RPKI/ROA検証

起源ASNとprefixの組について、ROA（経路起源認可）の有効性を確認します。判定はRIPEstatに基づきます。

このRPKI/ROA検証ツールについて

RPKI（リソース公開鍵基盤）は、IP prefixの保有者が「どのASがBGPでそのprefixを起源として広告してよいか」を宣言する署名済みの記述 — ROA（経路起源認可） — を公開できる仕組みです。経路起源検証を行うネットワークは、ROAと矛盾する経路を破棄するため、多くの経路ハイジャックや誤設定リークを防げます。このツールは指定した起源ASN＋prefixの組を、RIPEstatの検証APIで公開ROAと照合します。

結果の読み方

Valid — ROAが存在し、広告が認可されたASとprefix長に一致。
Invalid — prefixを覆うROAはあるが、起源ASまたはprefix長が一致しない（invalid_asn／invalid_length）。検証を行うネットワークはこの経路を拒否します。
Unknown — prefixを覆うROAが無く、RPKIでは肯定も否定もできません。

IPの起源ASは ASN調査で調べられます。背景: RPKIとROA解説と BGPルーティングの基礎。

よくある質問

自分のprefixが「Unknown」でした。まずいですか？

まだROAを公開していない、つまりそのprefixがRPKIで保護されていないという意味です。経路自体は通常どおり流れますが、RIRでROAを作成するとValidに格上げされ、起源検証を行うネットワークによるハイジャックから守られます。

invalid_asn と invalid_length の違いは？

invalid_asnは、prefixのROAはあるが広告しているASと別のASを認可している状態。invalid_lengthは、広告されたprefixがROAのmaxLengthより詳細（細かい）状態です。どちらもInvalid扱いで破棄されます。

RPKIはBGPの経路全体を守りますか？

いいえ。ROAによる起源検証は、起源ASがprefixに対して認可されていることを確認するだけです。AS経路全体の保護にはパス検証（BGPsec/ASPA）が必要ですが、こちらは普及がはるかに進んでいません。