Co je internetová výměna klíčů?
Internetová výměna klíčů (IKE) je sada protokolů podpůrných protokolů vytvořených pracovní skupinou Internet Engineering Task Force (IETF) a používanými standardy pro zabezpečení internetového protokolu (IPSEC) k zajištění bezpečné komunikace mezi dvěma zařízeními nebo vrstevníky přes síť. Jako protokol lze IKE použít v řadě softwarových aplikací. Jedním z běžných příkladů je nastavení zabezpečené virtuální soukromé sítě (VPN). Zatímco standard pro prakticky ve všech moderních počítačových operačních systémech a síťových zařízeních, hodně z toho, co internetová výměna klíčů dělá, je skryto před pohledem na průměrného uživatele.
Protokoly v IKE stanoví, co se nazývá bezpečnostní asociace (SA) mezi dvěma nebo více vrstevníky nad IPSEC, což je vyžadováno pro jakoukoli zabezpečenou komunikaci prostřednictvím IPSEC. SA definuje kryptografický algoritmus používaný v komunikaci, šifrovacích klíčích a jejich datech vypršení; To vše pak přejde do databáze asociace bezpečnostních asociace každého (SAD). Zatímco IPsec může mít SA nakonfigurován ručně,Internetová výměna klíčů vyjednává a zavádí automaticky bezpečnostní sdružení mezi vrstevníky, včetně schopnosti vytvořit si vlastní.
Internetová výměna klíčů je známá jako hybridní protokol. IKE využívá rámec protokolu známého jako Asociace Internet Security Association and Key Management Protocol (ISAKMP). ISAKMP poskytuje IKE schopnost založit SA a provádí úlohy definování formátu datového užitečného zatížení a rozhodování o protokolu pro výměnu klíčů, který bude použit. ISAKMP je schopen použít několik metod pro výměnu klíčů, ale jeho implementace v IKE používá aspekty dvou. Většina procesu výměny klíčů používá metodu Oakley Key Determination Protocol (Oakley), která definuje různé režimy, ale Ike také používá některé metody výměny mechanismu zdrojových klíčů (Skeme), která umožňuje šifrování veřejného klíče a má schopnost rychle aktualizovat klíče.
Když si vrstevníci přejí bezpečně komunikovat, posílají navzájem to, co se nazývá „zajímavý provoz“. Zajímavým provozem jsou zprávy, které dodržují politiku IPSEC, která byla stanovena na vrstevnících. Jeden příklad této politiky nalezených v firewallech a směrovačích se nazývá seznamu přístupu. Seznam přístupu je poskytnut politiku kryptografie, pomocí které určitá prohlášení v rámci politiky určují, zda by měly být šifrovány konkrétní údaje zaslané přes připojení. Jakmile se vrstevníci, kteří mají zájem o zabezpečenou komunikaci, spojili mezi sebou bezpečnostní politiku IPSEC, začíná proces výměny internetových klíčů.
Proces IKE probíhá ve fázích. Mnoho zabezpečených spojení začíná v nezajištěném stavu, takže první fáze vyjednává, jak budou oba vrstevníci pokračovat v procesu bezpečné komunikace. IKE nejprve ověřuje identitu vrstevníků a poté zajistí jejich identitu určením, které bezpečnostní algoritmy oba vrstevníci použijí. Pomocí diffie-hellman pProtokol o kryptografii Ublic Key, který je schopen vytvářet odpovídající klíče prostřednictvím nechráněné sítě, vytváří internetová výměna klíčů klíče. IKE dokončí fázi 1 vytvořením zabezpečeného připojení, tunelu, mezi vrstevníky, které budou použity ve fázi 2.
6 Je zavedena ověřovací záhlaví (AH), která ověřuje, že odesílané zprávy jsou přijímány neporušené. Pakety musí být také šifrovány, takže IPSec pak použije k šifrování paketů zapouzdřující bezpečnostní protokol (ESP), čímž je chrání v bezpečí před zvědavýma očima. AH se počítá na základě obsahu paketu a paket je šifrován, takže pakety jsou zajištěny od kohokoli, kdo se pokouší nahradit pakety za falešné nebo čtení obsahu paketu.ike si také vyměňuje kryptografické nonces během fáze 2.. nonce je číslo nebo řetězec, který se používá pouze jednou.Neces je pak používán vrstevníkem, pokud potřebuje vytvořit nový tajný klíč nebo zabránit útočníkovi ve generování falešných SAS, což zabrání tomu, čemu se říká útok na přehrávání.
Výhody vícefázového přístupu pro IKE je to, že pomocí fáze 1 SA může buď peer zahájit fázi 2 kdykoli, aby znovu vyjel novou SA, aby zajistil, že komunikace zůstane bezpečná. Poté, co internetová výměna klíčů dokončí své fáze, je pro výměnu informací vytvořen tunel IPSEC. Pakety odeslané tunelem jsou šifrovány a dešifrovány podle SAS stanoveného během fáze 2. Po dokončení tunel končí buď vypršením vypršením na základě předem stanoveného časového limitu, nebo po přenosu určitého množství dat. Další jednání IKE fáze 2 může samozřejmě udržovat tunel otevřený nebo alternativně zahájit nové vyjednávání fáze 1 a fáze 2, aby se vytvořil nový, bezpečný tunel.