O que é a troca de chaves da Internet?

O Internet Key Exchange (IKE) é um conjunto de protocolos de suporte criados pela Força -Tarefa de Engenharia da Internet (IETF) e usados ​​com os padrões de segurança do Protocolo da Internet (IPSEC) para fornecer comunicações seguras entre dois dispositivos ou colegas, em uma rede. Como protocolo, o IKE pode ser usado em vários aplicativos de software. Um exemplo comum é configurar uma rede privada virtual segura (VPN). Embora o padrão em praticamente todos os sistemas operacionais de computador modernos e equipamentos de rede, muito do que a Internet Key Exchange faz está oculta da visualização do usuário médio. O SA define o algoritmo criptográfico usado na comunicação, nas chaves de criptografia e nas datas de expiração; Tudo isso entra no banco de dados da Associação de Segurança de cada par (SAD). Enquanto o iPsec pode ter seu SA configurado manualmente,A Internet Key Exchange negocia e estabelece as associações de segurança entre colegas automaticamente, incluindo a capacidade de criar o seu próprio.

A troca de chaves da Internet é conhecida como um protocolo híbrido. A IKE faz uso de uma estrutura de protocolo conhecida como Associação de Segurança da Internet e Protocolo de Gerenciamento de Chaves (ISAKMP). O ISAKMP fornece a Ike a capacidade de estabelecer o SA e faz os trabalhos de definir o formato da carga útil de dados e decidir sobre o protocolo de troca de chaves que serão usados. O ISAKMP é capaz de usar vários métodos para trocar chaves, mas sua implementação no IKE usa aspectos de dois. A maior parte do processo de troca -chave usa o método Oakley Key Determation Protocol (Oakley), que define os vários modos, mas o IKE também usa alguns dos mecanismos de troca de chaves de origem (Skeme), que permitem a criptografia de chave pública e tem a capacidade de atualizar as chaves rapidamente. <<<

Quando os colegas desejam se comunicar com segurança, eles enviam o que é chamado de "tráfego interessante" um para o outro. Tráfego interessante são mensagens que aderem a uma política de IPSec que foi estabelecida nos pares. Um exemplo desta política encontrada nos firewalls e roteadores é chamada de lista de acesso. A lista de acesso recebe uma política de criptografia pela qual certas declarações dentro da política determinam se dados específicos enviados sobre a conexão devem ser criptografados ou não. Uma vez que os colegas interessados ​​em comunicação segura correspondem a uma política de segurança do IPSEC, o processo de troca de chaves da Internet começa.

O processo IKE ocorre em fases. Muitas conexões seguras começam em um estado não garantido; portanto, a primeira fase negocia como os dois colegas continuarão o processo de comunicação segura. Ike primeiro autentica a identidade dos colegas e depois protege suas identidades, determinando quais algoritmos de segurança ambos os colegas usarão. Usando o Diffie-Hellman PProtocolo de criptografia de chaves ublic, capaz de criar teclas correspondentes por meio de uma rede desprotegida, a troca de chaves da Internet cria chaves de sessão. Ike termina a Fase 1 criando uma conexão segura, um túnel, entre os pares que serão usados ​​na Fase 2.

Quando o IKE entra na Fase 2, os colegas usam o novo IKE SA para configurar os protocolos IPsec que eles usarão durante o restante de sua conexão. Um cabeçalho de autenticação (AH) é estabelecido que verificará que as mensagens enviadas são recebidas intactas. Os pacotes também precisam ser criptografados, para que o IPSEC use o Encapsulating Security Protocol (ESP) para criptografar os pacotes, mantendo -os protegidos de olhos indiscretos. O AH é calculado com base no conteúdo do pacote e o pacote é criptografado, para que os pacotes sejam protegidos de qualquer pessoa que tente substituir pacotes por outros falsos ou ler o conteúdo de um pacote.

ike também troca NonCes criptográficos durante a Fase 2. Um nonce é um número ou string usado apenas uma vez.O Nonce é então usado por um colega se precisar criar uma nova chave secreta ou impedir que um invasor gere SAS falsa, impedindo o que é chamado de ataque de reprodução.

Os benefícios de uma abordagem em várias fases para o IKE é que, usando a Fase 1 SA, os pares podem iniciar uma fase 2 a qualquer momento para renegociar um novo SA para garantir que a comunicação permaneça segura. Depois que a troca de chaves da Internet conclui suas fases, um túnel IPSec é criado para a troca de informações. Os pacotes enviados pelo túnel são criptografados e descriptografados de acordo com o SAS estabelecido durante a Fase 2. Quando terminado, o túnel termina, expirando com base em um prazo pré-determinado ou após uma certa quantidade de dados ter sido transferida. Obviamente, as negociações adicionais da IKE Fase 2 podem manter o túnel aberto ou, alternativamente, iniciar uma nova negociação de fase 1 e fase 2 para estabelecer um novo túnel seguro.

OUTRAS LÍNGUAS

Este artigo foi útil? Obrigado pelo feedback Obrigado pelo feedback

Como podemos ajudar? Como podemos ajudar?