Internet Engineering Task Force (IETF) R. Bush
Request for Comments: 6493 Internet Initiative Japan
Category: Standards Track February 2012
ISSN: 2070-1721
The Resource Public Key Infrastructure (RPKI) Ghostbusters Record
リソース公開鍵インフラストラクチャ(RPKI)ゴーストバスターズ録音
Abstract
抽象
In the Resource Public Key Infrastructure (RPKI), resource certificates completely obscure names or any other information that might be useful for contacting responsible parties to deal with issues of certificate expiration, maintenance, roll-overs, compromises, etc. This document describes the RPKI Ghostbusters Record containing human contact information that may be verified (indirectly) by a Certification Authority (CA) certificate. The data in the record are those of a severely profiled vCard.
リソース公開鍵インフラストラクチャ(RPKI)では、リソース証明書、完全にあいまいな名前または証明書の有効期限の問題に対処する責任政党を接触させるために有用であるかもしれない他の情報、メンテナンスなどのロールオーバー、妥協、この文書では、RPKIを説明証明機関(CA)証明書によって(間接的に)確認することができる人間の連絡先情報を含むゴーストバスターズレコード。レコード内のデータは、深刻なプロファイルのvCardのものです。
Status of This Memo
このメモのステータス
This is an Internet Standards Track document.
これは、インターネット標準化過程文書です。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。インターネット標準の詳細については、RFC 5741のセクション2で利用可能です。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6493.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc6493で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2012 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2012 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2
2. Requirements Language . . . . . . . . . . . . . . . . . . . . . 3
3. Suggested Reading . . . . . . . . . . . . . . . . . . . . . . . 3
4. RPKI Ghostbusters Record Payload Example . . . . . . . . . . . 4
5. vCard Profile . . . . . . . . . . . . . . . . . . . . . . . . . 4
6. CMS Packaging . . . . . . . . . . . . . . . . . . . . . . . . . 5
7. Validation . . . . . . . . . . . . . . . . . . . . . . . . . . 5
8. Security Considerations . . . . . . . . . . . . . . . . . . . . 6
9. IANA Considerations . . . . . . . . . . . . . . . . . . . . . . 6
9.1. OID . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
9.2. File Extension . . . . . . . . . . . . . . . . . . . . . . 6
9.3. Media Type . . . . . . . . . . . . . . . . . . . . . . . . 7
10. Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . 7
11. References . . . . . . . . . . . . . . . . . . . . . . . . . . 7
11.1. Normative References . . . . . . . . . . . . . . . . . . . 7
11.2. Informative References . . . . . . . . . . . . . . . . . . 8
In the operational use of the RPKI, it can become necessary to contact, human to human, the party responsible for a resource-holding CA certificate, AKA the certificate's maintainer, be it the holder of the certificate's private key or an administrative person in the organization, a NOC, etc. An important example is when the operator of a prefix described by a Route Origin Authorization (ROA) sees a problem, or an impending problem, with a certificate or Certificate Revocation List (CRL) in the path between the ROA and a trust anchor. For example, a certificate along that path has expired, is soon to expire, or a CRL associated with a CA along the path is stale, thus placing the quality of the routing of the address space described by the ROA in jeopardy.
RPKIの操作上の使用では、それは人間に、人間に連絡することが必要になることができ、リソース保持CA証明書、AKA証明書のメンテナのための責任者は、それは証明書の秘密鍵の所有者または管理における人でなどの組織、NOC、重要な例はルート起源認可(ROA)によって記載プレフィックスのオペレータは、の間の経路内の証明書または証明書失効リスト(CRL)を用いて、問題、または差し迫った問題を見たときでありますROAとトラストアンカー。例えば、その経路に沿って証明書の有効期限が切れた、期限切れにすぐにある、または経路に沿ってCAに関連付けられたCRLが失効している、したがって危険でROAによって記述されたアドレス空間のルーティングの品質を置きます。
As the names in RPKI certificates are not meaningful to humans, see [RFC6484], there is no way to use a certificate itself to lead to the worrisome certificate's or CRL's maintainer. So, "Who you gonna call?"
RPKI証明書内の名前は、[RFC6484]を参照してください、人間には意味がありませんよう、気になる証明書のまたはCRLのメンテナにつながる証明書自体を使用する方法はありません。だから、「あなたは誰つもり呼んで?」
This document specifies the RPKI Ghostbusters Record, an object verified via an end-entity (EE) certificate, issued under a CA certificate, the maintainer of which may be contacted using the payload information in the Ghostbusters Record.
この文書は、CA証明書に基づいて発行されたRPKIバスターズレコード、エンドエンティティ(EE)証明書を介して検証オブジェクトを、指定し、保守者はそのゴーストバスターズレコード内のペイロード情報を用いて接触させることができます。
The Ghostbusters Record conforms to the syntax defined in [RFC6488]. The payload of this signed object is a severely profiled vCard.
ゴーストバスターズレコードは[RFC6488]で定義された構文に準拠します。この署名オブジェクトのペイロードは厳しく、プロファイルvCardのです。
Note that the Ghostbusters Record is not an identity certificate, but rather an attestation to the contact data made by the maintainer of the CA certificate issuing the EE certificate whose corresponding private key signs the Ghostbusters Record.
ゴーストバスターズのレコードは、ID証明書ではなく、対応する秘密鍵の兆候ゴーストバスターズ録音EE証明書を発行するCA証明書のメンテナによって作られた連絡先データへの認証ではないことに注意してください。
This record is not meant to supplant or be used as resource registry whois data. It gives information about an RPKI CA certificate maintainer, not a resource holder.
この記録は取って代わるものではありませんか、リソースレジストリWHOISデータとして使用します。これは、RPKI CA証明書のメンテナではなく、リソースホルダーについての情報を提供します。
The Ghostbusters Record is optional; CA certificates in the RPKI can have zero or more associated Ghostbuster Records.
ゴーストバスターズのレコードはオプションです。 RPKIでのCA証明書は、ゼロ以上の関連Ghostbusterレコードを持つことができます。
Given a certificate, to find the closest Ghostbuster Record, go up until a CA certificate is reached, which may be the object itself of course. That CA certificate will have Subject Information Access (SIA) to the publication point where all subsidiary objects (until you hit a down-chain CA certificate's signed objects) are published. The publication point will contain zero or more Ghostbuster Records.
CA証明書が到達するまでに最も近いGhostbusterレコードを検索する証明書、を考えると、当然のオブジェクト自体とすることができる、上がります。 (あなたがダウンチェーンCA証明書の署名オブジェクトを打つまで)そのCA証明書が公開されているすべての補助オブジェクト発行ポイントの対象に情報アクセス(SIA)を持つことになります。出版ポイントがゼロ以上Ghostbusterレコードが含まれています。
This specification has three main sections. The first, Section 5, is the format of the contact payload information, a severely profiled vCard. The second, Section 6, profiles the packaging of the payload as a profile of the RPKI Signed Object Template specification [RFC6488]. The third, Section 7, describes the proper validation of the signed Ghostbusters Record.
この仕様は3つのセクションがあります。まず、第5節では、接触ペイロード情報、深刻なプロファイルのvCardの形式です。第二、第6節は、RPKI署名付きオブジェクトテンプレート仕様[RFC6488]のプロフィールとしてペイロードのパッケージプロファイル。第三、第7章は、署名されたゴーストバスターズレコードの適切な検証を記述する。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
この文書のキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、、、、 "べきではない" "べきである" "ないもの" "ものとし"、 "推奨"、 "MAY"、および "OPTIONAL" はあります[RFC2119]に記載されているように解釈されます。
It is assumed that the reader understands the RPKI [RFC6480], the RPKI Repository Structure [RFC6481], Signed RPKI Objects [RFC6488], and vCards [RFC6350].
読者がRPKI [RFC6480]、RPKIリポジトリ構造[RFC6481]、署名付きRPKIオブジェクト[RFC6488]とのvCard [RFC6350]を理解しているものとします。
An example of an RPKI Ghostbusters Record payload with all properties populated is as follows:
次のようにポピュレートすべての特性を有するRPKIバスターズレコードのペイロードの一例です。
BEGIN:VCARD VERSION:4.0 FN:Human's Name ORG:Organizational Entity ADR;TYPE=WORK:;;42 Twisty Passage;Deep Cavern;WA;98666;U.S.A. TEL;TYPE=VOICE,TEXT,WORK;VALUE=uri:tel:+1-666-555-1212 TEL;TYPE=FAX,WORK;VALUE=uri:tel:+1-666-555-1213 EMAIL:human@example.com END:VCARD
BEGIN:VCARDバージョン:4.0 FN:人間の名前ORG:組織エンティティADR; TYPE = WORK:;; 42ツイスティーズ通路と、深い洞窟; WA; 98666; U.S.Aを。 TEL; TYPE = VOICE、TEXT、WORK; VALUE = URI:TEL:+ 1-666-555-1212 TEL; TYPE = FAX、WORK; VALUE = URI:TEL:+ 1-666-555-1213 EMAIL:人間@ example.com END:VCARD
The goal in profiling the vCard is not to include as much information as possible, but rather to include as few properties as possible while providing the minimal necessary data to enable one to contact the maintainer of the RPKI data that threatens the ROA[s] of concern.
vCardのプロファイリングにおける目標は、できるだけ多くの情報を含むように、むしろROAを脅かすRPKIデータの保守に連絡することを可能にするために最小限必要なデータを提供しながら、可能な限り少数の特性として含まないことである[S]の懸念。
The Ghostbusters vCard payload is a minimalist subset of the vCard as described in [RFC6350].
[RFC6350]に記載されているようにバスターズvCardのペイロードは、vCardのミニマリストのサブセットです。
BEGIN - pro forma packaging that MUST be the first line in the vCard and MUST have the value "BEGIN:VCARD" as described in [RFC6350].
BEGIN - vCardの最初の行でなければなりませんと「BEGIN:VCARD」の値を有しなければならない見積包装[RFC6350]で説明されるようにします。
VERSION - pro forma packaging that MUST be the second line in the vCard and MUST have the value "VERSION:4.0" as described in Section 3.7.9 of [RFC6350].
VERSION - プロフォーマ包装のvCardの2行目なければならず、値「バージョン:4.0」を持たなければならない[RFC6350]のセクション3.7.9に記載されているように。
FN - the name, as described in Section 6.2.1 of [RFC6350], of a contactable person or role who is responsible for the CA certificate.
FN - 名前、[RFC6350]のセクション6.2.1で説明したように、CA証明書を担当して接触者またはロールの。
ORG - an organization as described in Section 6.6.4 of [RFC6350].
ORG - [RFC6350]のセクション6.6.4に記載したように組織。
ADR - a postal address as described in Section 6.3 of [RFC6350].
ADR - [RFC6350]のセクション6.3に記載したように郵便アドレス。
TEL - a voice and/or fax phone as described in Section 6.4.1 of [RFC6350].
TEL - [RFC6350]のセクション6.4.1に記載したように音声および/またはファックス電話。
EMAIL - an Email address as described in Section 6.4.2 of [RFC6350]
EMAIL - [RFC6350]のセクション6.4.2で説明したように電子メールアドレス
END - pro forma packaging that MUST be the last line in the vCard and MUST have the value "END:VCARD" as described in [RFC6350].
END - vCardの中の最後の行でなければならないと価値がなければならないプロフォーマ包装:[RFC6350]で説明したように「END VCARDを」。
Per [RFC6350], the BEGIN, VERSION, FN, and END properties MUST be included in a record. To be useful, at least one of ADR, TEL, and EMAIL MUST be included. Other properties MUST NOT be included.
[RFC6350]は、BEGIN VERSION、FN、およびEND特性がレコードに含まれなければなりません。 、ADR、TELの少なくとも一つ有用であるためには、電子メールを含まなければなりません。他の特性は含んではいけません。
The Ghostbusters Record is a CMS signed-data object conforming to the "Signed Object Template for the Resource Public Key Infrastructure (RPKI)", [RFC6488].
ゴーストバスターズのレコードは、「リソース公開鍵インフラストラクチャのための署名付きオブジェクトテンプレート(RPKI)」、[RFC6488]に準拠したCMS署名データオブジェクトです。
The content-type of a Ghostbusters Record is defined as id-ct-rpkiGhostbusters, and has the numerical value of 1.2.840.113549.1.9.16.1.35. This OID MUST appear both within the eContentType in the encapContentInfo object as well as the content-type signed attribute in the signerInfo object. See [RFC6488].
バスターズレコードのコンテンツタイプは、ID-CT-rpkiGhostbustersとして定義され、及び1.2.840.113549.1.9.16.1.35の数値を有しています。このOIDはencapContentInfoオブジェクトなどのSignerInfoオブジェクトのcontent-type署名している属性でのeContentType内の両方に現れなければなりません。 [RFC6488]を参照してください。
eContent: The content of a Ghostbusters Record is described in Section 5.
e-コンテンツ:ゴーストバスターズのレコードの内容は、第5節に記載されています。
Similarly to a ROA, a Ghostbusters Record is verified using an EE certificate issued by the resource-holding CA certificate whose maintainer is described in the vCard.
ROAと同様に、ゴーストバスターズレコードは、その保守のvCardに記載されているリソース保持CA証明書が発行したEE証明書を用いて検証されます。
The EE certificate used to verify the Ghostbusters Record is the one that appears in the CMS data structure that contains the payload defined above.
ゴーストバスターズのレコードを検証するために使用されるEE証明書は、上記で定義されたペイロードを含むCMSデータ構造に現れるものです。
This EE certificate MUST describe its Internet Number Resources using the "inherit" attribute, rather than explicit description of a resource set; see [RFC3779].
このEE証明書ではなく、リソースセットの明示的な説明よりも、「継承」属性を使って、インターネット番号リソースについて説明しなければなりません。 [RFC3779]を参照してください。
The validation procedure defined in Section 3 of [RFC6488] is applied to a Ghostbusters Record. After this procedure has been performed, the Version number type within the payload is checked, and the OCTET STRING containing the vCard data is extracted. These data are checked against the profile defined in Section 5 of this document. Only if all of these checks pass is the Ghostbusters payload deemed valid and made available to the application that requested the payload.
[RFC6488]のセクション3で定義された検証手順は、ゴーストバスターズレコードに適用されます。この手順が実行された後、ペイロード内のバージョン番号のタイプがチェックされ、そしてvCardのデータを含むオクテット文字列が抽出されます。これらのデータは、このドキュメントのセクション5で定義されたプロファイルと照合されます。これらのチェックのすべてがされて合格した場合にのみゴーストバスターズペイロードは有効とし、ペイロードを要求されたアプリケーションが利用できるように。
Though there is no on-the-wire protocol in this specification, there are attacks that could abuse the data described. As the data, to be useful, need to be public, little can be done to avoid this exposure.
この仕様には、オン・ワイヤプロトコルはありませんが、記述されたデータを悪用する可能性があり、攻撃があります。データとして、有用であることが、公共である必要があり、少しはこの露出を避けるために行うことができます。
Phone Numbers: The vCards may contain real world telephone numbers, which could be abused for telemarketing, abusive calls, etc.
電話番号は:vCardのは、テレマーケティングのために悪用される可能性が現実の世界での電話番号、虐待の呼び出しなどが含まれていてもよいです
Email Addresses: The vCards may contain Email addresses, which could be abused for purposes of spam.
電子メールアドレス:vCardのは、スパムの目的のために悪用される可能性が電子メールアドレスを含むことができます。
Relying parties are hereby warned that the data in a Ghostbusters Record are self-asserted. These data have not been verified by the CA that issued the CA certificate to the entity that issued the EE certificate used to validate the Ghostbusters Record.
依拠当事者は、ここにゴーストバスターズレコード内のデータは、自己表明していることを警告しています。これらのデータは、ゴーストバスターズのレコードを検証するために使用EE証明書を発行したエンティティにCA証明書を発行したCAによって検証されていません。
The IANA has registered the OID for the Ghostbusters Record in the registry created by [RFC6488] as follows:
IANAは、次のように[RFC6488]で作成されたレジストリ内のゴーストバスターズレコードのOIDを登録しています:
Name OID Specification
-----------------------------------------------------------
Ghostbusters 1.2.840.113549.1.9.16.1.35 [RFC6493]
Realizing the deep issues raised by [RFC5513], the IANA has added an item for the Ghostbusters Record file extension to the "RPKI Repository Name Scheme" created by [RFC6481] as follows:
[RFC5513]で提起深い問題を実現し、IANAは、次のように[RFC6481]で作成された「RPKIリポジトリ名スキーム」にゴーストバスターズ録音ファイル拡張子のために商品を追加しました:
Filename Extension RPKI Object Reference
-----------------------------------------------------------
.gbr Ghostbusters Record [RFC6493]
The IANA has registered the media type application/rpki-ghostbusters as follows:
次のようにIANAはメディアタイプアプリケーション/ RPKI-ゴーストバスターズを登録しています:
Type name: application Subtype name: rpki-ghostbusters Required parameters: None Optional parameters: None Encoding considerations: binary Security considerations: Carries an RPKI Ghostbusters Record [RFC6493]. Interoperability considerations: None Published specification: This document. Applications that use this media type: RPKI administrators. Additional information: Content: This media type is a signed object, as defined in [RFC6488], which contains a payload of a profiled vCard as defined above in this document. Magic number(s): None File extension(s): .gbr Macintosh file type code(s): Person & email address to contact for further information: Randy Bush <randy@psg.com> Intended usage: COMMON Restrictions on usage: None Author: Randy Bush <randy@psg.com> Change controller: Randy Bush <randy@psg.com>
型名:アプリケーションのサブタイプ名:RPKI - ゴーストバスターズ必須パラメータ:なしオプションのパラメータ:なしエンコードの考慮事項:バイナリセキュリティの考慮事項:RPKIゴーストバスターズのレコード[RFC6493]を運びます。相互運用性に関する注意事項:なし公開された仕様:このドキュメント。 RPKI管理者:このメディアタイプを使用するアプリケーション。追加情報:コンテンツ:このメディアタイプは、本書で上で定義したプロファイルのvCardのペイロードを含む、[RFC6488]で定義されるように、署名されたオブジェクトです。マジックナンバー(S):なしファイルの拡張子(S):Macintoshファイルタイプコード.gbr(S):人とEメールアドレス詳細のために連絡する:ランディ・ブッシュ<randy@psg.com>意図している用法:用法上のCOMMON制限事項:なし著者:ランディ・ブッシュ<randy@psg.com>変更コントローラ:ランディ・ブッシュ<randy@psg.com>
The author wishes to thank Russ Housley, the authors of [RFC6481], Stephen Kent, Sandy Murphy, Rob Austein, Michael Elkins, and Barry Leiba for their contributions.
著者は、彼らの貢献のためにラスHousley、[RFC6481]の著者、スティーブン・ケント、サンディマーフィー、ロブAusteinと、マイケル・エルキンズ、そしてバリー・レイバに感謝したいです。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC3779] Lynn, C., Kent, S., and K. Seo, "X.509 Extensions for IP Addresses and AS Identifiers", RFC 3779, June 2004.
[RFC3779]リン、C.、ケント、S.、およびK.ソ、 "IPアドレスとAS識別子のためのX.509拡張機能"、RFC 3779、2004年6月。
[RFC6350] Perreault, S., "vCard Format Specification", RFC 6350, August 2011.
[RFC6350]ペロー、S.、 "vCardのフォーマット仕様"、RFC 6350、2011年8月。
[RFC6481] Huston, G., Loomans, R., and G. Michaelson, "A Profile for Resource Certificate Repository Structure", RFC 6481, February 2012.
[RFC6481]ヒューストン、G.、Loomans、R.、およびG.マイケルソン、 "リソース証明書リポジトリの構造用プロフィール"、RFC 6481、2012年2月。
[RFC6488] Lepinski, M., Chi, A., and S. Kent, "Signed Object Template for the Resource Public Key Infrastructure (RPKI)", RFC 6488, February 2012.
[RFC6488] Lepinski、M.、チー、A.、およびS.ケントは、RFC 6488、2012年2月 "リソースの公開鍵インフラストラクチャ(RPKI)のためのオブジェクト・テンプレートを署名"。
[RFC5513] Farrel, A., "IANA Considerations for Three Letter Acronyms", RFC 5513, April 1 2009.
[RFC5513]ファレル、A.、 "三文字略語のためのIANAの考慮事項"、RFC 5513、2009年4月1日。
[RFC6480] Lepinski, M. and S. Kent, "An Infrastructure to Support Secure Internet Routing", RFC 6480, February 2012.
[RFC6480] Lepinski、M.とS.ケント、 "安全なインターネットルーティングをサポートするインフラストラクチャ"、RFC 6480、2012年2月。
[RFC6484] Kent, S., Kong, D., Seo, K., and R. Watro, "Certificate Policy (CP) for the Resource Public Key Infrastructure (RPKI)"", RFC 6484, February 2012.
[RFC6484]ケント、S.、香港、D.、ソ、K.、およびR. Watro、 "リソースの公開鍵インフラストラクチャ(RPKI)のための証明書ポリシー(CP)"」、RFC 6484、2012年2月。
Author's Address
著者のアドレス
Randy Bush Internet Initiative Japan 5147 Crystal Springs Bainbridge Island, Washington 98110 US
ランディブッシュインターネットイニシアティブ5147クリスタルスプリングスベインブリッジ島、ワシントン98110米国
Phone: +1 206 780 0431 x1 EMail: randy@psg.com
電話:+1 206 780 0431 x1メール:randy@psg.com