAQH/BA4wDDAKBggrBgEFBQcOAjCBuQYIKwYBBQUHAQsEgawwgakwPgYI
KwYBBQUHMAqGMnJzeW5jOi8vcnBraS5leGFtcGxlLm5ldC9yZXBvc2l0b3J5L2V4
YW1wbGUtdGEubWZ0MDUGCCsGAQUFBzANhilodHRwczovL3JyZHAuZXhhbXBsZS5u
ZXQvbm90aWZpY2F0aW9uLnhtbDAwBggrBgEFBQcwBYYkcnN5bmM6Ly9ycGtpLmV4
YW1wbGUubmV0L3JlcG9zaXRvcnkvMCcGCCsGAQUFBwEHAQH/BBgwFjAJBAIAATAD
AwEAMAkEAgACMAMDAQAwIQYIKwYBBQUHAQgBAf8EEjAQoA4wDDAKAgEAAgUA////
/zANBgkqhkiG9w0BAQsFAAOCAQEAa9eLY9QAmnlZOIyOzbpta5wqcOUQV/yR7o/0
1zkEZaSavKBt19lMK6AXZurx1T5jyjIwG7bEtZZThjtH2m80V5kc2tsFjSq/yp7N
JBclMHVd3tXse9If3nXYF4bxRIcir1lXlAbYN+Eo1U3i5qJO+fxouzt7Merk2Dih
nsenTeXKzN7tfmuCYZZHCC8viCoJWdH+o1uRM4TiQApZsUJ8sF4TABrrRJmA/Ed5
v0CTBbgqTx7yg0+VarFLPdnjYgtpoCJqwE2C1UpX15rZSaLVuGXtbwXd/cHEg5vF
W6QTsMeMQFEUa6hkicDGtxLTUdhckBgmCGoF2nlZii5f1BTWAg==
-----END CERTIFICATE-----
The CRL issued by the trust anchor.
トラストアンカーによって発行された CRL。
-----BEGIN X509 CRL-----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-----END X509 CRL-----
The CA certificate is issued by the trust anchor. This certificate grants authority over one IPv4 address block (192.0.2.0/24), one IPv6 address block(2001:db8::/32), and two AS numbers (64496 and 64497).
CA 証明書はトラスト アンカーによって発行されます。この証明書は、1 つの IPv4 アドレス ブロック (192.0.2.0/24)、1 つの IPv6 アドレス ブロック (2001:db8::/32)、および 2 つの AS 番号 (64496 および 64497) に対する権限を付与します。
-----BEGIN CERTIFICATE-----
MIIE+zCCA+OgAwIBAgIUcyCzS10hdfG65kbRq7toQAvRDMIwDQYJKoZIhvcNAQEL
BQAwFTETMBEGA1UEAxMKZXhhbXBsZS10YTAeFw0yNjA1MDcyMTIyNDlaFw0yNzA1
MDcyMTIyNDlaMDMxMTAvBgNVBAMTKDNBQ0UyQ0VGNEZCMjFCN0QxMUUzRTE4NEVG
QzFFMjk3QjM3Nzg2NDIwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDc
zz1qwTxC2ocw5rqp8ktm2XyYkl8riBVuqlXwfefTxsR2YFpgz9vkYUd5Az9EVEG7
6wGIyZbtmhK63eEeaqbKz2GHub467498BXeVrYysO+YuIGgCEYKznNDZ4j5aaDbo
j5+4/z0Qvv6HEsxQd0f8br6lKJwgeRM6+fm7796HNPB0aqD7Zj9NRCLXjbB0DCgJ
liH6rXMKR86ofgll9V2mRjesvhdKYgkGbOif9rvxVpLJ/6zdru5CE9yeuJZ59l+n
YH/r6PzdJ4Q7yKrJX8qD6A60j4+biaU4MQ72KpsjhQNTTqF/HRwi0N54GDaknEwE
TnJQHgLJDYqww9yKWtjjAgMBAAGjggIjMIICHzAdBgNVHQ4EFgQUOs4s70+yG30R
4+GE78Hil7N3hkIwHwYDVR0jBBgwFoAUwL1SXb7SeLIW7LOjQ5XSBguZCDIwDwYD
VR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAQYwGAYDVR0gAQH/BA4wDDAKBggr
BgEFBQcOAjBDBgNVHR8EPDA6MDigNqA0hjJyc3luYzovL3Jwa2kuZXhhbXBsZS5u
ZXQvcmVwb3NpdG9yeS9leGFtcGxlLXRhLmNybDBOBggrBgEFBQcBAQRCMEAwPgYI
KwYBBQUHMAKGMnJzeW5jOi8vcnBraS5leGFtcGxlLm5ldC9yZXBvc2l0b3J5L2V4
YW1wbGUtdGEuY2VyMIG5BggrBgEFBQcBCwSBrDCBqTA+BggrBgEFBQcwCoYycnN5
bmM6Ly9ycGtpLmV4YW1wbGUubmV0L3JlcG9zaXRvcnkvZXhhbXBsZS1jYS5tZnQw
NQYIKwYBBQUHMA2GKWh0dHBzOi8vcnJkcC5leGFtcGxlLm5ldC9ub3RpZmljYXRp
b24ueG1sMDAGCCsGAQUFBzAFhiRyc3luYzovL3Jwa2kuZXhhbXBsZS5uZXQvcmVw
b3NpdG9yeS8wLgYIKwYBBQUHAQcBAf8EHzAdMAwEAgABMAYDBADAAAIwDQQCAAIw
BwMFACABDbgwIQYIKwYBBQUHAQgBAf8EEjAQoA4wDDAKAgMA+/ACAwD78TANBgkq
hkiG9w0BAQsFAAOCAQEAipx10/ZrY11NYH+iVRtq32hAFGGaXysLWrjFVYd05+25
2nPtZYPmtLRf7TWMSwF27AkGPzvonjsRF2a7wdMAPDIW2nKctmDS1nFGWw+6vXyN
Di+jhwHm7+FyFWh3u2ilzop+o6ecUiCF8rkE22TWHRkBJforN0eqUjJi0R/o4oaB
q9sZs+Jr3vTmelRYjvP8Eej3AWRm+rilbP8yW3OOvV3sTvgJc4DmbFNJ2LBJ+cLx
1fjl+Wf/YHPo2kHw8f1TJsgXSI6kYBUradIyXIW1HGrWdiKiY+oXp+jVbf8cMvp/
KkLf1UqqCjgdu3GGQuukKjbNHeJPMuHmVw5Qa3iGzg==
-----END CERTIFICATE-----
The CRL issued by the CA.
CA によって発行された CRL。
-----BEGIN X509 CRL-----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-----END X509 CRL-----
The end-entity certificate is issued by the CA. This certificate grants signature authority for one IPv4 address block (192.0.2.0/24). Signature authority for the IPv6 address block and the AS numbers is not needed for the prefixlen file that will be signed, so these items are not included in the end-entity certificate.
エンドエンティティ証明書は CA によって発行されます。この証明書は、1 つの IPv4 アドレス ブロック (192.0.2.0/24) に対する署名権限を付与します。IPv6 アドレス ブロックと AS 番号の署名権限は、署名される prefixlen ファイルには必要ないため、これらの項目はエンドエンティティ証明書には含まれません。
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
The end-entity certificate is displayed below in detail. For brevity, the other two certificates are not.
エンドエンティティ証明書の詳細を以下に示します。簡潔にするため、他の 2 つの証明書はそうではありません。
0 1110: SEQUENCE {
4 830: SEQUENCE {
8 3: [0] {
10 1: INTEGER 2
: }
13 20: INTEGER
: 27 AD 39 40 83 D7 F2 B5 B9 9B 86 70 C7 75 B2 B9
: 6E E1 66 FB
35 13: SEQUENCE {
37 9: OBJECT IDENTIFIER
: sha256WithRSAEncryption (1 2 840 113549 1 1 11)
48 0: NULL
: }
50 51: SEQUENCE {
52 49: SET {
54 47: SEQUENCE {
56 3: OBJECT IDENTIFIER commonName (2 5 4 3)
61 40: PrintableString
: '3ACE2CEF4FB21B7D11E3E184EFC1E297B3778642'
: }
: }
: }
103 30: SEQUENCE {
105 13: UTCTime 07/05/2026 21:22:49 GMT
120 13: UTCTime 03/03/2027 21:22:49 GMT
: }
135 51: SEQUENCE {
137 49: SET {
139 47: SEQUENCE {
141 3: OBJECT IDENTIFIER commonName (2 5 4 3)
146 40: PrintableString
: '914652A3BD51C144260198889F5C45ABF053A187'
: }
: }
: }
188 290: SEQUENCE {
192 13: SEQUENCE {
194 9: OBJECT IDENTIFIER
: rsaEncryption (1 2 840 113549 1 1 1)
205 0: NULL
: }
207 271: BIT STRING, encapsulates {
212 266: SEQUENCE {
216 257: INTEGER
: 00 B2 71 34 2B 39 BF EA 07 65 B7 8B 72 A2 F0 F8
: 40 FC 31 16 CA 28 B6 4E 01 A8 F6 98 02 C0 EF 65
: B0 84 48 E9 96 FF 93 E6 92 89 65 8F F6 44 9C CE
: 57 10 82 D3 C2 57 0A FA DA 14 D0 64 22 28 C0 13
: 74 04 BD 1C 2B 4F F9 93 58 A6 25 D8 B9 A9 D3 37
: 9E F2 AC C0 CF 02 9E 84 75 D6 F0 7C A5 01 70 AE
: E6 66 AF 9C 69 85 74 6F 13 E9 B3 B8 95 4B 82 ED
: 95 D6 EA 66 05 7B 96 96 87 B2 9A E7 61 E9 65 89
: F8 60 E3 C0 F5 CE DD 18 97 05 E8 C1 AC E1 4D 5E
: 16 85 2D ED 3C CB 80 CF 7E BF D2 FE D5 C9 38 19
: BB 43 34 29 B6 66 CF 2D 8B 46 7E 9A D8 BB 8E 65
: 88 51 6A A8 FF 78 51 E2 E9 21 27 D7 77 7E 80 28
: 6C EA 4C 50 9C 73 71 16 F6 5E 54 14 4D 4C 14 B9
: 67 A0 4A 20 AA DA 0B A0 A0 01 B7 42 24 38 51 8A
: 78 2F C4 81 E6 81 75 62 DE E3 AF 5D 74 2F 6B 41
: FB 79 C3 A8 3A 72 6C 46 F9 A6 03 74 81 01 DF 8C
: EB
477 3: INTEGER 65537
: }
: }
: }
482 352: [3] {
486 348: SEQUENCE {
490 29: SEQUENCE {
492 3: OBJECT IDENTIFIER
: subjectKeyIdentifier (2 5 29 14)
497 22: OCTET STRING, encapsulates {
499 20: OCTET STRING
: 91 46 52 A3 BD 51 C1 44 26 01 98 88 9F 5C 45 AB
: F0 53 A1 87
: }
: }
521 31: SEQUENCE {
523 3: OBJECT IDENTIFIER
: authorityKeyIdentifier (2 5 29 35)
528 24: OCTET STRING, encapsulates {
530 22: SEQUENCE {
532 20: [0]
: 3A CE 2C EF 4F B2 1B 7D 11 E3 E1 84 EF C1 E2 97
: B3 77 86 42
: }
: }
: }
554 14: SEQUENCE {
556 3: OBJECT IDENTIFIER keyUsage (2 5 29 15)
561 1: BOOLEAN TRUE
564 4: OCTET STRING, encapsulates {
566 2: BIT STRING 7 unused bits
: '1'B (bit 0)
: }
: }
570 24: SEQUENCE {
572 3: OBJECT IDENTIFIER certificatePolicies (2 5 29 32)
577 1: BOOLEAN TRUE
580 14: OCTET STRING, encapsulates {
582 12: SEQUENCE {
584 10: SEQUENCE {
586 8: OBJECT IDENTIFIER
: resourceCertificatePolicy (1 3 6 1 5 5 7 14 2)
: }
: }
: }
: }
596 97: SEQUENCE {
598 3: OBJECT IDENTIFIER
: cRLDistributionPoints (2 5 29 31)
603 90: OCTET STRING, encapsulates {
605 88: SEQUENCE {
607 86: SEQUENCE {
609 84: [0] {
611 82: [0] {
613 80: [6]
: 'rsync://rpki.example.net/repository/3ACE'
: '2CEF4FB21B7D11E3E184EFC1E297B3778642.crl'
: }
: }
: }
: }
: }
: }
695 108: SEQUENCE {
697 8: OBJECT IDENTIFIER
: authorityInfoAccess (1 3 6 1 5 5 7 1 1)
707 96: OCTET STRING, encapsulates {
709 94: SEQUENCE {
711 92: SEQUENCE {
713 8: OBJECT IDENTIFIER
: caIssuers (1 3 6 1 5 5 7 48 2)
723 80: [6]
: 'rsync://rpki.example.net/repository/3ACE'
: '2CEF4FB21B7D11E3E184EFC1E297B3778642.cer'
: }
: }
: }
: }
805 31: SEQUENCE {
807 8: OBJECT IDENTIFIER
: ipAddrBlocks (1 3 6 1 5 5 7 1 7)
817 1: BOOLEAN TRUE
820 16: OCTET STRING, encapsulates {
822 14: SEQUENCE {
824 12: SEQUENCE {
826 2: OCTET STRING 00 01
830 6: SEQUENCE {
832 4: BIT STRING
: '010000000000000000000011'B
: }
: }
: }
: }
: }
: }
: }
: }
838 13: SEQUENCE {
840 9: OBJECT IDENTIFIER
: sha256WithRSAEncryption (1 2 840 113549 1 1 11)
851 0: NULL
: }
853 257: BIT STRING
: 50 8C A4 05 AA 98 9D 1F D4 F8 05 D8 CC 2A 91 6C
: CA 9D CA 01 58 F5 1D 75 7E 23 50 B9 BA 64 7F 99
: 04 60 71 71 4E EB 74 09 92 F3 F5 D4 E8 C6 E1 D1
: 0C B6 CF 86 32 6F 0A 2D DC 0E 46 F6 20 2C B5 15
: D7 22 B7 9A 22 F6 31 65 D4 C0 FF B0 56 B8 97 F1
: 56 18 CD 3B 3E 18 0A 63 E2 2C CF 70 D7 13 0F 5F
: BA B1 7B 02 5D C8 81 B0 74 6A 77 79 1D 0A EF 41
: B3 BA 02 7A A2 C5 26 03 7D F0 0D B2 76 6C B2 88
: CC CE 51 C9 20 0F 4E 2C 72 2E 84 66 7A EA DF B2
: 87 65 5C 96 1C 15 EC 97 52 FB 41 1D C8 0D 27 A4
: 8A D3 1B 2A 7F FE 90 F9 BE B8 A0 17 4E 32 F8 9E
: 18 EB 58 C5 5D F9 9B 59 96 CD 24 5F DB 33 31 5E
: 07 10 F6 3C A6 84 BB 08 B1 7F AE 6C DF 22 34 24
: 38 C1 6D 78 D4 B5 48 6A CA DC B4 21 9A 95 D8 77
: 2E 59 4E CC 28 7F 50 73 FC 2F AC 90 DD E0 AE 31
: 4D B9 16 59 88 00 AA 5E DB 82 62 53 1E 95 B6 1B
: }
To allow reproduction of the signature results, the end-entity private key is provided. For brevity, the other two private keys are not.
署名結果の複製を可能にするために、エンドエンティティの秘密鍵が提供されます。簡潔にするため、他の 2 つの秘密キーはそうではありません。
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
Signing of "192.0.2.0/24,32,1" (terminated by CR and LF), yields the following detached CMS signature.
「192.0.2.0/24,32,1」(CR と LF で終了) に署名すると、次の分離された CMS 署名が生成されます。
# RPKI Signature: 192.0.2.0 - 192.0.2.255
# MIIGQAYJKoZIhvcNAQcCoIIGMTCCBi0CAQMxDTALBglghkgBZQMEAgEwDQYLKoZ
# IhvcNAQkQATmgggRaMIIEVjCCAz6gAwIBAgIUJ605QIPX8rW5m4Zwx3WyuW7hZv
# swDQYJKoZIhvcNAQELBQAwMzExMC8GA1UEAxMoM0FDRTJDRUY0RkIyMUI3RDExR
# TNFMTg0RUZDMUUyOTdCMzc3ODY0MjAeFw0yNjA1MDcyMTIyNDlaFw0yNzAzMDMy
# MTIyNDlaMDMxMTAvBgNVBAMTKDkxNDY1MkEzQkQ1MUMxNDQyNjAxOTg4ODlGNUM
# 0NUFCRjA1M0ExODcwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCycT
# QrOb/qB2W3i3Ki8PhA/DEWyii2TgGo9pgCwO9lsIRI6Zb/k+aSiWWP9kSczlcQg
# tPCVwr62hTQZCIowBN0BL0cK0/5k1imJdi5qdM3nvKswM8CnoR11vB8pQFwruZm
# r5xphXRvE+mzuJVLgu2V1upmBXuWloeymudh6WWJ+GDjwPXO3RiXBejBrOFNXha
# FLe08y4DPfr/S/tXJOBm7QzQptmbPLYtGfprYu45liFFqqP94UeLpISfXd36AKG
# zqTFCcc3EW9l5UFE1MFLlnoEogqtoLoKABt0IkOFGKeC/EgeaBdWLe469ddC9rQ
# ft5w6g6cmxG+aYDdIEB34zrAgMBAAGjggFgMIIBXDAdBgNVHQ4EFgQUkUZSo71R
# wUQmAZiIn1xFq/BToYcwHwYDVR0jBBgwFoAUOs4s70+yG30R4+GE78Hil7N3hkI
# wDgYDVR0PAQH/BAQDAgeAMBgGA1UdIAEB/wQOMAwwCgYIKwYBBQUHDgIwYQYDVR
# 0fBFowWDBWoFSgUoZQcnN5bmM6Ly9ycGtpLmV4YW1wbGUubmV0L3JlcG9zaXRvc
# nkvM0FDRTJDRUY0RkIyMUI3RDExRTNFMTg0RUZDMUUyOTdCMzc3ODY0Mi5jcmww
# bAYIKwYBBQUHAQEEYDBeMFwGCCsGAQUFBzAChlByc3luYzovL3Jwa2kuZXhhbXB
# sZS5uZXQvcmVwb3NpdG9yeS8zQUNFMkNFRjRGQjIxQjdEMTFFM0UxODRFRkMxRT
# I5N0IzNzc4NjQyLmNlcjAfBggrBgEFBQcBBwEB/wQQMA4wDAQCAAEwBgMEAMAAA
# jANBgkqhkiG9w0BAQsFAAOCAQEAUIykBaqYnR/U+AXYzCqRbMqdygFY9R11fiNQ
# ubpkf5kEYHFxTut0CZLz9dToxuHRDLbPhjJvCi3cDkb2ICy1Fdcit5oi9jFl1MD
# /sFa4l/FWGM07PhgKY+Isz3DXEw9furF7Al3IgbB0and5HQrvQbO6AnqixSYDff
# ANsnZssojMzlHJIA9OLHIuhGZ66t+yh2VclhwV7JdS+0EdyA0npIrTGyp//pD5v
# rigF04y+J4Y61jFXfmbWZbNJF/bMzFeBxD2PKaEuwixf65s3yI0JDjBbXjUtUhq
# yty0IZqV2HcuWU7MKH9Qc/wvrJDd4K4xTbkWWYgAql7bgmJTHpW2GzGCAaowggG
# mAgEDgBSRRlKjvVHBRCYBmIifXEWr8FOhhzALBglghkgBZQMEAgGgazAaBgkqhk
# iG9w0BCQMxDQYLKoZIhvcNAQkQATkwHAYJKoZIhvcNAQkFMQ8XDTI2MDUwNzIxM
# jI0OVowLwYJKoZIhvcNAQkEMSIEIGMBdMKw5mjZYL9qP4ivwgMt8g2+qEO0+Dcn
# N5vQO1bNMA0GCSqGSIb3DQEBAQUABIIBAKzRicWBpSyN5nw39eDNfVai2H1mO0n
# APgZUmVF/vgSCWtR0da1iZots4qwn0XwvvIgu5eZ7edhn9axLXhjTAOQajT4cOw
# 9+raD7+SYdBIAUgZpuFy3Olnu4HykCd8Ub44lPfZVG1lF1LeN248+rWgozpE7xz
# Dv5G83OslbvVzGXaVShJM4fsDfpkpKoQ4LszlBeqguU2yTm3XWVjkxH7VJvTtIT
# SzO3jAqwqnCjfu3mnxCoz7LKES4DPZERsFoJv1zyDdHIXjPnfZuTBjjCOubjaQx
# rRwgZtQ8Ljz3gpz1VzL9mKAv0pUzcyxtQfakHwdYtxyO33z2InljtTFJCroI=
# End Signature: 192.0.2.0 - 192.0.2.255
Thanks to the authors of [RFC8805] and [RFC9632] and the folk they acknowledge from whom ideas and text have been liberally expropriated. Thanks to John R. Levine for providing useful feedback on the document.
[RFC8805] と [RFC9632] の作者と、彼らがアイデアとテキストを自由に収用したと認めている人々に感謝します。このドキュメントに関して有益なフィードバックを提供してくれた John R. Levine に感謝します。
Oliver Gasser
IPinfo
Email: oliver@ipinfo.io
Randy Bush
IIJ Research & Arrcus
5147 Crystal Springs
Bainbridge Island, Washington 98110
United States of America
Email: randy@psg.com
Massimo Candela
NTT
Siriusdreef 70-72
2132 WT Hoofddorp
Netherlands
Email: massimo@ntt.net
Russ Housley
Vigil Security, LLC
516 Dranesville Road
Herndon, VA 20170
United States of America
Email: housley@vigilsec.com