Hva er Internet Key Exchange?
Internet Key Exchange (IKE) er et sett med støtteprotokoller som er opprettet av Internet Engineering Task Force (IETF) og brukt med Internet Protocol Security (IPSec) standarder for å gi sikker kommunikasjon mellom to enheter, eller jevnaldrende, over et nettverk. Som protokoll kan IKE brukes i en rekke programvare. Et vanlig eksempel er å sette opp et sikkert virtuelt privat nettverk (VPN). Mens standard på praktisk talt alle moderne datamaskinoperativsystemer og nettverksutstyr, er mye av hva Internet Key Exchange gjør skjult for visningen av den gjennomsnittlige brukeren.
Protokollene i IKE etablerer det som kalles en sikkerhetsforening (SA) mellom to eller flere jevnaldrende over IPSec, som er nødvendig for all sikker kommunikasjon via IPSec. SA definerer den kryptografiske algoritmen som brukes i kommunikasjonen, krypteringsnøklene og utløpsdatoer. alt dette går deretter inn i hver peers sikkerhetsforeningsdatabase (SAD). Mens IPSec kan ha sin SA konfigurert manuelt, forhandler og etablerer Internet Key Exchange sikkerhetsforeningene blant jevnaldrende, inkludert muligheten til å lage sine egne.
Internet Key Exchange er kjent som en hybridprotokoll. IKE benytter seg av et protokollramme kjent som Internet Security Association og Key Management Protocol (ISAKMP). ISAKMP gir IKE muligheten til å etablere SA, og gjør jobbene med å definere formatet for datalasten og bestemme nøkkelutvekslingsprotokollen som skal brukes. ISAKMP er i stand til å bruke flere metoder for utveksling av nøkler, men implementeringen i IKE bruker aspekter av to. Det meste av nøkkelutvekslingsprosessen bruker OAKLEY Key Determination Protocol (OAKLEY) -metoden, som definerer de forskjellige modusene, men IKE bruker også noen av Source Key Exchange Mechanism (SKEME) -metoden, som gir mulighet for offentlig nøkkelkryptering og har muligheten til å oppdater tastene raskt.
Når jevnaldrende ønsker å kommunisere sikkert, sender de det som kalles "interessant trafikk" til hverandre. Interessant trafikk er meldinger som overholder en IPSec-policy som er etablert på jevnaldrende. Et eksempel på denne policyen som finnes i brannmurer og rutere kalles en tilgangsliste. Tilgangslisten er gitt en kryptografipolitikk som bestemte utsagn i policyen bestemmer om spesifikke data som sendes over forbindelsen skal krypteres eller ikke. Når de jevnaldrende interesserte i sikker kommunikasjon har matchet en IPSec sikkerhetspolicy med hverandre, starter Internet Key Exchange-prosessen.
IKE-prosessen foregår i faser. Mange sikre forbindelser begynner i en usikret tilstand, så den første fasen forhandler hvordan de to jevnaldrende skal fortsette prosessen med sikker kommunikasjon. IKE autentiserer først identitetene til jevnaldrende og sikrer deretter identiteten deres ved å bestemme hvilke sikkerhetsalgoritmer begge jevnaldrende vil bruke. Ved å bruke Diffie-Hellman kryptografiprotokoll for offentlig nøkkel, som er i stand til å lage samsvarende nøkler via et ubeskyttet nettverk, oppretter Internet Key Exchange sesjonsnøkler. IKE avslutter fase 1 med å opprette en sikker forbindelse, en tunnel, mellom jevnaldrende som skal brukes i fase 2.
Når IKE går inn i fase 2, bruker jevnaldrene den nye IKE SA for å sette opp IPSec-protokollene de vil bruke under resten av forbindelsen. Et autentiseringshode (AH) er opprettet som vil bekrefte at meldinger som sendes blir mottatt intakte. Pakker må også krypteres, så IPSec bruker deretter den innkapslende sikkerhetsprotokollen (ESP) for å kryptere pakkene, og holde dem trygge mot nysgjerrige øyne. AH blir beregnet basert på innholdet i pakken, og pakken er kryptert, så pakkene er sikret fra alle som prøver å erstatte pakker med falske eller lese innholdet i en pakke.
IKE utveksler også kryptografiske mangler i løpet av fase 2. En nonce er et nummer eller streng som bare brukes en gang. Nonce blir deretter brukt av en jevnaldrende hvis den trenger å opprette en ny hemmelig nøkkel eller for å forhindre at en angriper genererer falske SA-er, og forhindrer det som kalles et replay-angrep.
Fordelene med en flerfaset tilnærming for IKE er at ved å bruke Fase 1 SA, kan hver av fagfeller til enhver tid sette i gang en fase 2 for å forhandle om en ny SA for å sikre at kommunikasjonen forblir sikker. Etter at Internet Key Exchange har fullført fasene, opprettes en IPSec-tunnel for utveksling av informasjon. Pakkene som sendes via tunnelen krypteres og dekrypteres i henhold til SA-ene som er opprettet i fase 2. Når den er ferdig, avsluttes tunnelen, ved å utløpe enten basert på en forhåndsbestemt tidsbegrensning, eller etter at en viss mengde data er overført. Selvfølgelig kan flere IKE-fase 2-forhandlinger holde tunnelen åpen, eller alternativt starte en ny fase 1 og fase 2-forhandling for å etablere en ny, sikker tunnel.