Was ist der Internet-Schlüsselaustausch?

Der Internet Key Exchange (IKE) ist ein Satz von Unterstützungsprotokollen, die von der Internet Engineering Task Force (IETF) erstellt und mit IPSec-Standards (Internet Protocol Security) verwendet werden, um eine sichere Kommunikation zwischen zwei Geräten oder Peers über ein Netzwerk bereitzustellen. Als Protokoll kann IKE in einer Reihe von Softwareanwendungen verwendet werden. Ein häufiges Beispiel ist das Einrichten eines sicheren virtuellen privaten Netzwerks (VPN). Während dies bei praktisch allen modernen Computerbetriebssystemen und Netzwerkgeräten Standard ist, ist ein Großteil der Funktionen von Internet Key Exchange für den Durchschnittsbenutzer nicht sichtbar.

Die Protokolle in IKE richten eine sogenannte Sicherheitszuordnung (Security Association, SA) zwischen zwei oder mehr Peers über IPSec ein, die für eine sichere Kommunikation über IPSec erforderlich ist. Die Sicherheitszuordnung definiert den in der Kommunikation verwendeten kryptografischen Algorithmus, die Verschlüsselungsschlüssel und deren Ablaufdaten. Dies alles wird dann in die Sicherheitszuordnungsdatenbank (SAD) jedes Peers eingegeben. Während für IPSec die SA manuell konfiguriert werden kann, handelt der Internet Key Exchange die Sicherheitszuordnungen zwischen Peers automatisch aus und richtet sie ein, einschließlich der Möglichkeit, eigene zu erstellen.

Der Internet-Schlüsselaustausch wird als Hybridprotokoll bezeichnet. IKE verwendet ein Protokollframework, das als Internet Security Association und Key Management Protocol (ISAKMP) bezeichnet wird. ISAKMP bietet IKE die Möglichkeit, die Sicherheitszuordnung einzurichten und das Format der Datennutzlast zu definieren und das zu verwendende Schlüsselaustauschprotokoll festzulegen. ISAKMP kann verschiedene Methoden zum Austauschen von Schlüsseln verwenden, bei der Implementierung in IKE werden jedoch Aspekte von zwei verwendet. Der Großteil des Schlüsselaustauschprozesses verwendet die OAKLEY-Methode (OAKLEY Key Determination Protocol), mit der die verschiedenen Modi definiert werden. IKE verwendet jedoch auch einige der SKEME-Methoden (Source Key Exchange Mechanism), die die Verschlüsselung öffentlicher Schlüssel ermöglichen und dies ermöglichen Schlüssel schnell aktualisieren.

Wenn Gleichaltrige sicher kommunizieren möchten, senden sie sich gegenseitig den sogenannten "interessanten Verkehr". Interessanter Datenverkehr sind Nachrichten, die einer auf den Peers festgelegten IPSec-Richtlinie entsprechen. Ein Beispiel für diese Richtlinie in Firewalls und Routern ist eine Zugriffsliste. Die Zugriffsliste erhält eine Kryptografierichtlinie, mit der bestimmte Anweisungen in der Richtlinie festlegen, ob bestimmte über die Verbindung gesendete Daten verschlüsselt werden sollen oder nicht. Sobald die an sicherer Kommunikation interessierten Peers eine IPSec-Sicherheitsrichtlinie aufeinander abgestimmt haben, beginnt der Internet Key Exchange-Prozess.

Der IKE-Prozess findet in Phasen statt. Viele sichere Verbindungen beginnen in einem ungesicherten Zustand. In der ersten Phase wird ausgehandelt, wie die beiden Peers den Prozess der sicheren Kommunikation fortsetzen sollen. IKE authentifiziert zuerst die Identität der Peers und sichert dann ihre Identität, indem bestimmt wird, welche Sicherheitsalgorithmen beide Peers verwenden. Unter Verwendung des Diffie-Hellman-Kryptographieprotokolls für öffentliche Schlüssel, mit dem über ein ungeschütztes Netzwerk übereinstimmende Schlüssel erstellt werden können, erstellt der Internet-Schlüsselaustausch Sitzungsschlüssel. IKE beendet Phase 1 durch Herstellen einer sicheren Verbindung, eines Tunnels, zwischen den Peers, die in Phase 2 verwendet werden.

Wenn IKE in Phase 2 eintritt, verwenden die Peers die neue IKE SA zum Einrichten der IPSec-Protokolle, die sie während der verbleibenden Verbindungsdauer verwenden. Ein Authentifizierungsheader (AH) wird eingerichtet, der überprüft, ob gesendete Nachrichten intakt empfangen werden. Pakete müssen ebenfalls verschlüsselt werden, sodass IPSec das ESP-Protokoll (Encapsulating Security Protocol) verwendet, um die Pakete zu verschlüsseln und sie vor neugierigen Blicken zu schützen. Der AH wird basierend auf dem Inhalt des Pakets berechnet und das Paket wird verschlüsselt, sodass die Pakete vor jedem geschützt sind, der versucht, Pakete durch falsche zu ersetzen oder den Inhalt eines Pakets zu lesen.

IKE tauscht in Phase 2 auch kryptografische Nonces aus. Ein Nonce ist eine Zahl oder Zeichenfolge, die nur einmal verwendet wird. Das Nonce wird dann von einem Peer verwendet, wenn er einen neuen geheimen Schlüssel erstellen oder einen Angreifer daran hindern muss, gefälschte Sicherheitszuordnungen zu generieren. Dies verhindert einen sogenannten Wiederholungsangriff.

Der Vorteil eines mehrphasigen Ansatzes für IKE besteht darin, dass bei Verwendung der Phase 1-Sicherheitszuordnung jeder Peer jederzeit eine Phase 2 einleiten kann, um eine neue Sicherheitszuordnung neu auszuhandeln, um sicherzustellen, dass die Kommunikation sicher bleibt. Nachdem der Internet-Schlüsselaustausch seine Phasen abgeschlossen hat, wird ein IPSec-Tunnel für den Informationsaustausch erstellt. Die über den Tunnel gesendeten Pakete werden gemäß den in Phase 2 eingerichteten Sicherheitszuordnungen verschlüsselt und entschlüsselt. Wenn der Tunnel abgeschlossen ist, endet er entweder mit einem festgelegten Zeitlimit oder nachdem eine bestimmte Datenmenge übertragen wurde. Natürlich können zusätzliche IKE-Phase-2-Verhandlungen den Tunnel offen halten oder alternativ eine neue Phase-1- und Phase-2-Verhandlung beginnen, um einen neuen, sicheren Tunnel einzurichten.

ANDERE SPRACHEN

War dieser Artikel hilfreich? Danke für die Rückmeldung Danke für die Rückmeldung

Wie können wir helfen? Wie können wir helfen?

IN VERBINDUNG STEHENDE ARTIKEL