Rechnernetze
Home Nach oben Notation Stichworte

Internet Key Exchange (IKE)

Internet Key Exchange (IKE; RFC 2409) will ein vereinfachtes Verfahren zum Aufbau sicherer, authentifizierter Verbindungen standardisieren, wohl auch, um die Komplexität von anderen Verfahren zu vermeiden, welche auf Entwickler eher abschreckend erscheint.

IKE unterscheidet Modes, in denen Schlüssel ausgetauscht werden, welches in einer oder zwei Phasen geschieht. In der ersten Phase wird eine sichere, authentisierte Verbindung aufgebaut, in der zweiten Phase werden die in den verschiedenen Protokollen benötigten Schlüssel ausgetauscht, wobei in der Regel einzelne Schlüssel (Verschlüsselung, Hashen) von einem Masterschlüssel abgeleitet werden.

Phase 1

In der ersten Phase wird eine sichere Verbindung zwischen zwei Teilnehmern aufgebaut; diese wird im RFC 2409 als  ISAKMP Security Association (SA) bezeichnet. In dieser ersten Phase werden zwei Modi unterschieden.

Im Hauptmodus (main mode) werden drei Nachrichtenpaare mit jeweils einer Anfrage und einer Antwort ausgetauscht. Mit den ersten beiden Nachrichten werden die Verfahren ausgehandelt, die nächsten beiden tauschen die öffentlichen Werte für das Diffie-Hellman-Verfahren aus sowie weitere Daten für den Schlüsselaustausch. Die letzten beiden Nachrichten authentisieren die Diffie-Hellman-Daten; diese Daten sind verschlüsselt und verbergen die Identität der jeweiligen Teilnehmer.

Im agressiven Modus (agressive mode) werden im ersten Paket gleichzeitig die Verfahren ausgehandelt, öffentliche Werte für das Diffie-Hellman-Verfahren gesendet sowie weitere Daten für den Schlüsselaustausch und zur Identifizierung der Teilnehmer. Die Antwortnachricht umfasst die gleichen Daten und identifiziert zusätzlich den Absender. Schließlich werden in einer dritten Nachricht der Initiator authentifiziert und dessen Berechtigungen belegt.

Phase 2

In der zweiten Phase wird die ISAKMP SA verwendet, um eine Security Association auf der Basis eines sicheren Dienstes auszuhandeln, wie IPsec oder irgendeines anderes Dienstes, der Schlüssel oder weitere Parameter benötigt. Dieses wird als Informational Exchange bezeichnet und sieht vor, dass die Daten verschlüsselt und mit einem geeigneten Hash-Algorithmus vor Verfälschung geschützt werden.