論文の概要: The Fault in Our Drafts: Vulnerabilities in RPKI Specification and Software
- arxiv url: http://arxiv.org/abs/2605.26986v1
- Date: Tue, 26 May 2026 13:11:22 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-27 17:51:42.17646
- Title: The Fault in Our Drafts: Vulnerabilities in RPKI Specification and Software
- Title(参考訳): ドラフトの欠陥:RPKI仕様とソフトウェアにおける脆弱性
- Authors: Oliver Jacobsen, Tobias Kirsch, Haya Schulmann, Niklas Vogel, Michael Waidner,
- Abstract要約: 本稿では,RPKI Requests for Comments(RFC)の欠陥と,実装および実世界のデプロイにおける脆弱性の因果関係を包括的に解析する。
RPKI仕様の大規模かつインパクト駆動的な評価を行う。
我々は、以前に文書化されていない検証動作の不整合を発見し、RFCの欠陥に23を直接トレースし、CVEに割り当てられた2つの新しい脆弱性を特定した。
- 参考スコア(独自算出の注目度): 36.21059906855454
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: The Resource Public Key Infrastructure (RPKI) secures the Internet's routing system by defining a complex trust and validation framework for certificates, Route Origin Authorizations (ROAs), manifests, and Certificate Revocation Lists (CRLs). These mechanisms are specified across dozens of RFCs. This paper presents the first comprehensive analysis of the causal link between flaws in RPKI Requests for Comments (RFCs) and vulnerabilities in implementations and real-world deployments. We reveal how vague, conflicting, or underspecified requirements in 50 RPKI RFCs propagate into inconsistent implementation behavior and operational failures. We conduct the first large-scale, impact-driven evaluation of RPKI specifications. Our methodology combines differential fuzzing of major RPKI implementations with Internet-wide crawling and validation log analysis, enabling us to trace practical vulnerabilities back to flawed RFC requirements. We uncover 61 previously undocumented inconsistencies in validation behavior, trace 23 directly to RFC flaws, and identify two novel vulnerabilities that were assigned CVEs. Our findings reveal that these are not isolated coding errors but rather systemic issues inherent in how RPKI standards are written, interpreted, and implemented. To mitigate these threats, we propose concrete recommendations and introduce a novel alerting service that monitors and reports live inconsistencies in RPKI deployments. Our open-source datasets, code, and tools support reproducibility and further research.
- Abstract(参考訳): Resource Public Key Infrastructure (RPKI)は、証明書、ROA(Route Origin Authorizations)、マニフェスト、CRL(Certificate Revocation Lists)の複雑な信頼と検証フレームワークを定義することで、インターネットのルーティングシステムを保護する。
これらのメカニズムは、数十のRFCにまたがる。
本稿では,RPKI Requests for Comments(RFC)の欠陥と,実装および実世界のデプロイにおける脆弱性の因果関係を包括的に解析する。
50のRPKI RFCが不整合な実装動作や運用上の失敗にどのように伝播するかを明らかにする。
RPKI仕様の大規模かつインパクト駆動的な評価を行う。
提案手法は,主要なRPKI実装のファジリングとインターネット全体のクローリングとバリデーションログ解析を組み合わせることで,実際の脆弱性を欠陥のあるRFC要求に遡ることができる。
我々は、以前に文書化されていない検証動作の不整合を発見し、RFCの欠陥に23を直接トレースし、CVEに割り当てられた2つの新しい脆弱性を特定した。
この結果から,これらは分離されたコーディングエラーではなく,RPKI標準の記述,解釈,実装の方法に固有のシステム的問題であることが判明した。
これらの脅威を軽減するため,具体的な勧告を提案し,RPKIデプロイメントにおけるライブ不整合を監視し,報告する新たな警告サービスを導入する。
オープンソースデータセット、コード、ツールが再現性とさらなる研究を支援しています。
関連論文リスト
- Why Does the LLM Stop Computing: An Empirical Study of User-Reported Failures in Open-Source LLMs [50.075587392477935]
オープンソースのDeepSeek、Llama、Qwenのエコシステムから、705の現実世界の失敗に関する大規模な実証的研究を行った。
ホワイトボックスオーケストレーションは、モデルアルゴリズムの欠陥からデプロイメントスタックのシステム的脆弱性へと、信頼性のボトルネックを移動させます。
論文 参考訳(メタデータ) (2026-01-20T06:42:56Z) - Uncovering Gaps Between RFC Updates and TCP/IP Implementations: LLM-Facilitated Differential Checks on Intermediate Representations [21.889716987837428]
プロトコルスタックコードの実装とRFC標準の間にはしばしば矛盾があります。
この矛盾はプロトコル機能の違いを引き起こすだけでなく、深刻なセキュリティ上の脆弱性を引き起こす可能性がある。
大規模言語モデルの台頭により、RFC文書からプロトコル仕様を抽出する方法が研究され始めている。
論文 参考訳(メタデータ) (2025-10-28T13:19:46Z) - ReliabilityRAG: Effective and Provably Robust Defense for RAG-based Web-Search [69.60882125603133]
本稿では,検索した文書の信頼性情報を明確に活用する,敵対的堅牢性のためのフレームワークであるReliabilityRAGを提案する。
我々の研究は、RAGの回収されたコーパスの腐敗に対するより効果的で確実に堅牢な防御に向けた重要な一歩である。
論文 参考訳(メタデータ) (2025-09-27T22:36:42Z) - Pruning the Tree: Rethinking RPKI Architecture From The Ground Up [2.340368527699536]
Resource Public Key Infrastructure (RPKI)は、BGPにとって重要なセキュリティメカニズムである。
RPKI設計では、X.509 EE-certificates、ASN.1エンコーディング、XMLベースのリポジトリプロトコルなどのレガシーPKIコンポーネントを多用している。
これらの設計選択は、確立された標準に基づいて、重大なパフォーマンスボトルネックを発生させ、脆弱性表面を増大させ、広範囲なインターネット展開のスケーラビリティを阻害することを示します。
論文 参考訳(メタデータ) (2025-07-02T08:24:50Z) - Retrieval is Not Enough: Enhancing RAG Reasoning through Test-Time Critique and Optimization [58.390885294401066]
Retrieval-augmented Generation (RAG) は知識基底型大規模言語モデル(LLM)を実現するためのパラダイムとして広く採用されている。
RAGパイプラインは、モデル推論が得られた証拠と整合性を維持するのに失敗することが多く、事実上の矛盾や否定的な結論につながる。
批判駆動アライメント(CDA)に基づく新しい反復的枠組みであるAlignRAGを提案する。
AlignRAG-autoは、動的に洗練を終了し、批判的な反復回数を事前に指定する必要がなくなる自律的な変種である。
論文 参考訳(メタデータ) (2025-04-21T04:56:47Z) - SoK: An Introspective Analysis of RPKI Security [19.075820340282938]
Resource Public Key Infrastructure (RPKI)は、BGPによるドメイン間ルーティングをプレフィックスのハイジャックから保護する主要なメカニズムである。
現在、グローバルプレフィックスのほぼ半分はRPKIでカバーされており、27%のネットワークが既にRPKIを使用してBGPの発表を検証していることを示している。
論文 参考訳(メタデータ) (2024-08-22T12:57:09Z) - Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。
我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
論文 参考訳(メタデータ) (2024-05-03T07:18:45Z) - The CURE To Vulnerabilities in RPKI Validation [19.36803276657266]
RPKIの採用は増加しており、主要なネットワークの37.8%がBGPルートをフィルタリングしている。
境界ルータのRPKIバリデーションをダウングレードするために、合計18の脆弱性を悪用できると報告する。
6億以上のテストケースを生成し、人気のあるRPをすべてテストしました。
論文 参考訳(メタデータ) (2023-12-04T13:09:37Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。