IKE (Internet key exchange )

Das Protokoll von ISAKMP heißt Internet Key Exchange (IKE) und ist ein Schlüssel-Protokoll zur Verwaltung und zum Austausch der Schlüssel von IPSec. Das Protokoll bietet ein standardisiertes Verfahren für die Authentifizierung von IPSec-Kommunikationspartnern sowie zur Erzeugung von gemeinsam genutzten Schlüsseln. Bei der Verwendung von Public-Key-Verfahren können dafür digitale Zertifikate und Sicherheitsinfrastrukturen (PKI) eingesetzt werden. Andererseits können auch Pre-shared Keys (PSK) eingesetzt werden.

<< Anzeige >>

Beim IKE-Protokoll arbeiten zwischen den zwei Instanzen mit zwei Phasen. In der ersten Phase baut es eine Kommunikationsverbindung mit relativ schwachen Sicherheitsmechanismen auf, die der Absicherung und Authentisierung der weiteren Managementvorgänge dient. In der zweiten Phase verhandeln die beiden Instanzen über das zu verwendende Sicherheitsprotokoll und etablieren dieses. In dieser Phase werden auch die erforderlichen Schlüssel generiert. Beim Verbindungsaufbau wird eine RSA-Verschlüsselung mit Public-Key-Verschlüsselung benutzt, über die ein symmetrischer Schlüssel wie der DES-Algorithmus oder der RC4-Algorithmus generiert wird.

Für den Aufbau einer gesicherten Verbindung müssen mehrere Parameter ausgetauscht werden, die die Art der Verschlüsselung, den Algorithmus, den Schlüssel und dessen Gültigkeitsdauer vorschreiben. Alle diese Parameter werden in der Security Association (SA) beschrieben.