ルーティング（BGP）セキュリティ関連用語であるRPKIについて簡単にまとめた。

背景

インターネットには大元となる管理組織が存在するわけではなく、各ASがBGPにより相互に接続されているピアツーピアなネットワークである。
ASは他のASから広告されてきた経路情報（IPアドレスとAS番号）を受け取り、自身の持つ経路情報を更新および経路制御を行っている。
ASはこの広告されてくる経路情報が何であろうと受け入れてしまうため、意図しない範囲まで経路情報を広告してしまう経路リークや、故意に誤った情報を広告する（Mis-Originationと呼ばれる）経路ハイジャックが発生し得る。

RPKIの目的

経路情報を検証し、経路リークや経路ハイジャックを防ぐ。

仕組み

一言でいうと、経路情報が正しいものかどうか電子証明書によって検証出来る仕組みのこと。

• 検証の流れ

1. RPKIにより、正しい経路情報が含まれたリソース証明書を発行
2. リソース証明書の秘密鍵を用いて電子署名を行った、IPアドレスとAS番号の組み合わせデータであるROA (Route Origination Authorization)を作成
3. ROAをリポジトリと呼ばれるサーバに置く
4. AS運用者（BGPルータ等）は、自身が所有するASの経路情報とリポジトリのROAを比較して、正しいかどうかを検証する（ROV (Resource Origin Validation) ）

JPNICのRPKIシステム
rpki.nic.ad.jp