論文の概要: A new efficient RPKI Design

• arxiv url: http://arxiv.org/abs/2507.01465v1
• Date: Wed, 02 Jul 2025 08:24:50 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-07-03 14:23:00.098673
• Title: A new efficient RPKI Design
• Title（参考訳）: 新しい効率的なRPKI設計法
• Authors: Haya Schulmann, Niklas Vogel,
• Abstract要約: Resource Public Key Infrastructure (RPKI)は、BGPにとって重要なセキュリティメカニズムである。 RPKI設計では、X.509 EE-certificates、ASN.1エンコーディング、XMLベースのリポジトリプロトコルなどのレガシーPKIコンポーネントを多用している。 これらの設計選択は、確立された標準に基づいて、重大なパフォーマンスボトルネックを発生させ、脆弱性表面を増大させ、広範囲なインターネット展開のスケーラビリティを阻害することを示します。
• 参考スコア（独自算出の注目度）: 2.340368527699536
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Resource Public Key Infrastructure (RPKI) is a critical security mechanism for BGP, but the complexity of its architecture is a growing concern as its adoption scales. Current RPKI design heavily reuses legacy PKI components, such as X.509 EE-certificates, ASN.1 encoding, and XML-based repository protocols, all these introduce excessive cryptographic validation, redundant metadata, and inefficiencies in both storage and processing. We show that these design choices, although based on established standards, create significant performance bottlenecks, increase the vulnerability surface, and hinder scalability for wide-scale Internet deployment. In this paper, we perform the first systematic analysis of the root causes of complexity in RPKI's design and experimentally quantify their real-world impact. We show that over 70% of validation time in RPKI relying parties is spent on certificate parsing and signature verification, much of it unnecessary. Building on this insight, we introduce the improved RPKI (iRPKI), a backwards-compatible redesign that preserves all security guarantees while substantially reducing protocol overhead. iRPKI eliminates EE-certificates and ROA signatures, merges revocation and integrity objects, replaces verbose encodings with Protobuf, and restructures repository metadata for more efficient access. We experimentally demonstrate that our implementation of iRPKI in the Routinator validator achieves a 20x speed-up of processing time, 18x improvement of bandwidth requirements and 8x reduction in cache memory footprint, while also eliminating classes of vulnerabilities that have led to at least 10 vulnerabilities in RPKI software. iRPKI significantly increases the feasibility of deploying RPKI at scale in the Internet, and especially in constrained environments. Our design may be deployed incrementally without impacting existing operations.
• Abstract（参考訳）: Resource Public Key Infrastructure(RPKI)は、BGPにとって重要なセキュリティメカニズムであるが、そのアーキテクチャの複雑さは、採用規模が大きくなるにつれて懸念が高まる。 現在のRPKI設計では、X.509のようなレガシーPKIコンポーネントを多用している。 EE-certificates、ASN.1エンコーディング、XMLベースのリポジトリプロトコルは、すべて過剰な暗号検証、冗長なメタデータ、ストレージと処理の両方における非効率を導入している。 これらの設計選択は、確立された標準に基づいて、重大なパフォーマンスボトルネックを発生させ、脆弱性表面を増大させ、広範囲なインターネット展開のスケーラビリティを阻害することを示します。 本稿では,RPKIの設計における複雑性の根本原因を初めて体系的に解析し,実世界への影響を実験的に定量化する。 RPKIの検証期間の70%以上は証明書解析や署名検証に費やされているが、その多くは不要である。 この知見に基づいて,プロトコルオーバーヘッドを大幅に削減しつつ,すべてのセキュリティ保証を維持できる後方互換性のある再設計である改良RPKI(iRPKI)を導入する。 iRPKIはEE-certificatesとROAシグネチャを排除し、呼び出しと整合性オブジェクトをマージし、冗長エンコーディングをProtobufに置き換え、より効率的なアクセスのためにリポジトリメタデータを再構成する。 実験により、我々は、Reutinator ValidatorにおけるiRPKIの実装により、処理時間の20倍の高速化、帯域幅の18倍の改善、キャッシュメモリフットプリントの8倍の削減を実現し、RPKIソフトウェアに少なくとも10の脆弱性をもたらす脆弱性のクラスを排除した。 iRPKIは、インターネット、特に制約のある環境でのRPKIの大規模展開の実現可能性を大幅に向上させる。 私たちの設計は、既存の運用に影響を与えることなく、段階的にデプロイされます。

関連論文リスト

• Rudraksh: A compact and lightweight post-quantum key-encapsulation mechanism [5.002862916626837]
  ワイヤレスセンサやIoT(Internet of Things)デバイスといった、リソースに制約のあるデバイスは、私たちのデジタルエコシステムにおいてユビキタスになっています。 既存の公開鍵暗号スキームに対する量子コンピュータの差し迫った脅威とIoTデバイス上で利用可能な限られたリソースのため、これらのデバイスに適した軽量なポスト量子暗号スキームが重要である。 本研究では,資源制約デバイスに適した軽量キーカプセル化機構(KEM)を設計するために,エラーベースのPQCスキームを用いた学習空間について検討する。
  論文  参考訳（メタデータ） (2025-01-23T16:16:23Z)
• ACRIC: Securing Legacy Communication Networks via Authenticated Cyclic Redundancy Integrity Check [98.34702864029796]
  安全クリティカルな業界における最近のセキュリティインシデントは、適切なメッセージ認証の欠如により、攻撃者が悪意のあるコマンドを注入したり、システムの振る舞いを変更することができることを明らかにした。 これらの欠点は、サイバーセキュリティを強化するために圧力をかける必要性を強調する新しい規制を引き起こしている。 我々は,レガシ産業通信をセキュアにするためのメッセージ認証ソリューションであるACRICを紹介する。
  論文  参考訳（メタデータ） (2024-11-21T18:26:05Z)
• RPKI: Not Perfect But Good Enough [18.399905446335904]
  Resource Public Key Infrastructureプロトコルは、インターネットルーティングに暗号化セキュリティを追加するために標準化された。 ホワイトハウスは2024年9月4日、インターネットセキュリティへのロードマップで、RPKIはドメイン間ルーティングを確保するための成熟した、容易に利用できる技術であることを示した。 本研究は、RPKIの成熟度を実運用レベルの技術として初めて包括的に研究したものである。
  論文  参考訳（メタデータ） (2024-09-22T16:21:14Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• SoK: An Introspective Analysis of RPKI Security [19.075820340282938]
  Resource Public Key Infrastructure (RPKI)は、BGPによるドメイン間ルーティングをプレフィックスのハイジャックから保護する主要なメカニズムである。 現在、グローバルプレフィックスのほぼ半分はRPKIでカバーされており、27%のネットワークが既にRPKIを使用してBGPの発表を検証していることを示している。
  論文  参考訳（メタデータ） (2024-08-22T12:57:09Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• Byzantine-Secure Relying Party for Resilient RPKI [17.461853355858022]
  我々は、ビザンチン・セキュアなサードパーティ実装であるBRPを開発する。 我々は,RPKIリポジトリの障害,ジッタ,アタックにもかかわらず,BRPがRPKIのパブリッシュポイントの負荷を低減し,ロバストなアウトプットを実現するというシミュレーションと実験を通して示す。
  論文  参考訳（メタデータ） (2024-05-01T14:04:48Z)
• The CURE To Vulnerabilities in RPKI Validation [19.36803276657266]
  RPKIの採用は増加しており、主要なネットワークの37.8%がBGPルートをフィルタリングしている。 境界ルータのRPKIバリデーションをダウングレードするために、合計18の脆弱性を悪用できると報告する。 6億以上のテストケースを生成し、人気のあるRPをすべてテストしました。
  論文  参考訳（メタデータ） (2023-12-04T13:09:37Z)
• Structured Sparsity Learning for Efficient Video Super-Resolution [99.1632164448236]
  我々は、ビデオ超解像(VSR)モデルの特性に応じて、構造化スパシティ学習(SSL)と呼ばれる構造化プルーニング手法を開発する。 SSLでは,残差ブロック,リカレントネットワーク,アップサンプリングネットワークなど,VSRモデルのいくつかの重要なコンポーネントに対するプルーニングスキームを設計する。
  論文  参考訳（メタデータ） (2022-06-15T17:36:04Z)
• ISTR: End-to-End Instance Segmentation with Transformers [147.14073165997846]
  ISTRと呼ばれるインスタンスセグメンテーショントランスフォーマーを提案します。これは、その種類の最初のエンドツーエンドフレームワークです。 ISTRは低次元マスクの埋め込みを予測し、それらのマスクの埋め込みと一致する。 ISTRは、提案されたエンドツーエンドのメカニズムにより、近似ベースのサブオプティマティック埋め込みでも最先端のパフォーマンスを発揮します。
  論文  参考訳（メタデータ） (2021-05-03T06:00:09Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。