Hvad er Internet Key Exchange?
Internet Key Exchange (IKE) er et sæt supportprotokoller oprettet af Internet Engineering Task Force (IETF) og brugt med Internet Protocol Security (IPSec) standarder til at give sikker kommunikation mellem to enheder eller peers over et netværk. Som en protokol kan IKE bruges i en række softwareapplikationer. Et almindeligt eksempel er opsætning af et sikkert virtuelt privat netværk (VPN). Selvom det er standard på stort set alle moderne computeroperativsystemer og netværksudstyr, er meget af, hvad Internet Key Exchange gør skjult for gennemsnittets bruger.
Protokollerne i IKE opretter det, der kaldes en sikkerhedsforening (SA) mellem to eller flere kammerater over IPSec, hvilket er påkrævet for enhver sikker kommunikation via IPSec. SA definerer den kryptografiske algoritme, der bruges i kommunikationen, krypteringsnøglerne og deres udløbsdatoer; alt dette går derefter ind i hver peers sikkerhedssammenslutningsdatabase (SAD). Mens IPSec kan have sit SA konfigureret manuelt, forhandler og etablerer Internet Key Exchange sikkerhedsforeningerne blandt peers automatisk, herunder muligheden for at oprette sine egne.
Internet Key Exchange er kendt som en hybridprotokol. IKE bruger en protokolramme kaldet Internet Security Association og Key Management Protocol (ISAKMP). ISAKMP giver IKE muligheden for at etablere SA og udfører arbejdet med at definere formatet for datalasten og beslutte, hvilken nøgleudvekslingsprotokol der skal bruges. ISAKMP er i stand til at bruge flere metoder til udveksling af nøgler, men dens implementering i IKE bruger aspekter af to. Det meste af nøgleudvekslingsprocessen bruger OAKLEY Key Determination Protocol (OAKLEY) -metoden, som definerer de forskellige tilstande, men IKE bruger også nogle af Source Key Exchange Mechanism (SKEME) -metoden, som giver mulighed for offentlig nøglekryptering og har evnen til at opdater taster hurtigt.
Når kolleger ønsker at kommunikere sikkert, sender de det, der kaldes "interessant trafik" til hinanden. Interessant trafik er meddelelser, der overholder en IPSec-politik, der er etableret på peers. Et eksempel på denne politik, der findes i firewalls og routere, kaldes en adgangsliste. Adgangslisten får en kryptografipolitik, hvorved visse udsagn i politikken afgør, om specifikke data, der sendes via forbindelsen, skal krypteres eller ej. Når de kammerater, der er interesseret i sikker kommunikation, har matchet en IPSec-sikkerhedspolitik med hinanden, begynder Internet Key Exchange-processen.
IKE-processen finder sted i faser. Mange sikre forbindelser begynder i en usikret tilstand, så den første fase forhandler om, hvordan de to kolleger vil fortsætte processen med sikker kommunikation. IKE autentificerer først peers identitet og sikrer derefter deres identitet ved at bestemme, hvilke sikkerhedsalgoritmer begge peers vil bruge. Ved hjælp af Diffie-Hellman-kryptografiprotokollen med offentlig nøgle, som er i stand til at oprette matchende nøgler via et ubeskyttet netværk, opretter Internet Key Exchange sessiontaster. IKE afslutter fase 1 med at oprette en sikker forbindelse, en tunnel, mellem de jævnaldrende, der vil blive brugt i fase 2.
Når IKE går ind i fase 2, bruger peers de nye IKE SA til at oprette IPSec-protokoller, de vil bruge i resten af deres forbindelse. Der etableres en godkendelseshoved (AH), der vil verificere, at de sendte meddelelser modtages intakt. Pakker skal også krypteres, så IPSec bruger derefter den indkapslende sikkerhedsprotokol (ESP) til at kryptere pakkerne, så de beskyttes mod nysgerrige øjne. AH beregnes baseret på indholdet i pakken, og pakken er krypteret, så pakkerne er sikret fra enhver, der forsøger at udskifte pakker med falske eller læse indholdet af en pakke.
IKE udveksler også kryptografiske nonces i fase 2. En nonce er et tal eller streng, der kun bruges én gang. Noten bruges derefter af en peer, hvis den er nødt til at oprette en ny hemmelig nøgle eller for at forhindre, at en angriber genererer falske SA'er, hvilket forhindrer det, der kaldes et replayangreb.
Fordelene ved en flerfaset fremgangsmåde for IKE er, at ved at bruge fase 1 SA, kan en af peer til enhver tid indlede en fase 2 for at forhandle om en ny SA for at sikre, at kommunikationen forbliver sikker. Når Internet Key Exchange har afsluttet sine faser, oprettes en IPSec-tunnel til udveksling af information. Pakkerne, der sendes via tunnelen, krypteres og dekrypteres i henhold til de SA'er, der er etableret i fase 2. Når den er færdig, afsluttes tunnelen ved enten at udløbe på grundlag af en forudbestemt tidsbegrænsning, eller efter at en vis mængde data er overført. Naturligvis kan yderligere IKE-fase 2-forhandlinger holde tunnelen åben eller alternativt starte en ny fase 1 og fase 2-forhandling for at etablere en ny, sikker tunnel.