Internet-Schlüsselaustausch (ike)

Definition - Was bedeutet Internet Key Exchange (IKE)?

Internet Key Exchange (IKE) ist ein Standard für das Schlüsselverwaltungsprotokoll, der in Verbindung mit dem Standardprotokoll für die Internet Protocol Security (IPSec) verwendet wird. Es bietet Sicherheit für VPNs-Verhandlungen (Virtual Private Networks) und den Netzwerkzugriff auf zufällige Hosts. Es kann auch als Methode zum Austausch von Schlüsseln für die Verschlüsselung und Authentifizierung über ein ungesichertes Medium wie das Internet beschrieben werden.

IKE ist ein Hybridprotokoll, das basiert auf:

  • ISAKMP (RFC2408): Internet Security Association- und Key Management-Protokolle werden für die Aushandlung und Einrichtung von Sicherheitszuordnungen verwendet. Dieses Protokoll stellt eine sichere Verbindung zwischen zwei IPSec-Peers her.
  • Oakley (RFC2412): Dieses Protokoll wird für die Schlüsselvereinbarung oder den Schlüsselaustausch verwendet. Oakley definiert den Mechanismus, der für den Schlüsselaustausch während einer IKE-Sitzung verwendet wird. Der von diesem Protokoll verwendete Standardalgorithmus für den Schlüsselaustausch ist der Diffie-Hellman-Algorithmus.
  • SKEME: Dieses Protokoll ist eine andere Version für den Schlüsselaustausch.

IKE verbessert IPSec durch zusätzliche Funktionen und Flexibilität. IPsec kann jedoch ohne IKE konfiguriert werden.

IKE hat viele Vorteile. Es ist nicht mehr erforderlich, alle IPSec-Sicherheitsparameter auf beiden Peers manuell anzugeben. Der Benutzer kann eine bestimmte Lebensdauer für die IPSec-Sicherheitszuordnung angeben. Darüber hinaus kann die Verschlüsselung während IPSec-Sitzungen geändert werden. Darüber hinaus erlaubt es Zertifizierungsstelle. Schließlich ermöglicht es die dynamische Authentifizierung von Peers.

Technische.me erklärt Internet Key Exchange (IKE)

Das IKE arbeitet in zwei Schritten. Im ersten Schritt wird mithilfe von Algorithmen wie dem Diffie-Hellman-Schlüsselaustausch ein authentifizierter Kommunikationskanal zwischen den Peers eingerichtet, der einen gemeinsamen Schlüssel zur weiteren Verschlüsselung der IKE-Kommunikation generiert. Der als Ergebnis des Algorithmus gebildete Kommunikationskanal ist ein bidirektionaler Kanal. Die Authentifizierung des Kanals erfolgt mithilfe eines gemeinsam genutzten Schlüssels, von Signaturen oder einer Verschlüsselung mit öffentlichem Schlüssel.

Für den ersten Schritt gibt es zwei Betriebsmodi: den Hauptmodus, der zum Schutz der Identität der Peers verwendet wird, und den aggressiven Modus, der verwendet wird, wenn die Sicherheit der Identität der Peers kein wichtiges Thema ist. Im zweiten Schritt verwenden die Peers den sicheren Kommunikationskanal, um Sicherheitsverhandlungen für andere Dienste wie IPSec einzurichten. Diese Verhandlungsverfahren führen zu zwei unidirektionalen Kanälen, von denen einer eingehend und der andere ausgehend ist. Die Betriebsart für den zweiten Schritt ist der Schnellmodus.

IKE bietet drei verschiedene Methoden für die Peer-Authentifizierung: Authentifizierung mithilfe eines vorab freigegebenen Geheimnisses, Authentifizierung mithilfe von RSA-verschlüsselten Nonces und Authentifizierung mithilfe von RSA-Signaturen. IKE verwendet die HMAC-Funktionen, um die Integrität einer IKE-Sitzung zu gewährleisten. Wenn eine IKE-Sitzungslebensdauer abläuft, wird ein neuer Diffie-Hellman-Austausch durchgeführt und die IKE SA wird wiederhergestellt.