Co je to Internet Key Exchange?

Výměna internetového klíče (IKE) je sada podpůrných protokolů vytvořených pracovní skupinou Internet Engineering Task Force (IETF) a používaná se standardy zabezpečení internetového protokolu (IPSec) k zajištění bezpečné komunikace mezi dvěma zařízeními nebo vrstevníky v síti. Jako protokol lze IKE použít v řadě softwarových aplikací. Jedním z běžných příkladů je nastavení zabezpečené virtuální soukromé sítě (VPN). I když je standard prakticky na všech moderních počítačových operačních systémech a síťových zařízeních, většina toho, co Internet Key Exchange dělá, je skryta před průměrným uživatelem.

Protokoly v IKE stanoví, co se nazývá bezpečnostní asociace (SA) mezi dvěma nebo více vrstevníky přes IPSec, což je vyžadováno pro veškerou zabezpečenou komunikaci přes IPSec. SA definuje kryptografický algoritmus, který se používá při komunikaci, šifrovací klíče a jejich data vypršení platnosti; to vše pak přejde do každé asociační databáze přidružení zabezpečení (SAD). IPSec si může nechat nakonfigurovat SA ručně, ale Internet Key Exchange automaticky vyjednává a navazuje bezpečnostní asociace mezi kolegy, včetně možnosti vytvořit si vlastní.

Internet Key Exchange je známý jako hybridní protokol. IKE využívá protokolový rámec známý jako Internet Security Association a Key Management Protocol (ISAKMP). ISAKMP poskytuje IKE schopnost zřídit SA a provádí úlohy definování formátu datového zatížení dat a rozhodování o použitém protokolu výměny klíčů. ISAKMP je schopen používat několik metod pro výměnu klíčů, ale jeho implementace v IKE využívá aspekty dvou. Většina procesu výměny klíčů používá metodu OAKLEY Key Determination Protocol (OAKLEY), která definuje různé režimy, ale IKE také používá některou z metod mechanismu výměny klíčového klíče (SKEME), která umožňuje šifrování veřejného klíče a má schopnost rychle aktualizujte klíče.

Když si vrstevníci přejí bezpečně komunikovat, vzájemně si posílají tzv. „Zajímavý provoz“. Zajímavý provoz jsou zprávy, které dodržují zásady IPSec, které byly stanoveny na vrstevníky. Jeden příklad této zásady nalezený ve firewallech a směrovačích se nazývá seznam přístupů. Přístupovému seznamu je přidělena kryptografická politika, podle níž určitá prohlášení v rámci politiky určují, zda konkrétní data odesílaná prostřednictvím připojení by měla být šifrována či nikoli. Jakmile partneři, kteří se zajímají o bezpečnou komunikaci, vzájemně porovnají bezpečnostní politiku IPSec, začne proces výměny internetového klíče.

Proces IKE probíhá ve fázích. Mnoho zabezpečených připojení začíná v nezabezpečeném stavu, takže první fáze vyjednává, jak budou tito dva kolegové pokračovat v procesu zabezpečené komunikace. IKE nejprve autentizuje identitu peerů a poté si zajistí jejich identitu určením, které bezpečnostní algoritmy budou oba peers používat. S využitím protokolu kryptografie veřejného klíče Diffie-Hellman, který je schopen vytvářet shodné klíče prostřednictvím nechráněné sítě, vytvoří Internet Key Exchange relační klíče. IKE dokončí fázi 1 vytvořením zabezpečeného spojení, tunelu, mezi vrstevníky, které budou použity ve fázi 2.

Když IKE vstoupí do fáze 2, používají kolegové novou IKE SA pro nastavení protokolů IPSec, které budou používat během zbývající části jejich připojení. Je vytvořena autentizační hlavička (AH), která ověří, že odeslané zprávy jsou přijaty neporušené. Pakety musí být také šifrovány, takže IPSec pak používá šifrovací bezpečnostní protokol (ESP) k šifrování paketů, čímž je chrání před zvědavýma očima. AH se počítá na základě obsahu paketu a paket je šifrován, takže pakety jsou zabezpečeny od kohokoli, kdo se pokouší nahradit pakety falešnými nebo načíst obsah paketu.

IKE také během fáze 2 vyměňuje kryptografické ncesy. Nec je číslo nebo řetězec, který se používá pouze jednou. Nonce je pak používán vrstevníkem, pokud potřebuje vytvořit nový tajný klíč nebo zabránit útočníkovi ve vytváření falešných SA, což zabrání tomu, co se nazývá opakovaný útok.

Výhodou vícefázového přístupu pro IKE je to, že s využitím fáze 1 SA může kterýkoli partner zahájit fázi 2 kdykoli, aby znovu vyjednal nové SA, aby zajistil, že komunikace zůstane v bezpečí. Po dokončení fází výměny internetového klíče je vytvořen tunel IPSec pro výměnu informací. Pakety odeslané tunelem jsou šifrovány a dešifrovány podle SA vytvořených během fáze 2. Po dokončení tunel končí, buď vyprší na základě předem stanovené časové lhůty, nebo po přenesení určitého množství dat. Samozřejmě, další vyjednávání IKE fáze 2 mohou udržovat tunel otevřený nebo alternativně zahájit nové vyjednávání fáze 1 a fáze 2 a vytvořit nový bezpečný tunel.