Jaka jest wymiana kluczy internetowych?

The Internet Key Exchange (IKE) to zestaw protokołów wsparcia utworzonych przez Internet Engineering Task Force (IETF) i używane ze standardami Protocol Security Security (IPSEC) w celu zapewnienia bezpiecznej komunikacji między dwoma urządzeniami lub rówieśnikami przez sieć. Jako protokół IKE może być używany w wielu aplikacjach. Jednym z powszechnych przykładów jest konfiguracja bezpiecznej wirtualnej sieci prywatnej (VPN). Chociaż standard w praktycznie wszystkich nowoczesnych systemach operacyjnych komputerowych i sprzęcie sieciowym, większość tego, co robi Internet Key Exchange, jest ukryta przed widokiem przeciętnego użytkownika.

Protokoły w IKE ustalają, co nazywa się skojarzeniem bezpieczeństwa (SA) między dwoma lub więcej rówieśnikami przez IPSEC, co jest wymagane dla każdej bezpiecznej komunikacji za pośrednictwem IPSec. SA definiuje algorytm kryptograficzny używany w komunikacji, klucze szyfrowania i daty ich ważności; Wszystko to trafia w bazę danych Stowarzyszenia Bezpieczeństwa każdego rówieśnika (SAD). Podczas gdy IPSec może skonfigurować SA ręcznie,Internetowa wymiana kluczów negocjuje i ustanawia stowarzyszenia bezpieczeństwa wśród rówieśników, w tym możliwość tworzenia własnego.

Wymiana kluczów internetowych jest znana jako protokół hybrydowy. IKE korzysta z ram protokołu znanego jako Internet Security Association i protokół zarządzania kluczami (ISAKMP). ISAKMP zapewnia IKE możliwość ustanowienia SA i wykonuje zadania definiowania formatu ładunku danych i decydowania o protokole giełdowej, który zostanie użyty. ISAKMP jest w stanie użyć kilku metod wymiany klawiszy, ale jego implementacja w IKE wykorzystuje aspekty dwóch. Większość procesu wymiany kluczowych wykorzystuje metodę Oakley Key Determination Protocol (Oakley), która definiuje różne tryby, ale IKE wykorzystuje również część metody mechanizmu wymiany kluczy źródłowych (SKEME), która pozwala na szyfrowanie klucza publicznego i ma możliwość szybkiego odświeżenia klawiszy.

Kiedy rówieśnicy chcą bezpiecznie się komunikować, wysyłają sobie tak zwany „interesujący ruch”. Ciekawym ruchem są wiadomości, które są zgodne z polityką IPSEC, która została ustanowiona u rówieśników. Jeden przykład tej polityki znalezionej w zaporach i routerach nazywana jest listą dostępu. Lista dostępu otrzymuje zasadę kryptografii, za pomocą której niektóre stwierdzenia w ramach polityki określają, czy konkretne dane przesłane przez połączenie powinny być szyfrowane, czy nie. Gdy rówieśnicy zainteresowani bezpieczną komunikacją dopasowują się ze sobą do zasady bezpieczeństwa IPSEC, rozpoczyna się proces wymiany kluczy internetowych.

Proces IKE ma miejsce w fazach. Wiele bezpiecznych połączeń rozpoczyna się w niezabezpieczonym stanie, więc pierwsza faza negocjuje, w jaki sposób dwaj rówieśnicy będą kontynuować proces bezpiecznej komunikacji. IKE najpierw uwierzytelnia tożsamość rówieśników, a następnie zabezpiecza swoją tożsamość, określając, które algorytmy bezpieczeństwa będą używać obu rówieśników. Używając difie-hellman pProtokół kryptografii Ublic Key, który jest w stanie tworzyć pasujące klucze za pośrednictwem sieci niezabezpieczonej, Internet Exchange tworzy klucze sesji. IKE kończy fazę 1, tworząc bezpieczne połączenie, tunel, między rówieśnikami, które będą używane w fazie 2.

Gdy IKE wejdzie w fazę 2, rówieśnicy używają nowego Ike SA do konfigurowania protokołów IPSec, których użyją przez resztę połączenia. Ustalono nagłówek uwierzytelnienia (AH), który sprawdzi, że wysłane wiadomości są odbierane nienaruszone. Pakiety muszą być również szyfrowane, więc IPSec następnie wykorzystuje protokół bezpieczeństwa kapsułkowego (ESP) do szyfrowania pakietów, zapewniając im bezpieczeństwo przed wścibskimi oczami. AH jest obliczany na podstawie zawartości pakietu, a pakiet jest szyfrowany, więc pakiety są zabezpieczone od każdego, kto próbuje zastąpić pakiety na fałszywe lub czytając zawartość pakietu.

Ike wymienia także kryptograficzne nonces podczas fazy 2. Nonce to liczba lub ciąg, który jest używany tylko raz.Nonce jest następnie używane przez rówieśnika, jeśli musi utworzyć nowy tajny klucz lub zapobiec generowaniu fałszywego SAS atakującego, zapobiegając temu, co nazywa się atakiem.

Korzyści z wielofazowego podejścia dla IKE polega na tym, że przy użyciu fazy 1 SA albo rówieśnik może zainicjować fazę 2 w dowolnym momencie, aby ponownie negocjować nowy SA, aby zapewnić bezpieczeństwo komunikacji. Po zakończeniu fazy Exchange na kluczowe fazy utworzono tunel IPSC do wymiany informacji. Pakiety wysyłane przez tunel są szyfrowane i odszyfrowane zgodnie z SAS ustalonym podczas fazy 2. Po zakończeniu tunel kończy się, wygasając na podstawie wcześniej określonego limitu czasu lub po przesłaniu pewnej ilości danych. Oczywiście dodatkowe negocjacje w fazie 2 IKE mogą utrzymać otwartość tunelu lub, alternatywnie, rozpocząć negocjowanie negocjacji w fazie 1 i fazy 2 w celu ustanowienia nowego, bezpiecznego tunelu.