| Internet Key Exchange (IKE; RFC 2409)
| standardisiert vereinfachtes Verfahren
| zum Aufbau
sicherer, |
| authentifizierter Verbindungen , |
|
| vermeidet
Komplexität anderer Verfahren |
| auf Entwickler eher
abschreckend |
|
| IKE unterscheidet Modes,
| Austausch von Schlüsseln |
| in einer oder zwei Phasen
| erste Phase
| baut sichere, |
| authentisierte Verbindung auf |
|
| zweite Phase
| tauscht in verschiedenen Protokollen benötigten Schlüssel
aus |
| in der Regel werden einzelne Schlüssel von
Masterschlüssel abgeleitet
| Verschlüsselung |
| Hashen
|
|
|
|
|
|
Phase 1
|
| sichere Verbindung zwischen zwei Teilnehmern aufgebaut
| ISAKMP Security Association
(SA) |
| Unterscheidet zwei Modi |
|
| Hauptmodus (main mode)
| drei Nachrichtenpaare
| jeweils eine Anfrage / eine Antwort |
|
| erstes Nachrichtenpaar
| handelt Verfahren aus |
|
| zweites Nachrichtenpaar tauscht
| öffentliche Werte für Diffie-Hellman-Verfahren |
| weitere Daten für Schlüsselaustausch |
|
| letzten beiden Nachrichten
|
authentisieren Diffie-Hellman-Daten; |
| Daten sind verschlüsselt |
|
verbergen die Identität der jeweiligen Teilnehmer |
|
|
| Agressiver Modus (agressive mode)
| im ersten Paket
gleichzeitig
| Verfahren ausgehandelt,
|
| öffentliche Werte für das
Diffie-Hellman-Verfahren gesendet
|
| weitere Daten für
Schlüsselaustausch
|
| zur Identifizierung der Teilnehmer
|
|
| Antwortnachricht
|
umfasst gleiche Daten
|
| identifiziert zusätzlich Absender.
|
|
| dritte Nachricht
| authentifiziert Initiator
|
| belegt Berechtigungen
|
|
|
|
Phase 2
|
| verwendet ISAKMP SA
| handelt Security
Association auf Basis sicheren Dienstes aus
| IPsec oder |
| irgendein anderer Dienst
| benötigt Schlüssel oder weitere Parameter |
|
|
| Informational Exchange
| Daten verschlüsselt |
| mit Hash-Algorithmus vor
Verfälschung geschützt |
|
|