Inhaltsverzeichnis:
- Definition - Was bedeutet Internet Key Exchange (IKE)?
- Techopedia erklärt Internet Key Exchange (IKE)
Definition - Was bedeutet Internet Key Exchange (IKE)?
Internet Key Exchange (IKE) ist ein Standard für das Schlüsselverwaltungsprotokoll, der in Verbindung mit dem IPSec-Standardprotokoll (Internet Protocol Security) verwendet wird. Es bietet Sicherheit für Virtual Private Networks (VPNs) -Verhandlungen und den Netzwerkzugriff auf zufällige Hosts. Es kann auch als ein Verfahren zum Austauschen von Schlüsseln zur Verschlüsselung und Authentifizierung über ein ungesichertes Medium wie das Internet beschrieben werden.
IKE ist ein Hybridprotokoll basierend auf:
- ISAKMP (RFC2408): Internet Security Association- und Schlüsselverwaltungsprotokolle werden zum Aushandeln und Einrichten von Sicherheitszuordnungen verwendet. Dieses Protokoll stellt eine sichere Verbindung zwischen zwei IPSec-Peers her.
- Oakley (RFC2412): Dieses Protokoll wird für die Schlüsselvereinbarung oder den Schlüsselaustausch verwendet. Oakley definiert den Mechanismus, der für den Schlüsselaustausch über eine IKE-Sitzung verwendet wird. Der von diesem Protokoll verwendete Standardalgorithmus für den Schlüsselaustausch ist der Diffie-Hellman-Algorithmus.
- SKEME: Dieses Protokoll ist eine andere Version für den Schlüsselaustausch.
IKE verbessert IPSec durch zusätzliche Funktionen und Flexibilität. IPsec kann jedoch ohne IKE konfiguriert werden.
IKE hat viele Vorteile. Es ist nicht mehr erforderlich, alle IPSec-Sicherheitsparameter auf beiden Peers manuell anzugeben. Der Benutzer kann eine bestimmte Lebensdauer für die IPSec-Sicherheitszuordnung angeben. Darüber hinaus kann die Verschlüsselung während IPSec-Sitzungen geändert werden. Darüber hinaus erlaubt es Zertifizierungsstelle. Schließlich ermöglicht es die dynamische Authentifizierung von Peers.
Techopedia erklärt Internet Key Exchange (IKE)
Das IKE arbeitet in zwei Schritten. Im ersten Schritt wird ein authentifizierter Kommunikationskanal zwischen den Peers mithilfe von Algorithmen wie dem Diffie-Hellman-Schlüsselaustausch eingerichtet, mit dem ein gemeinsamer Schlüssel zum weiteren Verschlüsseln der IKE-Kommunikation generiert wird. Der als Ergebnis des Algorithmus gebildete Kommunikationskanal ist ein bidirektionaler Kanal. Die Authentifizierung des Kanals erfolgt mithilfe eines gemeinsam genutzten Schlüssels, Signaturen oder einer Verschlüsselung mit öffentlichem Schlüssel.
Für den ersten Schritt gibt es zwei Betriebsmodi: den Hauptmodus, der zum Schutz der Identität der Peers verwendet wird, und den aggressiven Modus, der verwendet wird, wenn die Sicherheit der Identität der Peers kein wichtiges Thema ist. Im zweiten Schritt verwenden die Peers den sicheren Kommunikationskanal, um Sicherheitsverhandlungen für andere Dienste wie IPSec einzurichten. Diese Verhandlungsverfahren führen zu zwei unidirektionalen Kanälen, von denen einer eingehend und der andere ausgehend ist. Die Betriebsart für den zweiten Schritt ist der Schnellmodus.
IKE bietet drei verschiedene Methoden für die Peer-Authentifizierung: Authentifizierung mit einem Pre-Shared Secret, Authentifizierung mit RSA-verschlüsselten Nonces und Authentifizierung mit RSA-Signaturen. IKE verwendet die HMAC-Funktionen, um die Integrität einer IKE-Sitzung zu gewährleisten. Wenn die Lebensdauer einer IKE-Sitzung abgelaufen ist, wird ein neuer Diffie-Hellman-Austausch durchgeführt und die IKE-Sicherheitszuordnung wiederhergestellt.