Ipsec usa ike o ISAKMP

IKEV2 usa ISAKMP per chiamare Oakley durante la Fase 2, dove si prevede che coordini l’input per Skeme (materiale di chiave) e restituire l’output su ISAKMP (chiavi). Perché ISAKMP non comunica semplicemente con Skeme direttamente? Perché non esiste un singolo processo che si prende cura di tutti questi passaggi contemporaneamente? Tre parole: Secrecy Perfect Forward (PFS).

Ike usa Oakley

[RFC Home] [Testo | PDF | HTML] [Tracker] [IPR] [Pagina di informazioni]

Obsoleto da: 4306 storico
Aggiornato da: 4109

Riepilogo:

1. IPSEC utilizza ISAKMP (Internet Security Association e Key Management Protocol) per lo scambio di informazioni sulla chiave e l’autenticazione dei colleghi.

2. Ikev2, l’ultima versione di IKE, usa ISAKMP per invocare Oakley, un protocollo di scambio chiave, durante la fase 2 della negoziazione IPSEC.

3. ISAKMP coordina l’input a Skeme, che genera materiale di chiave e restituisce l’output a ISAKMP, che gestisce la gestione delle chiavi.

4. Il motivo per cui ISAKMP non comunica direttamente con Skeme è a causa della perfetta segretezza a portata.

Punti chiave:

1. IPsec utilizza ISAKMP per lo scambio e l’autenticazione chiave.
2. Ikev2 usa ISAKMP per chiamare Oakley durante la fase 2 della negoziazione IPSEC.
3. ISAKMP coordina l’input per Skeme e restituisce l’output su ISAKMP.
4. Perfect Forward Secrecy (PFS) è il motivo per cui ISAKMP non comunica direttamente con Skeme.

Domande:

1. Perché ikev2 usa ISAKMP? Ikev2 usa ISAKMP per invocare Oakley, responsabile della generazione di materiale di chiave.
2. Qual è lo scopo di ISAKMP? ISAKMP viene utilizzato per lo scambio chiave e l’autenticazione in ipsec.
3. Qual è il ruolo di Skeme nella negoziazione dell’IPsec? Skeme genera materiale di chiave in base all’ingresso ricevuto da ISAKMP.
4. Perché non esiste un singolo processo che gestisce tutti i passaggi dello scambio chiave e della generazione di chiavi? Perfect Forward Secrecy (PFS) richiede la separazione degli scambi chiave e i processi di generazione chiave per prevenire il compromesso delle sessioni passate o future.
5. Qual è lo scopo di Oakley nella negoziazione IPsec? Oakley è un protocollo di scambio chiave utilizzato durante la fase 2 della negoziazione IPSEC per generare materiale di chiave.
6. Cos’è perfetto Secrecy Forward (PFS)? Perfect Forward Secrecy (PFS) garantisce che le chiavi di una sessione non compromettano sessioni passate o future.
7. ISAKMP comunica direttamente con Skeme? No, ISAKMP coordina l’input per Skeme e restituisce l’output a ISAKMP per la gestione delle chiavi.
8. Quale versione di IKE viene utilizzata in ipsec? Ikev2 è l’ultima versione utilizzata in IPSEC.
9. Qual è lo scopo di ISAKMP in ipsec? ISAKMP viene utilizzato per lo scambio chiave e l’autenticazione in ipsec.
10. Cosa succede durante la fase 2 della negoziazione IPSEC? Oakley è invocato da ISAKMP per la generazione chiave durante la fase 2 della negoziazione IPSEC.
11. Perché PFS è importante in ipsec? PFS garantisce che compromettere le chiavi di una sessione non comprometta sessioni passate o future, migliorando la sicurezza.
12. Perché ISAKMP non sta comunicando direttamente con Skeme? La separazione dei processi di scambio chiave e generazione chiave è necessaria per la perfetta segretezza in avanti (PFS) in IPSEC.
13. Può essere utilizzato ISAKMP per altre associazioni di sicurezza oltre a IPsec? Sì, ISAKMP può essere utilizzato per altre associazioni di sicurezza come AH ed ESP per IETF ipsec doi.
14. L’intero protocolli Oakley e Skeme deve essere implementato per IPSEC? No, è necessario implementare solo un sottoinsieme di Oakley e Skeme per gli obiettivi IPSEC.
15. Cosa rappresenta Ike? Ike sta per Internet Key Exchange.

Risposte dettagliate:

1. Perché ikev2 usa ISAKMP?
   
   Ikev2 usa ISAKMP per invocare Oakley durante la fase 2 della negoziazione IPSEC. ISAKMP è responsabile del coordinamento dell’input a Skeme (materiale di chiave) e del restituzione dell’uscita a ISAKMP (chiavi). Questa divisione delle responsabilità consente una perfetta segretezza in avanti (PFS), garantendo la sicurezza delle sessioni passate e future.
2. Qual è lo scopo di ISAKMP?
   
   ISAKMP (Internet Security Association e Key Management Protocol) viene utilizzato per lo scambio di informazioni sulla chiave e l’autenticazione dei colleghi in IPSEC. Fornisce un quadro per la negoziazione e la creazione di associazioni di sicurezza (SAS) tra due dispositivi.
3. Qual è il ruolo di Skeme nella negoziazione dell’IPsec?
   
   Skeme è una tecnica di scambio chiave utilizzata da ISAKMP per generare materiale di chiave per le associazioni di sicurezza. Fornisce funzionalità come anonimato, repudibilità e ristoro a chiave rapida. Skeme prende input da ISAKMP e genera materiale di chiave, che viene quindi restituito a ISAKMP per ulteriori elaborazioni.
4. Perché non esiste un singolo processo che gestisce tutti i passaggi dello scambio chiave e della generazione di chiavi?
   
   La separazione dei processi di scambio chiave e generazione chiave è necessaria per la perfetta segretezza in avanti (PFS) in IPSEC. PFS garantisce che compromettere le chiavi di una sessione non comprometta sessioni passate o future. Separando questi processi e coordinandoli attraverso ISAKMP, la sicurezza di IPSEC è migliorata.
5. Qual è lo scopo di Oakley nella negoziazione IPsec?
   
   Oakley è un protocollo di scambio chiave utilizzato durante la fase 2 della negoziazione IPSEC. Descrive una serie di scambi chiave, noti come “modalità”, che forniscono caratteristiche come la segretezza perfetta per le chiavi, la protezione dell’identità e l’autenticazione. Oakley è invocato da ISAKMP per generare materiale di chiave per ipsec.
6. Cos’è perfetto Secrecy Forward (PFS)?
   
   Perfect Forward Secrecy (PFS) è una proprietà di protocolli crittografici che garantiscono compromettere le chiavi di una sessione non comprometterà sessioni passate o future. Nel contesto di IPSEC, la PFS si ottiene separando lo scambio chiave e i processi di generazione chiave, coordinati da ISAKMP e Oakley, garantendo la sicurezza di tutte le sessioni IPSEC.
7. ISAKMP comunica direttamente con Skeme?
   
   No, ISAKMP non comunica direttamente con Skeme. ISAKMP coordina l’input per Skeme e restituisce l’output su ISAKMP. Questa divisione delle responsabilità consente di far rispettare la perfetta segretezza in avanti (PFS) e garantisce la sicurezza del materiale di chiave utilizzato in IPSEC.
8. Quale versione di IKE viene utilizzata in ipsec?
   
   L’ultima versione di IKE utilizzata in IPsec è Ikev2, che si basa sulla funzionalità delle versioni precedenti e fornisce funzionalità di sicurezza migliorate.
9. Qual è lo scopo di ISAKMP in ipsec?
   
   Lo scopo di ISAKMP in IPsec è di fornire un framework per l’autenticazione e lo scambio chiave. ISAKMP è indipendente da uno scambio chiave e supporta vari metodi di scambio chiave. È responsabile della negoziazione e della creazione di associazioni di sicurezza (SAS) tra i coetanei IPSEC.
10. Cosa succede durante la fase 2 della negoziazione IPSEC?
    
    Durante la fase 2 della negoziazione IPSEC, ISAKMP invoca Oakley, un protocollo di scambio chiave, per generare materiale di chiave. Questo materiale di chiave viene utilizzato per stabilire le associazioni di sicurezza (SAS) per il traffico IPSEC tra i coetanei.
11. Perché PFS è importante in ipsec?
    
    Perfect Forward Secrecy (PFS) è importante in IPSEC perché garantisce che compromettere le chiavi utilizzate in una sessione non comprometterà le chiavi utilizzate nelle sessioni passate o future. Separando lo scambio chiave e i processi di generazione chiave, IPSEC raggiunge i PF e migliora la sicurezza generale della comunicazione.
12. Perché ISAKMP non sta comunicando direttamente con Skeme?
    
    ISAKMP non comunica direttamente con Skeme per imporre Secrecy Forward (PFS) perfetto. PFS richiede la separazione degli scambi chiave e dei processi di generazione chiave, coordinati da ISAKMP e Oakley. Questa separazione migliora la sicurezza di IPSEC proteggendo il materiale di chiave utilizzato nella comunicazione.
13. Può essere utilizzato ISAKMP per altre associazioni di sicurezza oltre a IPsec?
    
    Sì, ISAKMP può essere utilizzato per altre associazioni di sicurezza a parte IPsec. Può essere utilizzato per associazioni di sicurezza come AH (intestazione di autenticazione) ed ESP (payload di sicurezza incapsulato) per IETF IPSEC doi (dominio dell’interpretazione), fornendo un framework per l’autenticazione e lo scambio chiave in vari scenari di comunicazione sicuri.
14. L’intero protocolli Oakley e Skeme deve essere implementato per IPSEC?
    
    No, per ipsec, non è necessario implementare l’intero protocolli Oakley e Skeme. È necessario implementare solo un sottoinsieme di questi protocolli, che è necessario per raggiungere gli obiettivi di IPSEC. Ciò consente la flessibilità nella scelta dei protocolli e delle funzionalità specifici in base ai requisiti specifici della distribuzione.
15. Cosa rappresenta Ike?
    
    Ike sta per Internet Key Exchange. È un protocollo di gestione chiave utilizzato in IPSEC per negoziare e stabilire associazioni di sicurezza tra i coetanei.

Ipsec usa ike o ISAKMP

IKEV2 usa ISAKMP per chiamare Oakley durante la Fase 2, dove si prevede che coordini l’input per Skeme (materiale di chiave) e restituire l’output su ISAKMP (chiavi). Perché ISAKMP non comunica semplicemente con Skeme direttamente? Perché non esiste un singolo processo che si prende cura di tutti questi passaggi contemporaneamente? Tre parole: Secrecy Perfect Forward (PFS).

Ike usa Oakley

[RFC Home] [Testo | PDF | HTML] [Tracker] [IPR] [Pagina di informazioni]

Obsoleto da: 4306 storico
Aggiornato da: 4109

Gruppo di lavoro di rete D. Richiesta di Harkins per commenti: 2409 D. Categoria carrel: standard Traccia Cisco Systems Novembre 1998 Lo scambio di chiavi Internet (ike) Stato di questo promemoria Questo documento specifica un protocollo di traccia degli standard Internet per la comunità di Internet e richiede discussioni e suggerimenti per miglioramenti. Fare riferimento all'attuale edizione degli "standard di protocollo ufficiale di Internet" (STD 1) per lo stato di standardizzazione e lo stato di questo protocollo. La distribuzione di questo memo è illimitata. Copyright Avviso Copyright (c) The Internet Society (1998). Tutti i diritti riservati. Sommario 1 Abstract. 2 2 Discussione. 2 3 termini e definizioni. 3 3.1 Terminologia dei requisiti. 3 3.2 notazione. 3 3.3 Secrect in avanti perfetto. 5 3.4 Associazione di sicurezza. 5 4 Introduzione. 5 5 scambi. 8 5.1 autenticazione con firme digitali. 10 5.2 Autenticazione con crittografia delle chiavi pubbliche. 12 5.3 Un metodo di autenticazione rivisto con crittografia delle chiavi pubbliche. 13 5.4 Autenticazione con una chiave pre-condivisa. 16 5.5 Modalità rapida. 16 5.6 Nuova modalità di gruppo. 20 5.7 Scambi informativi ISAKMP. 20 6 gruppi Oakley. 21 6.1 primo gruppo Oakley. 21 6.2 Secondo Gruppo Oakley. 22 6.3 Terzo Gruppo Oakley. 22 6.4 Quarto gruppo Oakley. 23 7 Esplosione del payload di scambio completo. 23 7.1 Fase 1 con modalità principale. 23 7.2 Fase 2 con modalità rapida. 25 8 Esempio Segreto in avanti perfetto. 27 9 Suggerimenti di implementazione. 27 Traccia degli standard di Harkins & Carrel [Pagina 1]

RFC 2409 Ike novembre 1998 10 considerazioni sulla sicurezza. 28 11 Considerazioni su iana. 30 12 Ringraziamenti. 31 13 Riferimenti. 31 Appendice a. 33 Appendice b. 37 indirizzi degli autori. Nota di 40 autori. 40 Dichiarazione completa del copyright. 41 1. Astratto ISAKMP ([MSST98]) fornisce un framework per l'autenticazione e lo scambio chiave ma non li definisce. ISAKMP è progettato per essere indipendente da uno scambio chiave; Cioè, è progettato per supportare molti scambi chiave. Oakley ([ORM96]) descrive una serie di scambi chiave- chiamata "Modere"- e descrive in dettaglio i servizi forniti da ciascuno (E.G. Segreto in avanti perfetto per chiavi, protezione dell'identità e autenticazione). Skeme ([skeme]) descrive una tecnica di scambio chiave versatile che fornisce anonimato, repudibilità e ristoro a chiave rapida. Questo documento descrive un protocollo che utilizza parte di Oakley e parte di Skeme in combinazione con ISAKMP per ottenere materiale di keying autenticato per l'uso con ISAKMP e per altre associazioni di sicurezza come AH ed ESP per IETF IPsec Doi. 2. Discussione Questo promemoria descrive un protocollo ibrido. Lo scopo è negoziare e fornire materiale di chiave autenticato per, associazioni di sicurezza in modo protetto. I processi che implementano questo memo possono essere utilizzati per la negoziazione di reti private virtuali (VPN) e anche per la fornitura di un utente remoto da un sito remoto (il cui indirizzo IP non deve essere noto in anticipo) a un host o una rete sicura. La negoziazione del cliente è supportata. La modalità client è dove le parti negoziate non sono gli endpoint per i quali si sta svolgendo la negoziazione dell'associazione di sicurezza. Se utilizzati in modalità client, le identità delle parti finali rimangono nascoste. Traccia degli standard di Harkins & Carrel [Pagina 2]

RFC 2409 Ike novembre 1998 Ciò non implementa l'intero protocollo Oakley, ma solo un sottoinsieme necessario per soddisfare i suoi obiettivi. Non rivendica la conformità o il rispetto dell'intero protocollo Oakley, né dipende in alcun modo dal protocollo Oakley. Allo stesso modo, ciò non implementa l'intero protocollo Skeme, ma solo il metodo di crittografia delle chiavi pubbliche per l'autenticazione e il suo concetto di ri-chiacchiera. Questo protocollo non dipende in alcun modo dal protocollo Skeme. 3. Termini e definizioni 3.1 Terminologia dei requisiti Le parole chiave "devono", "non devono", "richieste", "dovrebbero", "non dovrebbero" e "possono" che appaiono in questo documento devono essere interpretate come descritto in [Bra97]. 3.2 notazione La seguente notazione viene utilizzata in tutto questo promemoria. HDR è un'intestazione ISAKMP il cui tipo di scambio è la modalità. Quando è stato scritto come HDR* indica la crittografia del payload. SA è un carico utile di negoziazione SA con una o più proposte. Un iniziatore può fornire molteplici proposte di negoziazione; Un risponditore deve rispondere con solo uno. _b indica il corpo del payload: il VPAYload generico ISAKMP non è incluso. SAI_B è l'intero corpo del payload SA (meno l'intestazione generica ISAKMP)- i.e. Il doi, la situazione, tutte le proposte e tutte le trasformazioni offerte dall'iniziatore. CKY-I e CKY-R sono il biscotto dell'iniziatore e il biscotto del risponditore, rispettivamente, dall'intestazione ISAKMP. G^xi e g^xr sono i valori pubblici diffie-hellman ([dh]) dell'iniziatore e del rispondente. g^xy è il segreto condiviso di diffie-e-hellman. KE è il payload di scambio chiave che contiene le informazioni pubbliche scambiate in uno scambio Diffie-Hellman. Non esiste una codifica particolare (e.G. un TLV) utilizzato per i dati di un payload KE. Traccia degli standard di Harkins & Carrel [Pagina 3]

RFC 2409 Ike novembre 1998 NX è il payload Nonce; X può essere: i o r per l'iniziatore e il rispondente ISAKMP rispettivamente. IDX è il payload di identificazione per "x". X può essere: "II" o "IR" per l'iniziatore e il risponditore ISAKMP rispettivamente durante la negoziazione di fase uno; o "UI" o "Ur" per l'iniziatore e il risponditore dell'utente rispettivamente durante la fase due. Il formato del payload ID per Internet DOI è definito in [PIP97]. SIG è il payload firma. I dati da firmare sono specifici per lo scambio. Cert è il payload del certificato. Hash (e qualsiasi derivazione come hash (2) o hash_i) è il payload hash. I contenuti dell'hash sono specifici del metodo di autenticazione. PRF (Key, MSG) è la funzione pseudo-casuale a chiave-spesso una funzione hash chiave-utilizzata per generare un output deterministico che appare pseudo-casuale. I PRF sono usati sia per le derivazioni chiave che per l'autenticazione (i.e. come Mac chiave). (Vedi [KBC96]). Skeyid è una stringa derivata da materiale segreto noto solo ai giocatori attivi nello scambio. Skeyid_e è il materiale di chiave utilizzato da ISAKMP SA per proteggere la riservatezza dei suoi messaggi. Skeyid_a è il materiale di chiave utilizzato da ISAKMP SA per autenticare i suoi messaggi. Skeyid_d è il materiale di chiave utilizzato per derivare le chiavi per le associazioni di sicurezza non ISAKMP. y indica che "x" è crittografato con la chiave "y". --> Significa la comunicazione "Iniziatore a Responder" (richieste). x] indica che x è facoltativo. Traccia degli standard di Harkins & Carrel [Pagina 4]

RFC 2409 Ike novembre 1998 La crittografia dei messaggi (quando annotata da un '*' dopo l'intestazione ISAKMP) deve iniziare immediatamente dopo l'intestazione ISAKMP. Quando la comunicazione è protetta, tutti i payload che seguono l'intestazione ISAKMP devono essere crittografati. Le chiavi di crittografia sono generate da skeyid_e in un modo definito per ciascun algoritmo. 3.3 Segreto in avanti perfetto Se utilizzato nel Memo Perfect Forward Secrecy (PFS) si riferisce all'idea che il compromesso di una singola chiave consentirà l'accesso ai soli dati protetti da un'unica chiave. Per esistere PFS, la chiave utilizzata per proteggere la trasmissione dei dati non deve essere utilizzata per trarre chiavi aggiuntive e se la chiave utilizzata per proteggere la trasmissione dei dati è stata derivata da qualche altro materiale di chiave, tale materiale non deve essere utilizzato per derivare più chiavi. In questo protocollo è fornita una perfetta segretezza in avanti per le chiavi e le identità. (Sezioni 5.5 e 8). 3.4 Associazione di sicurezza Un'associazione di sicurezza (SA) è un insieme di politiche e chiave utilizzate per proteggere le informazioni. ISAKMP SA è la politica condivisa e le chiavi utilizzate dai colleghi negoziali in questo protocollo per proteggere la loro comunicazione. 4. introduzione Oakley e Skeme definiscono ciascuno un metodo per stabilire uno scambio di chiavi autenticato. Ciò include la costruzione di payload, i payload di informazioni trasportano, l'ordine in cui vengono elaborati e come vengono utilizzati. Mentre Oakley definisce le "modalità", ISAKMP definisce "fasi". La relazione tra i due è molto semplice e Ike presenta diversi scambi come modalità che operano in una delle due fasi. La fase 1 è dove i due colleghi ISAKMP stabiliscono un canale sicuro e autenticato con cui comunicare. Questo è chiamato ISAKMP Security Association (SA). "Modalità principale" e "Modalità aggressiva" ognuno di uno scambio di fase 1. "Modalità principale" e "Modalità aggressiva" devono essere utilizzati solo nella fase 1. La fase 2 è il luogo in cui le associazioni di sicurezza sono negoziate per conto di servizi come IPSEC o qualsiasi altro servizio che necessita di materiale chiave e/o negoziazione dei parametri. "Modalità Quick" realizza uno scambio di fase 2. La "modalità rapida" deve essere utilizzata solo nella fase 2. Traccia degli standard di Harkins & Carrel [Pagina 5]

RFC 2409 Ike novembre 1998 La "nuova modalità di gruppo" non è proprio una fase 1 o una fase 2. Segue la fase 1, ma serve a stabilire un nuovo gruppo che può essere utilizzato nei negoziati futuri. La "nuova modalità di gruppo" deve essere utilizzata solo dopo la fase 1. ISAKMP SA è bidirezionale. Cioè, una volta stabilito, entrambe le parti possono avviare scambi di modalità rapida, informativa e nuova di gruppo. Secondo il documento ISAKMP di base, l'ISAKMP SA è identificato dal cookie dell'iniziatore seguito dal biscotto del soccorritore- il ruolo di ciascuna parte nello scambio di fase 1 impone che il cookie è il iniziatore. L'ordine dei cookie stabilito dallo scambio di fase 1 continua a identificare l'ISAKMP SA indipendentemente dalla direzione in modalità rapida, informativa o nuovo scambio di gruppo. In altre parole, i biscotti non devono scambiare luoghi quando la direzione dell'ISAKMP SA cambia. Con l'uso di fasi ISAKMP, un'implementazione può realizzare un tallone molto rapido quando necessario. Una negoziazione a fase 1 può essere utilizzata per più di una negoziazione di fase 2. Inoltre, una negoziazione di fase 2 unica può richiedere più associazioni di sicurezza. Con queste ottimizzazioni, un'implementazione può vedere meno di un viaggio di andata e ritorno per SA e meno di un'esponentezione DH per SA. "Modalità principale" per la fase 1 fornisce protezione da identità. Quando non è necessaria la protezione dell'identità, la "modalità aggressiva" può essere utilizzata per ridurre ulteriormente i viaggi rotondi. Lo sviluppatore suggerisce di fare queste ottimizzazioni sono inclusi di seguito. Va anche notato che l'utilizzo della crittografia della chiave pubblica per autenticare uno scambio di modalità aggressiva fornirà comunque una protezione dell'identità. Questo protocollo non definisce il proprio doi di per sé. L'ISAKMP SA, stabilito nella fase 1, può utilizzare il DOI e la situazione da un servizio non ISAKMP (come l'IETF IPSEC doi [PIP97]). In questo caso un'implementazione può scegliere di limitare l'uso dell'ISAKMP SA per la creazione di SA per servizi dello stesso DOI. In alternativa, un ISAKMP SA può essere stabilito con il valore zero sia nel DOI che nella situazione (vedere [MST98] per una descrizione di questi campi) e in questo caso le implementazioni saranno libere di stabilire servizi di sicurezza per qualsiasi DOI definito utilizzando questo ISAKMP SA. Se un DOI di zero viene utilizzato per stabilire una SA di Fase 1, la sintassi dei carichi utili di identità utilizzati nella Fase 1 è quello definito in [MSST98] e non da nessun doi-- E.G. [PIP97]- che può espandere ulteriormente la sintassi e la semantica delle identità. I seguenti attributi sono usati da IKE e sono negoziati come parte della ISAKMP Security Association. (Questi attributi riguardano solo l'Associazione della sicurezza ISAKMP e non a nessuna associazione di sicurezza che ISAKMP potrebbe negoziare per conto di altri servizi.) Traccia degli standard di Harkins & Carrel [Pagina 6]

RFC 2409 Ike novembre 1998 - Algoritmo di crittografia - Algoritmo hash - Metodo di autenticazione - Informazioni su un gruppo su cui fare Diffie -Hellman. Tutti questi attributi sono obbligatori e devono essere negoziati. Inoltre, è possibile negoziare facoltativamente una funzione PsueDo-Random ("PRF"). (Al momento non ci sono funzioni pseudo-casuali negoziabili definite in questo documento. I valori degli attributi di uso privato possono essere utilizzati per la negoziazione di PRF tra le parti consenzienti). Se un "PRF" non è una negoziazione, la versione HMAC (vedi [KBC96]) dell'algoritmo hash negoziato viene utilizzata come funzione pseudo-casuale. Altri attributi non obbligatori sono descritti nell'Appendice A. L'algoritmo hash selezionato deve supportare le modalità native e HMAC. Il gruppo Diffie-Hellman deve essere specificato usando una descrizione del gruppo definita (sezione 6) o definendo tutti gli attributi di un gruppo (Sezione 5.6). Gli attributi di gruppo (come il tipo di gruppo o Prime- vedi Appendice A) non devono essere offerti insieme a un gruppo precedentemente definito (o una descrizione del gruppo riservata o una descrizione dell'uso privato che viene stabilita dopo la conclusione di un nuovo scambio di modalità di gruppo). Le implementazioni IKE devono supportare i seguenti valori degli attributi:-DES [DES] in modalità CBC con un controllo debole e semi-weak, chiave (tasti deboli e semi-weak sono citati in [sch96] ed elencati nell'Appendice A). La chiave deriva secondo l'appendice B. - Md5 [md5] e sha [sha>. - Autenticazione tramite chiavi pre-condivise. - MODP sul gruppo numero uno predefinito (vedi sotto). Inoltre, le implementazioni IKE dovrebbero supportare: 3DE per la crittografia; Tigre ([tigre]) per hash; The Digital Signature Standard, firme RSA [RSA] e autenticazione con crittografia a chiave pubblica RSA; e il gruppo MODP numero 2. Le implementazioni IKE possono supportare qualsiasi algoritmi di crittografia aggiuntivi definiti nell'Appendice A e possono supportare i gruppi ECP ed EC2N. Le modalità IKE descritte qui devono essere implementate ogni volta che viene implementato l'IETF ipsec doi [pip97]. Altri DOis possono utilizzare le modalità descritte qui. Traccia degli standard di Harkins & Carrel [Pagina 7]

RFC 2409 Ike novembre 1998 5. Scambi Esistono due metodi di base utilizzati per stabilire uno scambio di chiavi autenticato: modalità principale e modalità aggressiva. Ognuno genera materiale di chiave autenticato da uno scambio effimero Diffie-Hellman. La modalità principale deve essere implementata; La modalità aggressiva dovrebbe essere implementata. Inoltre, la modalità rapida deve essere implementata come meccanismo per generare materiale di chiave fresco e negoziare servizi di sicurezza non ISAKMP. Inoltre, la nuova modalità di gruppo dovrebbe essere implementata come meccanismo per definire gruppi privati ​​per gli scambi di diffie ehellman. Le implementazioni non devono cambiare tipi di scambio nel mezzo di uno scambio. Gli scambi sono conformi alla sintassi del payload ISAKMP standard, alla codifica degli attributi, ai timeout e ai ritrasmetti di messaggi e ai messaggi informativi.G Una risposta di notifica viene inviata quando, ad esempio, una proposta è inaccettabile o una verifica o una decrittografia della firma non ha avuto successo, ecc. Il carico utile SA deve precedere tutti gli altri payload in uno scambio di fase 1. Salvo dove diversamente indicato, non ci sono requisiti per i payload ISAKMP in qualsiasi messaggio che si trovi in ​​un ordine particolare. Il valore pubblico Diffie-Hellman approvato in un payload KE, in uno scambio di fase 1 o di fase 2, deve essere la lunghezza del gruppo Diffie-Hellman negoziato applicato, se necessario, pre-inoltrato il valore con ZEROS. La durata del payload nonce deve essere compresa tra 8 e 256 byte. La modalità principale è un'istanza dello scambio di protezione dell'identità ISAKMP: i primi due messaggi negoziano la politica; i prossimi due valori pubblici di Exchan Diffie-Hellman e dati accessori (E.G. nonsi) necessario per lo scambio; e gli ultimi due messaggi autenticano lo scambio Diffie-Hellman. Il metodo di autenticazione negoziato come parte dello scambio ISAKMP iniziale influenza la composizione dei payload ma non il loro scopo. L'XCHG per la modalità principale è l'identità ISAKMP protezione. Allo stesso modo, la modalità aggressiva è un'istanza dello scambio aggressivo ISAKMP. I primi due messaggi negoziano la politica, lo scambio di valori pubblici di diffie-ehellman e i dati accessori necessari per lo scambio e le identità. Inoltre, il secondo messaggio autentica il risponditore. Il terzo messaggio autentica l'iniziatore e fornisce una prova della partecipazione allo scambio. L'XCHG per la modalità aggressiva è ISAKMP aggressivo. Il messaggio finale non può essere inviato in protezione dell'ISAKMP SA che consente a ciascuna parte di Traccia degli standard di Harkins & Carrel [Pagina 8]

RFC 2409 Ike novembre 1998 L'esponentezione rimanda, se lo si desidera, fino a quando la negoziazione di questo scambio è completa. Le rappresentazioni grafiche della modalità aggressiva mostrano il payload finale in chiaro; non deve essere. Gli scambi in Ike non sono aperti e hanno un numero fisso di messaggi. La ricezione di un carico utile della richiesta di certificato non deve estendere il numero di messaggi trasmessi o previsti. La negoziazione dell'associazione della sicurezza è limitata con modalità aggressiva. A causa dei requisiti di costruzione dei messaggi il gruppo in cui viene eseguito lo scambio Diffie-Hellman non può essere negoziato. Inoltre, diversi metodi di autenticazione possono limitare ulteriormente la negoziazione degli attributi. Ad esempio, l'autenticazione con la crittografia delle chiavi pubbliche non può essere negoziata e quando si utilizza il metodo rivisto della crittografia delle chiavi pubbliche per l'autenticazione, non è possibile negoziare il cifra e l'hash. Per le situazioni in cui sono richieste le capacità di negoziazione degli attributi ricchi di IKE. Modalità rapida e nuova modalità Gruppo non hanno analogici in ISAKMP. I valori XCHG per la modalità rapida e la nuova modalità Gruppo sono definiti nell'Appendice A. Modalità principale, modalità aggressiva e modalità Quick Do Security Association Negoziazione. Le offerte di assistenza alla sicurezza assumono la forma di payload traditore incapsulato nel payload / i di proposta incapsulato nel payload (S) dell'associazione di sicurezza (SA). Se vengono effettuate offerte multiple per gli scambi di fase 1 (modalità principale e modalità aggressiva), devono assumere la forma di payload di trasformazione multipli per un singolo carico utile di proposta in un singolo payload SA. Per dirla in un altro modo, per gli scambi di fase 1 non ci devono essere più carichi utili per un singolo carico utile SA e non ci devono essere più carichi utili SA. Questo documento non prescrive tale comportamento nelle offerte negli scambi di fase 2. Non vi è alcun limite al numero di offerte che l'iniziatore può inviare al soccorritore, ma le implementazioni conformi possono scegliere di limitare il numero di offerte che ispezionerà per motivi di prestazione. Durante la negoziazione dell'associazione della sicurezza, gli iniziatori presentano offerte per potenziali associazioni di sicurezza ai soccorritori. I soccorritori non devono modificare gli attributi di alcuna offerta, esclusa dalla codifica degli attributi (vedi Appendice A). Se l'iniziatore di uno scambio nota che i valori degli attributi sono stati modificati o gli attributi sono stati aggiunti o eliminati da un'offerta fatta, tale risposta deve essere respinta. Sono consentiti quattro diversi metodi di autenticazione con modalità principale o modalità aggressiva: firma digitale, due forme di autenticazione con crittografia a chiave pubblica o chiave pre-condizionata. Il valore Skeyid viene calcolato separatamente per ciascun metodo di autenticazione. Traccia degli standard di Harkins & Carrel [Pagina 9]

RFC 2409 Ike novembre 1998 Per le firme: skeyid = prf (ni_b | nr_b, g^xy) per crittografia delle chiavi pubbliche: skeyid = prf (hash (ni_b | nr_b), cky-i | cky-r) per le chiavi pre-autenticate: skeyid = prf (pre-shared-key, NI_b | nr_b) il risultato di Main Mode o aggressivi di tasti autentici (Skeyid, G^xy | cky-i | cky-r | 0) skeyid_a = prf (skeyid, skeyid_d | g^xy | cky-i | cky-r | 1) skeyid_e = prf (skeyid, skeyid_a | g^xy | cky-i | cky-r | 2) e concordato per proteggere le politiche per proteggere ulteriori comunicazioni. I valori di 0, 1 e 2 sopra sono rappresentati da un singolo ottetto. La chiave utilizzata per la crittografia deriva da skeyid_e in modo specifico per l'algoritmo (vedere l'Appendice B). Per autenticare, scambiare l'iniziatore del protocollo genera hash_i e il rispondente genera hash_r dove: hash_i = prf (skeyid, g^xi | g^xr | cky-i | cky-r | sai_b | idii_b) hash_r = prf (skeyid, g^xr | g^xi | cky-i | cky-i | cky-i , Hash_i e hash_r sono firmati e verificati; Per l'autenticazione con crittografia delle chiavi pubbliche o chiavi pre-condizionate, hash_i e hash_r autenticano direttamente lo scambio. L'intero carico utile ID (incluso il tipo di ID, la porta e il protocollo ma escluso l'intestazione generica) viene hash in sia Hash_i che HASH_R. Come accennato in precedenza, il metodo di autenticazione negoziata influenza il contenuto e l'uso dei messaggi per le modalità di fase 1, ma non il loro intento. Quando si utilizzano le chiavi pubbliche per l'autenticazione, lo scambio di fase 1 può essere eseguito utilizzando le firme o utilizzando la crittografia delle chiavi pubbliche (se l'algoritmo lo supporta). Di seguito sono riportati gli scambi di fase 1 con diverse opzioni di autenticazione. 5.1 Ike Fase 1 autenticato con le firme Usando le firme, le informazioni accessorie scambiate durante il secondo viaggio di andata e ritorno sono non GUI; Lo scambio viene autenticato firmando un hash reciprocamente ottenibile. La modalità principale con autenticazione della firma è descritta come segue: Traccia degli standard di Harkins & Carrel [Pagina 10]

RFC 2409 Ike novembre 1998 Iniziatore Responder ----------- ----------- HDR, SA-> In entrambe le modalità, i dati firmati, SIG_I o SIG_R, è il risultato dell'algoritmo di firma digitale negoziato applicato rispettivamente a Hash_i o Hash_R. In generale, la firma sarà su Hash_i e Hash_R come sopra usando il PRF negoziato o la versione HMAC della funzione hash negoziata (se non viene negoziato PRF). Tuttavia, ciò può essere sovrascritto per la costruzione della firma se l'algoritmo di firma è legato a un particolare algoritmo di hash (E.G. DSS è definito solo con l'uscita di 160 bit di SHA). In questo caso, la firma sarà su Hash_i e Hash_R come sopra, tranne l'uso della versione HMAC dell'algoritmo hash associato al metodo della firma. La funzione PRF e hash negoziate continuerebbero ad essere utilizzata per tutte le altre funzioni pseudo-casuali prescritte. Poiché l'algoritmo hash utilizzato è già noto, non è necessario codificare il proprio OID nella firma. Inoltre, non vi è alcun legame tra gli OID utilizzati per le firme RSA in PKCS #1 e quelli utilizzati in questo documento. Pertanto, le firme RSA devono essere codificate come crittografia a chiave privata nel formato PKCS #1 e non come firma nel formato PKCS #1 (che include l'OID dell'algoritmo hash). Le firme DSS devono essere codificate come R seguite da S. Uno o più carichi utili del certificato possono essere fatti opzionalmente. Traccia degli standard di Harkins & Carrel [Pagina 11]

RFC 2409 Ike novembre 1998 5.2 Fase 1 autenticata con crittografia delle chiavi pubbliche Utilizzando la crittografia delle chiavi pubbliche per autenticare lo scambio, le informazioni accessorie scambiate sono crittografate non GLI. La capacità di ciascuna parte di ricostruire un hash (dimostrando che l'altra parte ha decrittografato il nonce) autentica lo scambio. Per eseguire la crittografia della chiave pubblica, l'iniziatore deve già avere la chiave pubblica del risponditore. Nel caso in cui il risponditore abbia più chiavi pubbliche, un hash del certificato che l'iniziatore sta utilizzando per crittografare le informazioni accessorie vengono approvate come parte del terzo messaggio. In questo modo il responder può determinare quale tasto privato corrispondente da utilizzare per decrittografare i payload crittografati e la protezione dell'identità viene mantenuta. Oltre al nonce, le identità delle parti (IDII e IDIR) sono anche crittografate con la chiave pubblica dell'altra parte. Se il metodo di autenticazione è una crittografia della chiave pubblica, i payload nonce e dell'identità devono essere crittografati con la chiave pubblica dell'altra parte. Solo il corpo dei payload sono crittografati, le intestazioni del payload sono lasciate in chiaro. Quando si utilizza la crittografia per l'autenticazione, la modalità principale è definita come segue. Iniziatore Responder ----------- ----------- HDR, SA-> PUBKEY_R, PUBKEY_R-> HDR, KE, PUBKEY_I, PUBKEY_I HDR*, HASH_I-> PUBKEY_R, PUBKEY_R-> HDR, SA, KE, PUBKEY_I, PUBKEY_I, HASH_R HDR, HASH_I-> Traccia degli standard di Harkins & Carrel [Pagina 12]

RFC 2409 Ike novembre 1998 Dove hash (1) è un hash (che utilizza la funzione hash negoziata) del certificato che l'iniziatore utilizza per crittografare il nonce e l'identità. La crittografia RSA deve essere codificata in formato PKCS #1. Mentre solo il corpo dei payload ID e nonce è crittografato, i dati crittografati devono essere preceduti da una valida header generica ISAKMP. La lunghezza del payload è la lunghezza dell'intero payload crittografato più. La codifica PKCS #1 consente la determinazione della lunghezza effettiva del payload ClearText al momento della decrittografia. L'uso della crittografia per l'autenticazione prevede uno scambio plausabile negabile. Non ci sono prove (come con una firma digitale) che la conversazione ha mai avuto luogo poiché ciascuna parte può ricostruire completamente entrambi i lati dello scambio. Inoltre, la sicurezza viene aggiunta alla generazione segreta poiché un utente malintenzionato dovrebbe rompere con successo non solo lo scambio Diffie-Hellman, ma anche entrambi i crittografia RSA. Questo scambio era motivato da [Skeme]. Si noti che, a differenza di altri metodi di autenticazione, l'autenticazione con la crittografia della chiave pubblica consente la protezione dell'identità con modalità aggressiva. 5.3 Fase 1 autenticata con una modalità rivista di crittografia delle chiavi pubbliche L'autenticazione con la crittografia a chiave pubblica presenta vantaggi significativi rispetto all'autenticazione con le firme (vedere la sezione 5.2 sopra). Sfortunatamente, questo è al costo di 4 operazioni chiave pubbliche: due crittografici chiave pubbliche e due decritti chiave privati. Questa modalità di autenticazione mantiene i vantaggi dell'autenticazione utilizzando la crittografia della chiave pubblica ma lo fa con metà delle operazioni chiave pubbliche. In questa modalità, il nonce è ancora crittografato utilizzando la chiave pubblica del peer, tuttavia l'identità del peer (e il certificato se viene inviato) viene crittografata utilizzando l'algoritmo di crittografia simmetrica negoziata (dal carico utile SA) con una chiave derivata dal nonce derivato dal nonce. Questa soluzione aggiunge complessità e stato minima e salva due costose operazioni chiave pubbliche su ciascun lato. Inoltre, il payload di Exchange chiave è anche crittografato utilizzando la stessa chiave derivata. Ciò fornisce ulteriore protezione contro la crittanalisi dello scambio Diffie-Hellman. Come per il metodo di autenticazione della crittografia della chiave pubblica (sezione 5.2), un carico utile hash può essere inviato per identificare un certificato se il risponditore ha più certificati che contengono chiavi pubbliche utilizzabili (E.G. Se il certificato non è solo per le firme, a causa di restrizioni del certificato o restrizioni algoritmiche). Se l'hash Traccia degli standard di Harkins & Carrel [Pagina 13]

RFC 2409 Ike novembre 1998 Il payload viene inviato deve essere il primo carico utile del secondo scambio di messaggi e deve essere seguito dal nonce crittografato. Se il payload hash non viene inviato, il primo carico utile del secondo scambio di messaggi deve essere il nonce crittografato. Inoltre, l'iniziatore è facoltativamente un payload del certificato per fornire al rispondente una chiave pubblica con cui rispondere. Quando si utilizza la modalità di crittografia rivista per l'autenticazione, la modalità principale è definita come segue. Iniziatore Responder ----------- ----------- HDR, SA-> pubkey_r, ke_i, ke_i, [ke_i]-> hdr, pubkey_i, ke_r, ke_r, hdr*, hash_i-> pubkey_r, ke_i, ke_i [, ke_i]-> HDR, SA, Pubkey_i, ke_r, ke_r.2. Ke_i e ke_r sono chiavi dell'algoritmo di crittografia simmetrica negoziata nello scambio di payload SA. Solo il corpo dei payload è crittografato (in entrambe le principali operazioni simmetriche), le intestazioni generiche di carico utile vengono lasciate in chiaro. La durata del payload include quello aggiunto per eseguire la crittografia. Le chiavi di cifratura simmetriche sono derivate dai non Escs decrittografati come segue. Innanzitutto vengono calcolati i valori ne_i e ne_r: Traccia degli standard di Harkins & Carrel [Pagina 14]

RFC 2409 Ike novembre 1998 Ne_i = prf (ni_b, cky-i) ne_r = prf (nr_b, cky-r) Le chiavi ke_i e ke_r sono quindi prelevate da NE_I e NE_R rispettivamente nel modo descritto nell'appendice B utilizzata per derivare le chiavi simmetriche da utilizzare con l'algoritmo di algoritmo di encryption negoziata. Se la lunghezza dell'output del PRF negoziato è maggiore o uguale ai requisiti di lunghezza chiave del cifra, rispettivamente Ke_i e Ke_r sono derivati ​​dai bit più significativi di NE_I e NE_R. Se la lunghezza desiderata di ke_i e ke_r supera la lunghezza dell'uscita del PRF, il numero necessario di bit viene ottenuta alimentando ripetutamente i risultati del PRF in se stesso e concatenando il risultato fino a quando non è stato raggiunto il numero necessario. Ad esempio, se l'algoritmo di crittografia negoziata richiede 320 bit di chiave e l'output del PRF è solo 128 bit, Ke_i è i 320 bit più significativi di K, dove k = k1 | K2 | K3 e k1 = prf (ne_i, 0) k2 = prf (ne_i, k1) k3 = prf (ne_i, k2) per brevità, è mostrata solo la derivazione di ke_i; Ke_r è identico. La lunghezza del valore 0 nel calcolo di K1 è un singolo ottetto. Si noti che ne_i, ne_r, ke_i e ke_r sono tutti effimeri e devono essere scartati dopo l'uso. Salvare i requisiti sulla posizione del carico utile hash opzionale e il payload non obbligatorio non ci sono ulteriori requisiti di carico utile. Tutti i payload- in qualunque ordine- seguendo il nonce crittografato devono essere crittografati con ke_i o ke_r a seconda della direzione. Se la modalità CBC viene utilizzata per la crittografia simmetrica, i vettori di inizializzazione (IV) sono impostati come segue. Il IV per crittografare il primo carico utile seguendo il nonce è impostato su 0 (zero). Il IV per i successivi payload crittografati con il tasto Ephemeral Simmetric Cipher, Ke_i, è l'ultimo blocco cifrato del payload precedente. I payload crittografati sono imbottiti fino alla dimensione del blocco più vicino. Tutti i byte di imbottitura, ad eccezione dell'ultimo, contengono 0x00. L'ultimo byte dell'imbottitura contiene il numero di byte di imbottitura utilizzati, esclusi l'ultimo. Si noti che questo significa che ci sarà sempre imbottitura. Traccia degli standard di Harkins & Carrel [Pagina 15]

RFC 2409 Ike novembre 1998 5.4 Fase 1 autenticato con una chiave pre-condivisa Una chiave derivata da un meccanismo fuori banda può anche essere utilizzata per autenticare lo scambio. L'effettiva istituzione di questa chiave è fuori dall'ambito di questo documento. Quando si eseguono un'autenticazione della chiave pre-condizionata, la modalità principale è definita come segue: Iniziatore Responder ---------- ----------- HDR, SA-> Quando si utilizza l'autenticazione della chiave pre-condivisa con la modalità principale, la chiave può essere identificata solo dall'indirizzo IP dei peer da Hash_i deve essere calcolato prima che l'iniziatore abbia elaborato IDIR. La modalità aggressiva consente di utilizzare una gamma più ampia di identificatori del segreto pre-condiviso. Inoltre, la modalità aggressiva consente a due parti di mantenere chiavi pre-condizionate diverse e diverse e identificare quella corretta per un particolare scambio. 5.5 Fase 2 - Modalità rapida La modalità rapida non è uno scambio completo stesso (in quanto è vincolato a uno scambio di fase 1), ma viene utilizzata come parte del processo di negoziazione SA (Fase 2) per derivare il materiale di chiave e negoziare la politica condivisa per SAS non ISAKMP. Le informazioni scambiate insieme alla modalità rapida devono essere protette da ISAKMP SA-- i.e. Tutti i payload tranne l'intestazione ISAKMP sono crittografati. In modalità rapida, un carico utile hash deve seguire immediatamente l'intestazione ISAKMP e un carico utile SA deve seguire immediatamente l'hash. Questo hash autentica il messaggio e fornisce anche prove di vivacità. Traccia degli standard di Harkins & Carrel [Pagina 16]

RFC 2409 Ike novembre 1998 L'ID del messaggio nell'intesta. Poiché ogni istanza di una modalità rapida utilizza un vettore di inizializzazione univoco (vedi Appendice B) è possibile avere più modalità rapide simultanee, in base a un singolo ISAKMP SA, in corso in qualsiasi momento. La modalità Quick è essenzialmente una negoziazione SA e uno scambio di non GIE che fornisce protezione da replay. I non GenS vengono utilizzati per generare materiale chiave fresco e impedire agli attacchi di riproduzione di generare associazioni di sicurezza fasulle. Un payload di scambio a chiave opzionale può essere scambiato per consentire un ulteriore scambio di diffie-hellman ed esponenziale per modalità rapida. Mentre l'uso del payload di scambio chiave con la modalità rapida è facoltativo, deve essere supportato. Modalità rapida di base (senza il payload KE) aggiorna il materiale di chiave derivato dall'esponentezione nella fase 1. Questo non fornisce PFS. Utilizzando il payload KE opzionale, viene eseguita un'esponentezione aggiuntiva e viene fornita PFS per il materiale di chiave. Si presume che le identità del SAS negoziato in modalità rapida siano implicitamente gli indirizzi IP dei pari ISAKMP, senza alcun vincolo implicito sul protocollo o sui numeri di porta consentiti, a meno che gli identificatori del cliente non siano specificati in modalità rapida. Se ISAKMP agisce come negoziatore cliente per conto di un'altra parte, le identità delle parti devono essere approvate come IDCI e quindi IDCR. La politica locale determinerà se le proposte sono accettabili per le identità specificate. Se le identità del cliente non sono accettabili per il risponditore della modalità rapida (a causa di politiche o altri motivi), è necessario inviare un payload di notifica con il tipo di messaggio di notifica del tipo di informazione ID (18). Le identità del cliente vengono utilizzate per identificare e dirigere il traffico verso il tunnel appropriato nei casi in cui esistono più tunnel tra due pari e anche per consentire SAS unici e condivisi con granularità diverse. Tutte le offerte fatte durante una modalità rapida sono logicamente correlate e devono essere coerenti. Ad esempio, se viene inviato un carico utile KE, l'attributo che descrive il gruppo Diffie-Hellman (vedere la Sezione 6.1 e [PIP97]) devono essere inclusi in ogni trasformazione di ogni proposta di ogni SA negoziata. Allo stesso modo, se vengono utilizzate le identità dei clienti, devono applicarsi a ogni SA nella negoziazione. La modalità rapida è definita come segue: Traccia degli standard di Harkins & Carrel [Pagina 17]

RFC 2409 Ike novembre 1998 Iniziatore Responder ----------- ------------. L'hash (2) è identico all'hash (1) tranne il nonce dell'iniziatore-Ni, meno l'intestazione del carico del payara. L'aggiunta del nonce all'hash (2) è per una prova di vivacità. HASH (3)- Per vivacità-- è il PRF rispetto al valore zero rappresentato come un singolo ottetto, seguito da una concatenazione dell'ID del messaggio e dei due non GenS- l'iniziatore seguito dal rispondente- meno l'intestazione del carico del pay. In altre parole, gli hash per lo scambio di cui sopra sono: hash (1) = prf (skeyid_a, m-id | sa | ni [| ke] [| idci | idcr) hash (2) = prf (skeyid_a, m-id | ni_b | sa | nr [| ke] [| idci | idcr) hash (3) = prf (skeyid_a L'eccezione di Hash, SA e dei payload ID opzionali, non ci sono restrizioni di ordinazione del payload in modalità rapida. Hash (1) e Hash (2) possono differire dall'illustrazione sopra se l'ordine dei payload nel messaggio differisce dall'esempio illustrativo o se i carichi utili opzionali, ad esempio un payload di notifica, sono stati incatenati al messaggio. Se PFS non è necessario e i payload KE non vengono scambiati, il nuovo materiale di chiave è definito come keymat = prf (skeyid_d, protocollo | spi | ni_b | nr_b). Se si desidera PFS e i payload KE sono stati scambiati, il nuovo materiale di keying è definito come keymat = prf (skeyid_d, g (qm)^xy | protocollo | spi | ni_b | nr_b) dove g (qm)^xy è il segreto condiviso dall'ephemeral diffie-hellman Exchange di questa modalità veloce. In entrambi i casi, "protocollo" e "SPI" provengono dal carico utile della proposta ISAKMP che conteneva la trasformazione negoziata. Traccia degli standard di Harkins & Carrel [Pagina 18]

RFC 2409 Ike novembre 1998 Una negoziazione SA single si traduce in due associazioni di sicurezza: una in entrata e una in uscita. SPI diversi per ogni SA (uno scelto dall'iniziatore, l'altro dal risponditore) garantisce una chiave diversa per ciascuna direzione. La SPI scelta dalla destinazione della SA viene utilizzata per derivare il keymat per quel SA. Per le situazioni in cui la quantità di materiale di chiave desiderato è maggiore di quella fornita dal PRF, il keymat viene ampliato alimentando i risultati del PRF in se stesso e concatenando i risultati fino a quando non è stato raggiunto il materiale di chiave richiesto. In altre parole, keymat = k1 | K2 | K3 | . dove k1 = prf (skeyid_d, [g (qm)^xy |] protocollo | spi | ni_b | nr_b) k2 = prf (skeyid_d, k1 | [g (qm)^xy |] protocol | spi | ni_b | nr_b) k3 = prf (Skeyid_d, k2 | [gm | r_b) ecc. Questo materiale di chiave (con PFS o senza e sia derivato direttamente o attraverso la concatenazione) deve essere utilizzato con la SA negoziata. Spetta al servizio definire come le chiavi sono derivate dal materiale di chiave. Nel caso di uno scambio effimero Diffie-Hellman in modalità rapida, l'esponenziale (G (QM)^XY) è irretensivivabilmente rimosso dallo stato attuale e Skeyid_e e Skeyid_A (derivato dalla negoziazione di fase 1) continuano a proteggere e autenticare ISAKMP SA e SKEKEID_D continuano a essere usati per derivare le chiavi deriva. Usando modalità rapida, più SA e chiavi possono essere negoziati con uno scambio come segue: Iniziatore Responder ----------- ----------- HDR*, Hash (1), SA0, SA1, NI, [, KE] [, IDCI, IDCR]-> Il materiale di chiave è derivato in modo identico come nel caso di un singolo SA SA di SA singolo. In questo caso (negoziazione di due payload SA) il risultato sarebbero quattro associazioni di sicurezza: due per entrambi i SAS. Traccia degli standard di Harkins & Carrel [Pagina 19]

RFC 2409 Ike novembre 1998 5.6 Nuova modalità di gruppo La nuova modalità di gruppo non deve essere utilizzata prima della creazione di un ISAKMP SA. La descrizione di un nuovo gruppo deve seguire solo la negoziazione di fase 1. (Non è uno scambio di fase 2, però). Iniziatore Responder ----------- ----------- HDR*, Hash (1), SA-> Appendice A, "Attributo assegnato Numeri"). Le descrizioni del gruppo per gruppi privati ​​devono essere maggiori o uguali a 2^15. Se il gruppo non è accettabile, il responder deve rispondere con un payload di notifica con il tipo di messaggio impostato su attributi-non supportato (13). Le implementazioni ISAKMP possono richiedere ai gruppi privati ​​di scadere con la SA in base alla quale sono state stabilite. I gruppi possono essere negoziati direttamente nella proposta SA con la modalità principale. Per fare questo le parti dei componenti: per un gruppo MODP, il tipo, il primo e il generatore; Per un gruppo EC2N il tipo, il polinomio irriducibile, il generatore di gruppo uno, il generatore di gruppo due, la curva di gruppo A, la curva di gruppo B e l'ordine di gruppo- sono passati come attributi SA (vedi Appendice A). In alternativa, la natura del gruppo può essere nascosta usando una nuova modalità di gruppo e solo l'identificatore del gruppo viene approvato nel chiaro durante la negoziazione di fase 1. 5.7 Scambi informativi ISAKMP Questo protocollo protegge gli scambi informativi ISAKMP quando possibile. Una volta che l'Associazione di sicurezza ISAKMP è stata istituita (e Skeyid_E e Skeyid_A sono stati generati) gli scambi di informazioni ISAKMP, se usati con questo protocollo, sono i seguenti: Traccia degli standard di Harkins & Carrel [Pagina 20]

RFC 2409 Ike novembre 1998 Iniziatore Responder ----------- ------------. In altre parole, l'hash per lo scambio di cui sopra è: hash (1) = prf (skeyid_a, m-id | n/d) Come notato l'ID del messaggio nell'intestazione ISAKMP-- e utilizzato nel calcolo PRF-- è unico per questo scambio e non deve essere lo stesso dell'ID messaggio di Fase 2 che ha generato questo scambio informativo che ha generato questo scambio informativo. La derivazione del vettore di inizializzazione, utilizzato con skeyid_e per crittografare questo messaggio, è descritta nell'Appendice B. Se l'Associazione della sicurezza ISAKMP non è stata ancora stabilita al momento dello scambio informativo, lo scambio viene effettuato in chiaro senza un payload di hash di accompagnamento. 6 gruppi Oakley Con Ike, viene negoziato il gruppo in cui fare lo scambio Diffie-Hellman. QUATTRO GRUPPI-- VALORI da 1 a 4-- sono definiti di seguito. Questi gruppi hanno avuto origine con il protocollo Oakley e sono quindi chiamati "Gruppi Oakley". La classe di attributi per "gruppo" è definita nell'Appendice A. Tutti i valori 2^15 e superiori sono utilizzati per gli identificatori di gruppo privato. Per una discussione sulla base dei gruppi di Oakley predefiniti, consultare la sezione delle considerazioni sulla sicurezza di seguito. Questi gruppi sono stati tutti generati da Richard Schroeppel all'Università dell'Arizona. Le proprietà di questi gruppi sono descritte in [ORM96]. 6.1 Primo gruppo di default Oakley Le implementazioni di Oakley devono supportare un gruppo MODP con il seguente primo e generatore. A questo gruppo è assegnato l'ID 1 (uno). Il primo è: 2^768 - 2^704 - 1 + 2^64 * < [2^638 pi] + 149686 >Il suo valore esadecimale è Traccia degli standard di Harkins & Carrel [Pagina 21]

RFC 2409 Ike novembre 1998 FFFFFFFF FFFFFFFF C90FDAA2 2168C234 C4C6628B 80DC1CD1 29024E08 8A67CC74 020BBEA6 3B139B22 514A0879 8E3404DD EF9519B3 CD3A431B 302B0A6D F25F1437 6D51C245 E485B576 625E7EC6 F44C42E9 A63A3620 FFFFFFFFF FFFFFFFF Il generatore è: 2. 6.2 Secondo Gruppo Oakley Le implementazioni IKE dovrebbero supportare un gruppo MODP con il seguente primo e generatore. A questo gruppo è assegnato ID 2 (due). Il primo è 2^1024 - 2^960 - 1 + 2^64 * < [2^894 pi] + 129093 >. Its hexadecimal value is FFFFFFFF FFFFFFFF C90FDAA2 2168C234 C4C6628B 80DC1CD1 29024E08 8A67CC74 020BBEA6 3B139B22 514A0879 8E3404DD EF9519B3 CD3A431B 302B0A6D F25F1437 4FE1356D 6D51C245 E485B576 625E7EC6 F44C42E9 A637ED6B 0BFF5CB6 F406B7ED EE386BFB 5A899FA5 AE9F2411 7C4B1FE6 49286651 ECE65381 FFFFFFFF FFFFFFFF The generator is 2 (decimal) 6.3 Terzo Gruppo Oakley Le implementazioni IKE dovrebbero supportare un gruppo EC2N con le seguenti caratteristiche. A questo gruppo è assegnato ID 3 (tre). La curva si basa sul campo Galois Gf [2^155]. La dimensione del campo è 155. Il polinomiale irriducibile per il campo è: u^155 + u^62 + 1. L'equazione per la curva ellittica è: y^2 + xy = x^3 + ax^2 + b. Field Size: 155 Group Prime/Irreducible Polynomial: 0x0800000000000000000000004000000000000001 Group Generator One: 0x7b Group Curve A: 0x0 Group Curve B: 0x07338f Group Order: 0X0800000000000000000057db5698537193aef944 The data in the KE payload when using this group is the value x from the solution (x,y), the point on the curve chosen by taking the randomly chosen secret Ka and computing Ka*P, where * is the repetition of the group addition and double operations, P is the curve point with x coordinate equal to generator 1 and the y Traccia degli standard di Harkins & Carrel [Pagina 22]

RFC 2409 Ike novembre 1998 coordinate determinata dall'equazione di definizione. L'equazione della curva è implicitamente conosciuta dal tipo di gruppo e dai coefficienti A e B. Esistono due possibili valori per la coordinata Y; Uno uno dei due può essere utilizzato correttamente (le due parti non devono essere d'accordo sulla selezione). 6.4 Quarto gruppo Oakley Le implementazioni IKE dovrebbero supportare un gruppo EC2N con le seguenti caratteristiche. A questo gruppo è assegnato ID 4 (quattro). La curva si basa sul campo Galois Gf [2^185]. La dimensione del campo è 185. Il polinomiale irriducibile per il campo è: u^185 + u^69 + 1. L'equazione per la curva ellittica è: y^2 + xy = x^3 + ax^2 + b. Field Size: 185 Group Prime/Irreducible Polynomial: 0x020000000000000000000000000000200000000000000001 Group Generator One: 0x18 Group Curve A: 0x0 Group Curve B: 0x1ee9 Group Order: 0X01ffffffffffffffffffffffdbf2f889b73e484175f94ebc The data in the KE payload when using this group will be identical to that as when using Oakley Group 3 (three). Altri gruppi possono essere definiti utilizzando una nuova modalità di gruppo. Questi gruppi predefiniti sono stati generati da Richard Schroeppel all'Università dell'Arizona. Le proprietà di questi numeri sono descritti in [ORM96]. 7. Esplosione del payload per uno scambio Ike completo Questa sezione illustra come viene utilizzato il protocollo IKE: - Stabilire un canale sicuro e autenticato tra i processi ISAKMP (Fase 1); e - generare materiale chiave e negoziare, un IPsec SA (Fase 2). 7.1 fase 1 usando la modalità principale Il seguente diagramma illustra i payload scambiati tra le due parti nel primo cambio di andata e ritorno. L'iniziatore può proporre diverse proposte; Il rispondente deve rispondere con uno. Traccia degli standard di Harkins & Carrel [Pagina 23]

RFC 2409 Ike novembre 1998 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+~ ~ ~ ~ ~ ~ e ~ ~ e ~ ~ e ~ ~ e ~ ~ e ~ ~ e ~ ~ e ~ ~ e ~ ~ e ~ e ~ ~ A ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Dominio dell'interpretazione ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Situazione ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Proposta n. 1 ! Proto_isakmp ! SPI SIZE = 0 | # Trasforma ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Isa_trans ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Trasforma n. 1 ! Key_oakley | Riservato2 ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ attributi SA preferiti ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Trasforma n. 2 ! Key_oakley | Riservato2 ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ Attributi SA alternati ~+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+Il responder risponde in gentile ma seleziona e resi, una proposta di trasformata (l'attributo SA Isakmp). Il secondo scambio è costituito dai seguenti carichi di utili , ~ ~ e il prossimo carico utile di Isa_ke ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Isa_nonce ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ D-h Valore pubblico (g^xi dall'iniziatore g^xr da soccorritore) ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ Ni (dall'iniziatore) o nr (dal risponditore) ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Traccia degli standard di Harkins & Carrel [Pagina 24]

RFC 2409 Ike novembre 1998 Le chiavi condivise, skeyid_e e skeyid_a, sono ora utilizzate per proteggere e autenticare tutte le ulteriori comunicazioni. Si noti che sia skeyid_e che skeyid_a non sono autenticati. 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ ISAKMP Header with XCHG of Main Mode, ~ ~ and Next Payload of ISA_ID and the encryption bit set ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Isa_sig ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ Dati di identificazione del negoziatore ISAKMP ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ Firma verificata dalla chiave pubblica dell'ID sopra ~+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+Lo scambio di chiavi è autenticato su un firmato è descritto nella sezione 5 5.1. Una volta che la firma è stata verificata utilizzando l'algoritmo di autenticazione negoziata come parte di ISAKMP SA, le chiavi condivise, Skeyid_E e Skeyid_A possono essere contrassegnate come autenticate. (Per brevità, i payload del certificato non sono stati scambiati). 7.2 Fase 2 usando la modalità rapida I seguenti payload sono scambiati nel primo turno di modalità rapida con la negoziazione ISAKMP SA. In questo ipotetico scambio, i negoziatori ISAKMP sono proxy per altre parti che hanno richiesto l'autenticazione. 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+~ ISAKMP MODOTH, MODOAD, MODOAD, QUINDO CAGACHI e il bit di crittografia set ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Isa_sa ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ hash chiave del messaggio ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Isa_nonce ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Dominio dell'interpretazione ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Situazione ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Traccia degli standard di Harkins & Carrel [Pagina 25]

RFC 2409 Ike novembre 1998 ! Proposta n. 1 ! Proto_ipsec_ah! SPI Dimensione = 4 | # Trasforma ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ Spi (4 ottetti) ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Isa_trans ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Trasforma n. 1 ! Ah_sha | Riservato2 ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Altri attributi SA ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Trasforma n. 2 ! Ah_md5 | Riservato2 ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Altri attributi SA ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! HO DETTO ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ nonce ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! HO DETTO ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ ID della fonte per la quale ISAKMP è un client ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ ID di destinazione per la quale ISAKMP è un client ~+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+dove i contenuti dell'hash sono descritti in 5.5 sopra. Il rispondente risponde con un messaggio simile che contiene solo una trasformazione: la trasformata AH selezionata. Al ricevimento, l'iniziatore può fornire al motore chiave l'associazione di sicurezza negoziata e il materiale di chiave. Come assegno contro gli attacchi di replay, il risponditore attende fino al ricevimento del messaggio successivo. 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+~ ISAKMP MODOTH, MODOAD, MODOAD, QUINDO CAGACHI e il bit di crittografia set ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! RISERVATO ! Lunghezza del payload ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ dati hash ~+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+dove i contenuti dell'hash sono descritti in 5.5 sopra. Traccia degli standard di Harkins & Carrel [Pagina 26]

RFC 2409 Ike novembre 1998 8. Esempio di segretezza in avanti perfetta Questo protocollo può fornire PFS sia delle chiavi che delle identità. L'identità sia di ISAKMP che negozia il pari e, se applicabile, le identità per le quali i colleghi stanno negoziando possono essere protetti con PFS. Per fornire una perfetta segretezza in avanti di entrambe le chiavi e tutte le identità, due parti eseguirebbero quanto segue: o uno scambio di modalità principale per proteggere le identità dei pari ISAKMP. Questo stabilisce un ISAKMP SA. o Uno scambio di modalità rapida per negoziare altri protocolli di sicurezza. Ciò stabilisce una SA su ciascuna estremità per questo protocollo. o Elimina l'ISAKMP SA e il suo stato associato. Poiché la chiave da utilizzare nel non ISAKMP SA è stata derivata dal singolo Exmeeral Diffie-Hellman Exchange PFS è preservato. Per fornire una perfetta segretezza in avanti solo delle chiavi di un'associazione di sicurezza non ISAKMP, non è necessario eseguire uno scambio di fase 1 se esiste una SA ISAKMP tra i due coetanei. Un singolo modalità rapida in cui viene superato il payload KE opzionale e viene eseguito un ulteriore scambio Diffie-Hellman, è tutto ciò che è richiesto. A questo punto lo stato derivato da questa modalità rapida deve essere eliminato dall'ISAKMP SA come descritto nella Sezione 5.5. 9. Suggerimenti di implementazione L'uso di una singola negoziazione di fase 1 ISAKMP rende i successivi negoziati di fase 2 estremamente rapidi. Finché lo stato di fase 1 rimane memorizzato nella cache e non è necessario la PFS, la fase 2 può procedere senza alcuna esponenziale. Quante negoziazioni di fase 2 possono essere eseguite per una fase 1 monofase è una questione politica locale. La decisione dipenderà dalla forza degli algoritmi utilizzati e dal livello di fiducia nel sistema peer. Un'implementazione potrebbe voler negoziare una serie di SA quando si esegue una modalità rapida. In questo modo possono accelerare il "re-Keying". La modalità rapida definisce il modo in cui il keymat è definito per una gamma di SA. Quando un peer sente che è tempo di cambiare SAS, usano semplicemente quello successivo nell'intervallo dichiarato. Una serie di SA può essere stabilita negoziando più SAS (attributi identici, SPIS diversi) con una modalità rapida. Traccia degli standard di Harkins & Carrel [Pagina 27]

RFC 2409 Ike novembre 1998 Un'ottimizzazione che è spesso utile è stabilire associazioni di sicurezza con i coetanei prima che siano necessarie in modo che quando diventano necessari sono già in atto. Ciò garantisce che non vi sarebbero ritardi dovuti alla gestione delle chiavi prima della trasmissione dei dati iniziali. Questa ottimizzazione è facilmente implementata impostando più di un'associazione di sicurezza con un peer per ciascuna associazione di sicurezza richiesta e memorizzazione nella cache di coloro che non sono immediatamente utilizzati. Inoltre, se viene avvisato un'implementazione ISAKMP che sarà presto necessaria una SA (E.G. Per sostituire una SA esistente che scadrà nel prossimo futuro), quindi può stabilire la nuova SA prima che sia necessaria quella nuova SA. La specifica ISAKMP di base descrive le condizioni in cui una parte del protocollo può informare l'altra parte di alcune attività: la cancellazione di un'associazione di sicurezza o in risposta ad alcuni errori nel protocollo come una verifica della firma non riuscita o un carico utile non è stato. Si suggerisce fortemente che a questi scambi informativi non vengano risposte in nessun caso. Tale condizione può comportare una "guerra di notifica" in cui il mancato comprendere un messaggio si traduce in una notifica al pari che non può capirlo e invia la propria notifica che non è anche compresa. 10. Considerazioni sulla sicurezza L'intero memo discute di un protocollo ibrido, che combina parti di Oakley e parti di Skeme con ISAKMP, per negoziare e derivare materiale di chiave per, associazioni di sicurezza in modo sicuro e autenticato. La riservatezza è assicurata dall'uso di un algoritmo di crittografia negoziata. L'autenticazione è assicurata dall'uso di un metodo negoziato: un algoritmo di firma digitale; un algoritmo a chiave pubblica che supporta la crittografia; Oppure, una chiave pre-condivisa. La riservatezza e l'autenticazione di questo scambio sono valide solo quanto gli attributi negoziati come parte dell'Associazione di sicurezza ISAKMP. Riflegare ripetutamente l'utilizzo della modalità rapida può consumare l'entropia del segreto condiviso di diffie-hellman. Gli implementari dovrebbero prendere atto di questo fatto e fissare un limite agli scambi di modalità rapida tra le esponenti. Questo promemoria non prescrive un tale limite. È possibile un secondo segreto in avanti (PFS) di materiale di chiave e identità con questo protocollo. Specificando un gruppo Diffie-Hellman e passando i valori pubblici nei payload KE, i coetanei ISAKMP possono stabilire PFS di chiavi: le identità sarebbero protette da Skeyid_E dall'ISAKMP SA e pertanto non sarebbero protetti da PFS. Se si desidera PFS di materiale di chiave e identità, un peer ISAKMP deve Traccia degli standard di Harkins & Carrel [Pagina 28]

RFC 2409 Ike novembre 1998 Stabilire una sola associazione di sicurezza non ISAKMP (E.G. Ipsec Security Association) per ISAKMP SA. PFS per le chiavi e le identità si ottiene eliminando l'ISAKMP SA (e facoltativamente emettendo un messaggio di eliminazione) alla creazione del singolo non ISAKMP SA. In questo modo una negoziazione di fase uno è unicamente legata a una singola fase due negoziazione e l'ISAKMP SA istituita durante la negoziazione di fase uno non viene mai più usato più. La forza di una chiave derivata da uno scambio Diffie-Hellman usando uno qualsiasi dei gruppi qui definiti dipende dalla forza intrinseca del gruppo, dalla dimensione dell'esponente utilizzato e dall'entropia fornita dal generatore di numeri casuali utilizzato. A causa di questi input è difficile determinare la forza di una chiave per uno qualsiasi dei gruppi definiti. Il gruppo Diffie-Hellman predefinito (numero uno) se usato con un forte generatore di numeri casuali e un esponente non meno di 160 bit è sufficiente da usare per Des. I gruppi da due a quattro forniscono una maggiore sicurezza. Le implementazioni dovrebbero prendere atto di queste stime conservative quando si stabiliscono la politica e la negoziazione di parametri di sicurezza. Si noti che queste limitazioni sono sugli stessi gruppi Diffie-Hellman. Non c'è nulla in Ike che proibisce l'uso di gruppi più forti né c'è qualcosa che diluirà la forza ottenuta da gruppi più forti. In effetti, il quadro estensibile di IKE incoraggia la definizione di più gruppi; L'uso di gruppi di curve ellittici aumenterà notevolmente la forza usando numeri molto più piccoli. Per le situazioni in cui i gruppi definiti forniscono una resistenza insufficiente, è possibile utilizzare una modalità di gruppo per scambiare un gruppo Diffie-Hellman che fornisce la forza necessaria. In cui spetta alle implementazioni per verificare la primalità in gruppi offerti e arrivare indipendentemente alle stime di forza. Si presume che gli esponenti Diffie-Hellman in questo scambio siano cancellati dalla memoria dopo l'uso. In particolare, questi esponenti non devono essere derivati ​​da segreti di lunga durata come il seme a un generatore pseudo-casuale. Gli scambi IKE mantengono i vettori di inizializzazione in esecuzione (iv) in cui l'ultimo blocco cifrato dell'ultimo messaggio è la IV per il messaggio successivo. Per evitare che le ritrasmissioni (o messaggi forgiati con cookie validi) causino scambi per uscire dalla sincronizzazione delle implementazioni IKE non dovrebbero aggiornare la loro corsa IV fino a quando il messaggio decrittografato non ha superato un controllo di base della sanità mentale ed è stato determinato per far avanzare effettivamente la macchina dello stato Ike-- i.e. non è una ritrasmissione. Traccia degli standard di Harkins & Carrel [Pagina 29]

RFC 2409 Ike novembre 1998 Mentre l'ultimo viaggio di andata e ritorno della modalità principale (e facoltativamente l'ultimo messaggio di modalità aggressiva) è crittografato, non è autenticato, a rigor di termini. Un attacco di sostituzione attivo al testo cifrato potrebbe comportare la corruzione del payload. Se un tale attacco corrompe i carichi utili obbligatori, verrebbe rilevato da un fallimento di autentica.G. avvisare i payload incatenati sull'ultimo messaggio di uno scambio di modalità principale) potrebbe non essere rilevabile. 11. Considerazioni IANA Questo documento contiene molti "numeri magici" che devono essere mantenuti dalla IANA. Questa sezione spiega i criteri che saranno utilizzati dalla IANA per assegnare numeri aggiuntivi in ​​ciascuno di questi elenchi. 11.1 classi di attributi Gli attributi negoziati in questo protocollo sono identificati dalla loro classe. Le richieste di assegnazione di nuove classi devono essere accompagnate da un RFC di standard che descrive l'uso di questo attributo. 11.2 Classe di algoritmo di crittografia I valori della classe dell'algoritmo di crittografia definiscono un algoritmo di crittografia da utilizzare quando richiesto in questo documento. Le richieste di assegnazione di nuovi valori di algoritmo di crittografia devono essere accompagnate da un riferimento a una RFC di standard o un RFC informativo o un riferimento alla letteratura crittografica pubblicata che descrive questo algoritmo. 11.3 algoritmo hash I valori della classe dell'algoritmo hash definiscono un algoritmo hash da utilizzare quando richiesto in questo documento. Le richieste per l'assegnazione dei valori dell'algoritmo di nuovo hash devono essere accompagnate da un riferimento a una RFC di standard o informativa o un riferimento alla letteratura crittografica pubblicata che descrive questo algoritmo. A causa della derivazione chiave e degli usi di espansione chiave delle forme HMAC di algoritmi di hash in IKE, le richieste di assegnazione di nuovi valori di algoritmo hash devono tener conto delle proprietà crittografiche.G è resistenza alla collisione- dell'algoritmo hash stesso. 11.4 Descrizione del gruppo e tipo di gruppo Valori della classe Descrizione del gruppo Identificare un gruppo da utilizzare in uno scambio Diffie-Hellman. I valori della classe tipo di gruppo definiscono il tipo di gruppo. Le richieste di assegnazione di nuovi gruppi devono essere accompagnate da un riferimento a un RFC di standard o informativo che descrive questo gruppo. Richieste di assegnazione di nuovo gruppo Traccia degli standard di Harkins & Carrel [Pagina 30]

RFC 2409 Ike novembre 1998 I tipi devono essere accompagnati da un riferimento a una RFC di standard o informativa o da un riferimento alla letteratura crittografica o matematica pubblicata che descrive il nuovo tipo. 11.5 Tipo di vita I valori della classe di tipo di vita definiscono un tipo di vita a cui si applica l'Associazione di sicurezza ISAKMP. Le richieste di assegnazione di nuovi tipi di vita devono essere accompagnate da una descrizione dettagliata delle unità di questo tipo e dalla sua scadenza. 12. Riconoscimenti Questo documento è il risultato di una stretta consultazione con Hugo Krawczyk, Douglas Maughan, Hilarie Orman, Mark Schertler, Mark Schneider e Jeff Turner. Si basa su protocolli che sono stati scritti da loro. Senza il loro interesse e dedizione, questo non sarebbe stato scritto. Un ringraziamento speciale Rob Adams, Cheryl Madson, Derrell Piper, Harry Varnis e Elfed Weaver per input tecnici, incoraggiamento e vari controlli di buonsenso lungo la strada. Vorremmo anche ringraziare i molti membri del gruppo di lavoro IPsec che hanno contribuito allo sviluppo di questo protocollo nell'ultimo anno. 13. Riferimenti [Cast] Adams, C., "L'algoritmo di crittografia Cast-128", RFC 2144, maggio 1997. [Blow] Schneier, B., "L'algoritmo di crittografia del pesce pompino", DR. DOBB's Journal, V. 19, n. 4, aprile 1994. [Bra97] Bradner, s., "Parole chiave da utilizzare in RFC per indicare i livelli di requisiti", BCP 14, RFC 2119, marzo 1997. [Des] ANSI X3.106, "American National Standard for Information Systems-Data Link Encryption", American National Standards Institute, 1983. [Dh] diffie, w., e Hellman m., "Nuove direzioni in crittografia", Transazioni IEEE sulla teoria dell'informazione, V. It-22, n. 6, giugno 1977. Traccia degli standard di Harkins & Carrel [Pagina 31]

RFC 2409 Ike novembre 1998 [DSS] NIST, "Digital Signature Standard", FIPS 186, National Institute of Standards and Technology, U.S. Dipartimento del Commercio, maggio 1994. [Idea] Lai, x., "Sulla progettazione e sicurezza delle cifre di blocco", Serie ETH in Information Elaboration, V. 1, Konstanz: Hartung-Gorre Verlag, 1992 [KBC96] Krawczyk, H., Bellare, m., e r. Canetti, "HMAC: Keyed- hashing per l'autenticazione dei messaggi", RFC 2104, febbraio 1997. [Skeme] Krawczyk, H., "Skeme: un versatile meccanismo di scambio chiave sicuro per Internet", dai procedimenti IEEE del Simposio del 1996 sulla rete e sulla sicurezza dei sistemi distribuiti. [MD5] Rivest, R., "The MD5 Message Digest Algorithm", RFC 1321, aprile 1992. [MSST98] Maughhan, D., Schertler, m., Schneider, m., e j. Turner, "Internet Security Association e Key Management Protocol (ISAKMP)", RFC 2408, novembre 1998. [Orm96] Orman, H., "The Oakley Key Determintion Protocol", RFC 2412, novembre 1998. [PKCS1] RSA Laboratories, "PKCS #1: RSA Cryption Standard", novembre 1993. [Pip98] Piper, D., "Internet IP Security Domain of Interpretation for ISAKMP", RFC 2407, novembre 1998. [RC5] Rivest, R., "L'algoritmo di crittografia RC5", DR. DOBB's Journal, V. 20, n. 1, gennaio 1995. [RSA] Rivest, R., Shamir, a., e Adleman, L., "Un metodo per ottenere firme digitali e criptosistemi a chiave pubblica", Comunicazioni dell'ACM, V. 21, n. 2, febbraio 1978. [Sch96] Schneier, B., "Crittografia applicata, protocolli, algoritmi e codice sorgente in C", 2a edizione. [SHA] NIST, "Secure Hash Standard", FIPS 180-1, National Institute of Standards and Technology, U.S. Dipartimento del Commercio, maggio 1994. [Tiger] Anderson, R., e Biham, E., "Crittografia del software veloce", Springer LNCS V. 1039, 1996. Traccia degli standard di Harkins & Carrel [Pagina 32]

RFC 2409 Ike novembre 1998 Appendice A Questo è un elenco di chiavi DES deboli e semi-wek. Le chiavi provengono da [sch96]. Tutte le chiavi sono elencate in esadecimale. Des deboli tasti 0101 0101 0101 0101 1f1f 1f1f e0e0 e0e0 e0e0 e0e0 1f1f 1f1f fefe fefe fefe fefe des semi-weak chiavi 01fe 01fe 01fe 01fe0 1fe0 1fe0 0ef1 0ef1 01e0 01e0 01f1 E 010E E0fe E0fe F1FE F1FE Fe01 Fe01 Fe01 Fe01 E01F E01F F10E F10E F10E E001 E001 F101 F101 Fe1f Fe1f Fe0E Fe0E 1F01 1F01 0E01 0E01 0E01 FEME0 FEME0 Fef1 Fef1 Fef1 Attributo Attributo Attributi assegnati per la Fase Uno. Gli attributi di fase due sono definiti nella specifica DOI applicabile (ad esempio, gli attributi IPSEC sono definiti in IPSEC doi), ad eccezione di una descrizione del gruppo quando la modalità rapida include uno scambio effimero diffie-hellman. I tipi di attributi possono essere di base (b) o a lunghezza variabile (V). La codifica di questi attributi è definita nella specifica ISAKMP di base come tipo/valore (base) e tipo/lunghezza/valore (variabile). Gli attributi descritti come base non devono essere codificati come variabili. Gli attributi di lunghezza variabile possono essere codificati come attributi di base se il loro valore può adattarsi a due ottetti. In tal caso, un attributo offerto come variabile (o di base) dall'iniziatore di questo protocollo può essere restituito all'iniziatore come base (o variabile). Traccia degli standard di Harkins & Carrel [Pagina 33]

RFC 2409 Ike novembre 1998 Classi di attributo Classe Valore Tipo ------------------------------------------------------------------- Algoritmo di crittografia 1 B Hash Algoritmo 2 B Metodo di autenticazione 3 b gruppo Descrizione 4 B Gruppo Tipo 5 B Gruppo Prime/Irriducible Polynomiale 6 V Gruppo Gruppo Gruppo One Gruppo Gruppo One Gruppo One Gruppo ONE Gruppo ONE Gruppo ONE GROPPO DI GRUPPO DUE CAGRITTURE 17 B FAGLIO ANTRA 6383 sono riservati a IANA. I valori 16384-32767 sono per uso privato tra le parti reciprocamente consenzienti. Valori di classe-Algoritmo di crittografia definito in DES-CBC 1 RFC 2405 Idea-CBC 2 Blowfish-CBC 3 RC5-R16-B64-CBC 4 3des-CBC 5 Valori CAST-CBC 6 7-65000 sono riservati a IANA. I valori 65001-65535 sono per uso privato tra le parti reciprocamente consenzienti. - L'algoritmo hash definito in MD5 1 RFC 1321 SHA 2 FIPS 180-1 Tiger 3 Vedi Reference [Tiger] Valori 4-65000 sono riservati a IANA. I valori 65001-65535 sono per uso privato tra le parti reciprocamente consenzienti. Traccia degli standard di Harkins & Carrel [Pagina 34]

RFC 2409 Ike novembre 1998 - Metodo di autenticazione Chiave pre-Shared 1 Firme DSS 2 Firme RSA 3 Crittografia con RSA 4 Crittografia rivista con RSA 5 Valori 6-65000 sono riservati a IANA. I valori 65001-65535 sono per uso privato tra le parti reciprocamente consenzienti. - Gruppo Descrizione Predefinito Gruppo MODP a 768 bit (Sezione 6.1) 1 gruppo MODP alternativo a 1024 bit (sezione 6.2) 2 Gruppo EC2N su GP [2^155] (Sezione 6.3) 3 Gruppo EC2N su GP [2^185] (Sezione 6.4) 4 valori 5-32767 sono riservati a IANA. I valori 32768-65535 sono per uso privato tra le parti reciprocamente consenzienti. - Tipo di gruppo MODP (gruppo di esponenziazione modulare) 1 ECP (gruppo di curve ellittiche su GF [P]) 2 EC2N (gruppo di curve ellittiche su GF [2^n]) 3 valori 4-65000 sono riservati a IANA. I valori 65001-65535 sono per uso privato tra le parti reciprocamente consenzienti. - Tipo di vita secondi 1 kilobyte 2 valori 3-65000 sono riservati a IANA. I valori 65001-65535 sono per uso privato tra le parti reciprocamente consenzienti. Per un dato "tipo di vita" il valore dell'attributo "durata della vita" definisce la lunghezza effettiva della vita SA- o un numero di secondi o un numero di kbyte protetti. - PRF Attualmente non ci sono funzioni pseudo-casuali definite. I valori 1-65000 sono riservati a IANA. I valori 65001-65535 sono per uso privato tra le parti reciprocamente consenzienti. Traccia degli standard di Harkins & Carrel [Pagina 35]

RFC 2409 Ike novembre 1998 - Lunghezza della chiave Quando si utilizza un algoritmo di crittografia che ha un tasto di lunghezza variabile, questo attributo specifica la lunghezza della chiave in bit. (Deve utilizzare l'ordine del byte di rete). Questo attributo non deve essere utilizzato quando l'algoritmo di crittografia specificato utilizza un tasto di lunghezza fissa. - Dimensione del campo La dimensione del campo, in bit, di un gruppo Diffie-Hellman. - Ordine di gruppo L'ordine di gruppo di un gruppo di curve ellittiche. Nota la lunghezza di questo attributo dipende dalla dimensione del campo. Scambi aggiuntivi definiti-- VALORI XCHG Modalità Quick 32 Nuova Modalità Gruppo 33 Traccia degli standard di Harkins & Carrel [Pagina 36]

RFC 2409 Ike novembre 1998 Appendice B Questa appendice descrive i dettagli di crittografia da utilizzare solo durante la crittografia dei messaggi ISAKMP. Quando un servizio (come una trasformazione IPSEC) utilizza ISAKMP per generare materiale di chiave, tutti i dettagli specifici dell'algoritmo di crittografia (come generazione chiave e IV, imbottitura, ecc. ) Deve essere definito da quel servizio. ISAKMP non pretende di produrre mai chiavi adatte a qualsiasi algoritmo di crittografia. ISAKMP produce la quantità richiesta di materiale di chiave da cui il servizio deve generare una chiave adatta. I dettagli, come i controlli chiave deboli, sono a carico del servizio. L'uso di PRF negoziati può richiedere l'espansione dell'output PRF a causa del meccanismo di feedback del PRF utilizzato da questo documento. Ad esempio, se il (fitto) Door-Mac richiede 24 byte di chiave ma produce solo 8 byte di output, l'output deve essere ampliato tre volte prima di essere utilizzato come chiave per un'altra istanza. L'output di un PRF viene ampliato alimentando i risultati del PRF in sé per generare blocchi successivi. Questi blocchi sono concatenati fino a quando il numero richiesto di byte non è stato ottenuto. Ad esempio, per l'autenticazione della chiave pre-Shared con Dorak-Mac come PRF negoziato: Block1-8 = PRF (pre-Shared-Key, Ni_B | Nr_B) Block9-16 = PRF (pre-shared-key, block1-8 | ni_b | nr_b) block17-24 = prf (pre-shared-key, block9-16 | ni_b | nr_b) e skey1-18 | BLOCK9-16 | BLOCK17-24 so therefore to derive SKEYID_d: BLOCK1-8 = prf(SKEYID, g^xy | CKY-I | CKY-R | 0) BLOCK9-16 = prf(SKEYID, BLOCK1-8 | g^xy | CKY-I | CKY-R | 0) BLOCK17-24 = prf(SKEYID, BLOCK9-16 | g^xy | CKY-I | CKY-R | 0) and SKEYID_d = BLOCK1-8 | BLOCK9-16 | BLOCK17-24 Le successive derivazioni PRF vengono eseguite in modo simile. Le chiavi di crittografia utilizzate per proteggere ISAKMP SA sono derivate da skeyid_e in modo specifico per l'algoritmo. Quando skeyid_e non è abbastanza lungo da fornire tutto il materiale di chiave necessario richiesto da un algoritmo, la chiave deriva dall'alimentazione dei risultati di una funzione pseudo-casuale in sé, concatenando i risultati e prendendo i bit più alti necessari. Traccia degli standard di Harkins & Carrel [Pagina 37]

RFC 2409 Ike novembre 1998 Ad esempio, se (ficzioso) l'algoritmo Akula richiede 320 bit di chiave (e non ha un controllo della chiave debole) e il PRF utilizzato per generare skeyid_e genera solo 120 bit di materiale, la chiave per Akula, sarebbero i primi 320 bit di ka, dove: ka = k1 | K2 | K3 e k1 = prf (skeyid_e, 0) k2 = prf (skeyid_e, k1) k3 = prf (skeyid_e, k2) dove PRF è il PRF negoziato o la versione HMAC della funzione hash negoziata (se non è stato negoziato PRF) e 0 è rappresentato da un unico ottetto. Ogni risultato del PRF fornisce 120 bit di materiale per un totale di 360 bit. Akula userebbe i primi 320 bit di quella stringa a 360 bit. Nella fase 1, il materiale per il vettore di inizializzazione (materiale IV) per gli algoritmi di crittografia in modalità CBC deriva da un hash di una concatenazione del valore di diffie-hellman pubblico dell'iniziatore e del valore di diffie-hellman pubblico del rispondente usando l'algoritmo hash negoziato. Questo è usato solo per il primo messaggio. Ogni messaggio deve essere imbottito fino alla dimensione del blocco più vicina usando byte contenenti 0x00. La lunghezza del messaggio nell'intestazione deve includere la lunghezza del pad poiché ciò riflette la dimensione del testo cifrato. I messaggi successivi devono utilizzare l'ultimo blocco di crittografia CBC dal messaggio precedente come vettore di inizializzazione. Nella fase 2, il materiale per il vettore di inizializzazione per la crittografia in modalità CBC del primo messaggio di uno scambio in modalità rapida è derivato da un hash di una concatenazione dell'ultimo blocco di uscita CBC di fase 1 e dell'ID del messaggio di fase 2 usando l'algoritmo hash negoziato. L'IV per i messaggi successivi all'interno di uno scambio in modalità rapida è il blocco di output CBC dal messaggio precedente. Imbottitura e IV per i messaggi successivi vengono eseguiti come nella fase 1. Dopo che l'ISAKMP SA è stato autenticato, tutti gli scambi informativi vengono crittografati usando SKEYID_E. Il vettore di iniziazione per questi scambi deriva esattamente nello stesso modo di quello per una modalità rapida: i.e. Deriva da un hash di una concatenazione del blocco di output CBC dell'ultima fase 1 e l'ID del messaggio dall'intestazione ISAKMP dello scambio informativo (non l'ID messaggio dal messaggio che potrebbe aver spinto lo scambio informativo). Si noti che il blocco di uscita CBC di fase 1 finale, il risultato della crittografia/decrittografia del messaggio dell'ultimo fase 1, deve essere mantenuto nello stato ISAKMP SA per consentire la generazione di IV univoci per ogni modalità rapida. Ogni scambio post-fase 1 (modalità rapide e Traccia degli standard di Harkins & Carrel [Pagina 38]

RFC 2409 Ike novembre 1998 Scambi informativi) genera IVS in modo indipendente per impedire all'IV di uscire dalla sincronizzazione quando vengono avviati due diversi scambi contemporaneamente. In tutti i casi, esiste un singolo contesto di cifra/IV bidirezionale. Avere ogni modalità rapida e scambio informativo mantengono un contesto unico impedisce all'IVS di uscire dalla sincronizzazione. La chiave per DES-CBC deriva dai primi otto (8) non Weak e non-Weak non-weak (vedi Appendice A) byte di skeyid_e. La IV è i primi 8 byte del materiale IV derivato sopra. La chiave per Idea-CBC deriva dai primi sedici (16) byte di skeyid_e. La IV è i primi otto (8) byte del materiale IV derivato sopra. La chiave per Blowfish-CBC è la dimensione della chiave negoziata o i primi cinquantasei (56) byte di una chiave (se non viene negoziata la dimensione della chiave) derivata dal suddetto metodo di feedback della funzione pseudo-casuale. La IV è i primi otto (8) byte del materiale IV derivato sopra. La chiave per RC5-R16-B64-CBC è la dimensione della chiave negoziata, o i primi sedici (16) byte di una chiave (se non viene negoziata la dimensione della chiave) derivata dal suddetto metodo di feedback della funzione pseudo-casuale se necessario. La IV è i primi otto (8) byte del materiale IV derivato sopra. Il numero di round deve essere 16 e la dimensione del blocco deve essere 64. La chiave per 3des-cbc è il primo ventiquattro (24) byte di una chiave derivata nel suddetto metodo di feedback delle funzioni pseudo-casuali. 3DES-CBC è un'operazione crittografata-decrypt-cript utilizzando il primo, medio e ultimo (8) byte dell'intera chiave 3DES-CBC. La IV è i primi otto (8) byte del materiale IV derivato sopra. La chiave per CAST-CBC è la dimensione della chiave negoziata o i primi sedici (16) byte di una chiave derivata nel suddetto metodo di feedback della funzione pseudo-casuale. La IV è i primi otto (8) byte del materiale IV derivato sopra. Il supporto per algoritmi diversi da DES-CBC è puramente facoltativo. Alcuni algoritmi opzionali possono essere soggetti a richieste di proprietà intellettuale. Traccia degli standard di Harkins & Carrel [Pagina 39]

RFC 2409 Ike novembre 1998 Autori Indirizzati Dan Harkins Cisco Systems 170 W. Tasman DR. San Jose, California, 95134-1706 Telefono degli Stati Uniti d'America: +1 408 526 4000 Email: [email protected] Dave Carrel 76 Lippard Ave. San Francisco, CA 94131-2947 Telefono degli Stati Uniti d'America: +1 415 337 8469 Email: [email protected] Authors 'Nota Gli autori incoraggiano l'implementazione indipendente e i test di interoperabilità, di questo protocollo ibrido. Traccia degli standard di Harkins & Carrel [Pagina 40]

RFC 2409 Ike novembre 1998 Full Copyright Dichiarazione Copyright (c) The Internet Society (1998). Tutti i diritti riservati. Questo documento e le traduzioni di esso possono essere copiati e forniti ad altri e opere derivate che commentano o lo spiegano in altro modo nella sua attuazione possono essere preparati, copiati, pubblicati e distribuiti, in tutto o in parte, senza restrizioni di alcun tipo, a condizione che la preavviso di copyright di cui sopra e questo paragrafo siano incluse. Tuttavia, questo documento stesso potrebbe non essere modificato in alcun modo, ad esempio rimuovendo l'avviso di copyright o i riferimenti alla società di Internet o ad altre organizzazioni Internet, ad eccezione di quanto richiesto allo scopo di sviluppare gli standard Internet, nel qual caso le procedure per i copyright definiti nel processo degli standard Internet devono essere seguite. Le autorizzazioni limitate concesse sopra sono perpetue e non saranno revocate dalla società Internet o dai suoi successori o assegna. Questo documento e le informazioni contenute nel presente documento sono fornite su una base "così com'è" e la società di Internet e la task force di ingegneria di Internet declinano tutte le garanzie, espresse o implicite, incluso ma non limitato a alcuna garanzia che l'uso delle informazioni nel presente. Traccia degli standard di Harkins & Carrel [Pagina 41]

Ipsec usa ike o ISAKMP?

La suite del protocollo IPSEC usa Ike o ISAKMP? RFC 2828 States ISAKMP è il protocollo utilizzato in IPSEC per gestire SAS, gestione delle chiavi e autenticazione del sistema. Altre fonti dicono che Ike è il protocollo utilizzato. Da RFC 2828:

$ Internet Security Association e Key Management Protocol (ISAKMP) (i) Un protocollo IPSEC Internet [R2408] per negoziare, stabilire, modificare ed eliminare le associazioni di sicurezza e scambiare dati chiave e autenticazione, indipendentemente dai dettagli di qualsiasi tecnica di generazione chiave specifica, protocollo chiave di istituzione, algoritmo di autenticazione o di autenticazione.

Chiesto il 14 maggio 2013 alle 6:13

511 2 2 badge d’oro 5 5 badge d’argento 9 9 badge in bronzo

5 Risposte 5

Chiariamo prima un po ‘di confusione qui. Internet Key Exchange (IKE) è un protocollo ibrido, è costituito da 3 “protocolli”

• ISAKMP: non è un protocollo di scambio chiave di per sé, è un framework su cui operano i protocolli di scambio chiave.
• Oakley: descrive le “modalità” dello scambio chiave (E.G. Segreto in avanti perfetto per chiavi, protezione dell’identità e autenticazione)
• SKEME: fornisce supporto per lo scambio chiave basato su chiavi, i centri di distribuzione chiave e l’installazione manuale, delinea anche i metodi di ristoro sicuro e veloce.

Quindi sì, ipsec fa Usa Ike, ma ISAKMP fa parte di ike.

Demistificante ike/ikev2

Ikev2 è un protocollo di sicurezza che facilita gli scambi di chiave simmetrica crittografica tra gli endpoint.

• Ike/ikev2
  • Caratteristiche
  • Ikev2 e IPSEC
  • Metodologia di due fasi di Ike
    • Fase 1
    • Fase 2
    • ISAKMP
    • Oakley
    • Skeme
    • Diminuendo l’esposizione alla vulnerabilità di Skeme

    Ike/ikev2

    Ikev2 ha sostituito Ike alla fine del 2005 e non è compatibile con ike. Originariamente definito in RFC 4306, l’ultima versione di Ikev2 è divisa tra RFC 7296, 7427, 7670 e 8247.

    Alcuni forum e articoli su Internet descrivono IKE/IKEV2 come protocollo VPN. Questo è un errore.

    Costruito in ipsec, Ikev2 è definito come un sicuro Protocollo di scambio chiave (un tipo di protocollo di sicurezza). IPSEC utilizza IKEV2 per stabilire un tunnel sicuro temporaneo allo scopo di scambiare in modo sicuro i parametri dell’associazione di sicurezza e le chiavi di sessione crittografica Diffie-Hellman tra due Ipsec Endpoint. Tuttavia, dovrebbe davvero essere trattato come a quadro di sicurezza. Ikev2 è fondamentalmente una fusione di tre (3) altri protocolli di sicurezza: ISAKMP, Oakley, E Skeme.

    IKEV2 è un protocollo IPSEC che deriva il suo comportamento da altri protocolli specifici non UPSEC: ISAKMP, OAKLEY e SKEME

    Caratteristiche

    Ikev2 è non un protocollo di tunneling Per lo scambio di dati. È un protocollo di sicurezza che stabilisce un tunnel sicuro effimero per il unico scopo di scambiare in modo sicuro le chiavi di crittografia. IKE/IKEV2 è stato concepito e progettato specificamente per l’implicato con IPSEC. Definisce come gli endpoint usando ipsec si aumenteranno reciproci tramite associazioni di sicurezza (SAS) ed esegue i parametri di tali SA facilitando calcoli delle chiavi di sicurezza, assegnazioni, scambi, sostituzioni e revocazioni.

    Le metodologie di Ike sono state copiate e implementate in altri protocolli VPN (E.G. Openswan, Strongswan).

    OpenIke, Openikev2, Racoon e Racoon2 sono esempi di soluzioni IKE/IKEV2 open source, che possono essere implementate da altri processi per trarre vantaggio dalla solida architettura di scambio chiave di Ike/Ikev2.

    Caratteristiche selezionate di Ike:

    • Gestisce l’autenticazione IPSEC, le chiavi e le associazioni di sicurezza (SAS)
    • Funzionamento a 2 fasi
      • Fase 1: autenticazione reciproca mediante pre-condivisione x.509 tasti (crittografia e integrità) e comunicazione di fase 2 di configurazione
      • Fase 2: negozia i metodi utilizzati per crittografare le informazioni da entrambi gli endpoint IPSEC; È stabilita la sicurezza (SA) per il tunnel IPSEC

      Mentre i processi IKE/IKEV2 possono essere chiamati praticamente da qualsiasi tunneling o processo VPN, sono quasi sempre chiamati da IPSEC.

      Ikev2 e IPSEC

      Lo scopo principale di IKE/IKEV2 è quello di fornire un framework di associazione chiave modulare per IPSEC. Ike è stato costruito appositamente per affrontare le carenze nella gestione del materiale di keying da parte di IPSEC. Ikev2 è un’evoluzione di ike.

      Ipsec può (e spesso lo fa) utilizzare Ikev2 per gestire le chiavi crittografiche. Quando lo fa, Ikev2 si chiama indirettamente tramite associazioni di sicurezza IPSEC. Ikev2 a sua volta chiama ISAKMP, passando le istruzioni da Ikev2 SA (che a sua volta è stata costruita secondo l’IPsec SA).

      

      Metodologia di due fasi di Ike

      La filosofia di Ike si riduce alla compartimentazione. Puoi pensarlo come un silo di missile nucleare. Nessuna persona può innescare un lancio da soli. Le salvaguardie sono integrate che significano che è richiesto un processo collettivo. Il consenso deve verificarsi o non succede nulla.

      Ricorda, il risultato finale desiderato di Ikev2 è quello di condividere in modo sicuro una chiave simmetrica tra due (2) colleghi di rete che vogliono comunicare tramite una VPN IPSEC. 3 Per raggiungere questo obiettivo, IKEV2 utilizza un processo in due fasi che presume il punto di partenza della negoziazione chiave si verifica su una connessione di rete non sicura. Pertanto, la fase 1 stabilisce un tunnel sicuro attraverso il quale viene canalizzata la fase 2. La fase 1 autentica i pari della rete e negozia una SA in stile IPSEC (Associazione di sicurezza) per la Fase 2, quando si svolge il vero scambio chiave.

      Ikev2 Fase 1

      La fase 1 è un processo di negoziazione che stabilisce un’associazione di sicurezza Ikev2 sicura e autenticata (IKEV2 SA) tra due (2) peer di rete. La fase 1 gestisce l’autenticazione di entrambi i peer di rete e stabilisce un accordo su cui verranno utilizzati i metodi di crittografia per la fase 2. Una politica di sicurezza separata (sotto forma di un IKEV2 SA) è implementata per ogni peer Ikev2. Normalmente, ci sono solo due (2) coetanei.

      La fase 1 utilizza x.509 certificati per l’autenticazione e gli scambi di chiave Diffie-Hellman per la crittografia. Il x.509 certificati devono essere organizzati in anticipo (pre-condivisione) o possono essere scambiati tramite DNS o DNSSEC.

      La fase 1 definisce:

      • Parametri globali, come i nomi dei certificati chiave pubblici
      • Si deve usare se si deve utilizzare se il segreto in avanti perfetto (PFS)
      • Interfacce di rete interessate
      • Protocolli di sicurezza e i loro algoritmi
      • Metodo di autenticazione

      La fase 1 ha due (2) metodi di implementazione diversi. La “modalità principale” è la configurazione predefinita e utilizza tasti crittografici per proteggere la trasmissione tra i due (2) peer di rete. La “modalità aggressiva” è facoltativa e sacrifica la sicurezza per la velocità. Quest’ultimo non dovrebbe mai essere usato su Internet.

      Modalità principale

      IKEV2 Fase 1 Main Mode (predefinito) utilizza le chiavi basate su PKI per autenticare entrambi i peer di rete.

      Modalità aggressiva

      La santità delle chiavi crittografiche di Fase 2 Ikev2 è fondamentale per prevenire un effetto a cascata dei compromessi chiave.

      La fase 1 IKEV2 non dovrebbe essere eseguita in modalità aggressiva su una rete non sicura, come Internet.

      La modalità aggressiva di Fase 1 IKEV2 è più veloce della modalità principale predefinita, ma trasmette tutte le informazioni nel chiaro (testo normale) senza protezione dell’autenticazione. La modalità aggressiva dovrebbe essere evitata quando possibile in quanto è particolarmente vulnerabile agli attacchi MITM (MITM), fornendo a un aggressore l’opportunità di modificare i parametri dell’associazione della sicurezza per la fase 2. Ad esempio, consentire a un aggressore l’opportunità di forzare un metodo di crittografia di livello inferiore che è sostanzialmente più facile da rompere.

      Il design di Ikev2 presume l’operazione in un ambiente ostile in cui è vulnerabile ai middle man-in-the-middle (MITM) e ai vettori di attacco simili.
      L’obiettivo principale della fase 1 è ritardare un utente malintenzionato abbastanza a lungo da eseguire la fase 2. 4

      Ikev2 Fase 2

      Ikev2 Fase 2 negozia e implementa il parametri Per una nuova Associazione di sicurezza Ikev2, gestita da ISAKMP (ISAKMP SA). La fase 2 è dove si svolge la negoziazione della SA sottostante (la SA che ha invocato Ikev2 per cominciare; normalmente, IPSEC).

      Alcune parti di questo documento si riferiscono a Ikev2 Fase 2 SA come ISAKMP SA.
      Indipendentemente da ciò, la fase 2 di Ikev2 incarna l’implementazione del processo genitore SA (normalmente IPSEC).

      La fase 1 Ikev2 SA e la connessione vengono abbandonate una volta stabilita la fase 2. Le politiche di sicurezza e le chiavi crittografiche della fase 2 sono indipendenti da quelle implementate nella fase 1. L’implementazione della Fase 2 SA è gestita da ISAKMP, che è in vari parametri di sicurezza a Oakley e Skeme.

      I tre moschettieri: Isakmp, Oakley e Skeme

      Protocollo	Ike/ikev2 Fase	Funzione
      ISAKMP	1	Imposta le politiche SA
      Oakley	1 + 2	Facilita la distribuzione chiave
      Skeme	1 + 2	Gestisce la creazione chiave

      Se hai ricercato Ike o Ikev2 prima, probabilmente hai notato che questi acronimi appaiono frequentemente nella documentazione IKE/IKEV2. Questo perché Ike/Ikev2 è una coalescenza di quadri di sicurezza e protocolli; Un framework Uber composto da tre (3) protocolli di sicurezza correlati e inter-dipendenti.

      ISAKMP gestisce le associazioni di sicurezza (SAS). Oakley gestisce i parametri chiave e facilita l’erogazione chiave. Skeme crea le chiavi e gestisce le attività di aggiornamento chiave.

      Coordinate ISAKMP. Oakley funge da middleware tra Isakmp e Skeme. e Skeme genera nuove chiavi.

      Il materiale di chiave è fornito da Oakley e passato a Skeme, che genera nuove chiavi. Le chiavi vengono restituite da Skeme a Oakley, che assegna IDS alle chiavi (chiamate KeyIDS) e facilita la distribuzione delle chiavi ai pari della rete tramite ISAKMP, secondo la corrispondente Associazione di sicurezza IKEV2.

      ISAKMP è il processo del condotto che stabilisce canali di comunicazione sicuri in entrambe le fasi IKEV2. Attraverso ISAKMP, la fase 1 stabilisce SA per Ikev2 (Ikev2 SA) e imposta i parametri del canale bidirezionale necessari per la creazione di Ikev2 Fase 2.

      Durante la fase 2, ISAKMP crea il proprio SA (ISAKMP SA) responsabile del coordinamento della creazione e dell’implementazione della SA del processo che chiama Ikev2 (normalmente, IPSEC). Sia la fase 1 che la fase 2 si affidano a Oakley per distribuire chiavi crittografiche, gestire i keyid per ISAKMP SA, dettare materiale di chiave per le chiavi Diffie-Hellman (D-H) e tenere traccia di eventuali chiavi pre-Shared. Oakley a sua volta richiede nuove chiavi DH e fornisce informazioni chiave per infrastrutture a chiave pubblica (PKI) da Skeme.

      

      ISAKMP

      ISAKMP gestisce le associazioni di sicurezza (creazione, negoziazione, modifica e rimozione), gestione delle chiavi crittografiche e autenticazione del dispositivo peer.

      ISAKMP (Internet Security Association e Key Management Protocol) guida la creazione e il regolamento (processo di accordo tra peer di rete) delle associazioni di sicurezza (SAS). Come un struttura Per l’autenticazione e le chiavi crittografiche, quando attivato, stabilisce la propria associazione di sicurezza (SA). I SA di Isakmp sono diversi da IPsec SAS. Un ISAKMP SA è un canale sicuro per la negoziazione di materiale di chiave, sebbene l’essenza dell’IPsec SA si allontana a ISAKMP tramite IPSEC e IKEV2 SAS. Sono tutti gestiti in modo efficace da ISAKMP.

      ISAKMP è stato originariamente definito indipendentemente in RFC 2408. Quando IKEV2 ha sostituito IKE (tramite RFC 4306 alla fine del 2005) diversi RFC – incluso RFC 2408 – sono stati incorporati in uno. La versione attuale del framework IKEV2 è RFC 7296 e include funzionalità ISAKMP. Come framework, ISAKMP definisce le procedure e i formati dei pacchetti per stabilire, negoziare, modificare ed eliminare le associazioni di sicurezza. Richiede materiale di chiave come input, che deve essere derivato da un altro processo, come Ikev2, Kink o un simile protocollo di sicurezza dell’accordo chiave.

      Utilizzato da Ike/Ikev2 e Kink, ISAKMP non richiede nessuno dei due. È, in effetti, Exchange chiave indipendente. Allo stesso modo, ISAKMP non è limitato nell’ambito a ipsec. È agnostico nei confronti dei protocolli di sicurezza. Essendo illimitato a qualsiasi algoritmo crittografico specifico, tecnica di generazione chiave o meccanismo di sicurezza, ISAKMP può aggiornare algoritmi e meccanismi senza cambiare i suoi ganci anteriori collegati da altri processi (E.G. Ikev2).

      ISAKMP ha un allegato specifico alla porta 500. Richiede lo scambio di dati bidirezionali tramite pacchetti UDP rispetto alla porta 500 (sia gli host di origine che target utilizzano la porta 500), sebbene ciò possa essere implementato su qualsiasi protocollo di trasporto. 5

      Le associazioni di sicurezza ISAKMP e IKEV2 sono indipendenti l’una dall’altra.

      ISAKMP e IKEV2

      ISAKMP (Internet Security Association e Key Management Protocol) è un processo indipendente. Tuttavia, Ikev2 si basa fortemente su di esso come gatekeeper. ISAKMP svolge un ruolo centrale nel coordinare la gestione delle associazioni di sicurezza IKEV2.

      Invocato durante il processo di autenticazione peer di Ikev2 (Ikev2 Fase 1), ISAKMP crea un canale sicuro utilizzando metodi di crittografia delle chiavi pubbliche per autenticare il peer Ikev2 avversario e negoziare una nuova associazione di sicurezza (ISAKMP SA). IKEV2 quindi negozia il materiale di chiave per i suoi datagrammi IP – in base alla SA di Ikev2 – e lo incorpora in ISAKMP SA. Successivamente, inizia la fase 2 IKEV2 e viene stabilito un canale bidirezionale sicuro in base ai parametri concordati durante la fase 1. ISAKMP svolge di nuovo il ruolo centrale durante la fase 2. Questa volta, ISAKMP invoca Oakley per creare chiavi di sicurezza in base ai parametri specificati in ISAKMP SA. Oakley lavora con Skeme e restituisce i risultati a ISAKMP, che quindi completa la configurazione del canale sicuro, stabilendo un nuovo canale sicuro e restituisce il controllo al suo processo genitore (IKEV2). Ikev2 a sua volta restituisce il controllo della catena di comando al processo che lo chiamava (e.G., Ipsec).

      Oakley

      Oakley è un Protocollo di determinazione chiave: un protocollo di sicurezza che negozia, distribuisce, scambia e monitora le chiavi crittografiche tra i colleghi di rete.

      Oakley è il coltello dell’esercito svizzero della gestione delle chiavi crittografiche per Ikev2. Coordina la generazione chiave e l’autenticazione chiave. Mentre non responsabile per la generazione chiave, Oakley Gestisce il provisioning delle chiavi. È il processo di riferimento quando un processo genitore (e.G. ISAKMP) ha bisogno di una chiave. Oakley dovrebbe andare e prenderlo. Potresti pensare a Oakley come a un processo di ponte o middleware. All’interno dell’ordine di operazioni di fase 2 di Ikev2, Oakley si trova tra ISAKMP e Skeme e i suoi messaggi di output sono codificati nei payload ISAKMP.

      Come middleware (E.G. Tra Isakmp e Skeme), Oakley definisce:

      • Metodo di crittografia
      • Metodo di derivazione chiave
      • Metodo di autenticazione

      Le funzioni fondamentali di Oakley sono:

      • Facilitare la negoziazione di algoritmi chiave tra due (2) peer di rete
      • Agire come middleware per facilitare il trasferimento di chiavi di sicurezza tra un processo principale (come ISAKMP) che richiede una chiave e un processo figlio che fornisce chiavi (come Skeme)
      • Eseguire a trasformare Criteri di funzionamento su algoritmo chiave
      • Incorporare i metadati dell’ID chiave nel messaggio restituito al processo di richiesta, che può essere monitorato dalle associazioni di sicurezza di tipo IPSEC (E.G. Protocolli AH o ESP)

      Provvidenza chiave crittografica

      Oakley è in grado di provocare una varietà di categorie chiave critografiche: pre-condivisione, pubblico DNS, pubblico RSA, autofirmata RSA e x.509 (autorità di certificato di terza parte) chiavi. Definito da RFC 2142 [1998], Oakley non crea Nuove chiavi. Piuttosto, facilita la loro creazione e trasferimento, compresa la specifica del materiale di chiave.

      Perché Oakley? IKE/IKEV2 sono stati modellati in base alle carenze in IPSEC e poiché IPSEC utilizza tasti simmetrici, la fase 2 IKE/IKEV2 presume l’uso di chiavi simmetriche. Il comportamento di fallback a Oakley e Skeme consentono l’uso delle chiavi simmetriche non Diffie-Hellman (D-H), ma il protocollo IKE/IKEV2 è più sicuro quando vengono applicate le chiavi DH. Che dire del processo di generazione chiave effettiva? Questo è il lavoro di Skeme.

      Caratteristiche di Oakley

      Le responsabilità di Oakley includono:

      • Autenticazione dei colleghi di rete e agire come servizio di consegna messenger
      • Gestire la distribuzione (ma non la creazione) delle chiavi per l’autenticazione e la crittografia
      • Stabilire parametri attraverso i quali vengono scelte le chiavi crittografiche
      • Middleware tra la creazione chiave (E.G. Skeme) e richiesta chiave (e.G. ISAKMP)
      • Direzione della selezione di materiale di chiave segreta quando sono richieste nuove chiavi Diffie-Hellman (D-H)
      • Facilitare la segretezza perfetta in avanti (PFS)
      • Assegnazione dell’ID a ogni nuova chiave (keyID)
      • Negoziazione di scambi chiave
      • Aggiornamento delle chiavi esistenti per il processo genitore

      IKEV2 SAS specifica che Oakley richiede chiavi da Skeme e le distribuisce a ISAKMP

      Oakley e Ikev2

      IKEV2 usa ISAKMP per chiamare Oakley durante la Fase 2, dove si prevede che coordini l’input per Skeme (materiale di chiave) e restituire l’output su ISAKMP (chiavi). Perché ISAKMP non comunica semplicemente con Skeme direttamente? Perché non esiste un singolo processo che si prende cura di tutti questi passaggi contemporaneamente? Tre parole: Secrecy Perfect Forward (PFS).

      

      I protocolli ISAKMP, Oakley e Skeme Security sono progettati per essere modulari, con messa a fuoco intenzionalmente ristretta. Mentre Skeme può tecnicamente generare chiavi simmetriche usando da solo l’algoritmo Diffie-Hellman (D-H). Nel frattempo, Oakley non può generare chiavi, ma è in grado di assegnare gruppi esponenti DH integrati o personalizzati a Skeme in base al livello di sicurezza indicato da ISAKMP. Ultimo ma non meno importante, ISAKMP non può fare nessuno dei due. ISAKMP ottiene i suoi ordini di marcia dall’Ikev2 SA, derivati ​​dal suo processo genitore (di solito ipsec), che a sua volta è stato determinato dal genitore SA (E.G. Ipsec sa).

      PFS non sarebbe possibile senza una divisione di poteri tra ISAKMP, Oakley e Skeme. Ad esempio, la trasformazione chiave è isolata tra Oakley e Skeme (che impedisce a ISAKMP di conoscere i dettagli; può solo vedere i risultati). Allo stesso modo, ISAKMP e Oakley sono entrambi consapevoli dei fattori che contribuiscono all’assegnazione del gruppo DH di Oakley a Skeme, ma Skeme non ha conoscenza e vede solo il risultato finale (l’istruzione di assegnazione del gruppo). Skeme non è al corrente di qualunque fattore abbia influenzato il numero di gruppo DH assegnato ad esso. Impedire a qualsiasi singolo processo di avere tutte le informazioni assicurano a PFS.

      Gestione delle chiavi non DH

      Oakley governa solo le chiavi simmetriche di Diffie-Hellman (D-H). Cosa succede quando ISAKMP richiede un tipo di chiave non DH da Oakley?

      1. Oakley passa la richiesta chiave non DH a Skeme senza modifica
      2. Skeme tenta di soddisfare la richiesta
      3. Skeme passa il risultato a Oakley (Key o Null)
      4. Se non nullo, Oakley assegna KeyID alla chiave
      5. Oakley restituisce il risultato a ISAKMP

      Ricorda, Oakley non è mai coinvolto nella generazione chiave. Facilita solo i trasferimenti chiave e fornisce materiale di chiave matematico per le chiavi simmetriche. Skeme è il cavallo di battaglia per le chiavi crittografiche.

      Operazioni di trasformazione chiave di Oakley

      Come processo, Oakley è in grado di eseguire un trasformare Operazione sul gruppo Diffie-Hellman e criteri esponenti. Trasformare significa fornire dettagli su come applicare un algoritmo ai dati (quindi trasformarei dati). Quindi, nel caso di Oakley significa che Oakley controlla il gruppo DH e i criteri esponenti in quanto è presentato al processo figlio che crea la chiave DH.

      Utilizzando IKEV2 come esempio di processo, la SA di ISAKMP deve contenere informazioni che specificano il livello richiesto di crittografia e il tipo di chiavi richieste per il tunnel sicuro stabilito da IKEV2 Fase 2. Ciò non consisterà necessariamente in una richiesta di chiavi simmetriche. Diamo un’occhiata al processo logico di tre possibili scenari per le richieste chiave a Oakley tramite IKEV2. La richiesta chiave arriverà a Oakley tramite un ISAKMP SA, che conterrà i requisiti pertinenti che ISAKMP derivava dalla Fase 2 SA IKEV2.

      I campi di messaggi di Oakley corrispondono ai payloads o ai componenti del payload ISAKMP.

      I campi di payload pertinenti sono i carichi utili SA, Auth, Certificate (S) e Chiave Exchange.

      Scenario n. 1: crea una nuova chiave simmetrica usando l’algoritmo Diffie-Hellman

      Questo è lo scenario in cui Oakley offre il massimo vantaggio.

      1. Oakley assume il compito di selezionare il materiale di chiave per l’algoritmo DH.
      2. Oakley fornisce il gruppo DH o le informazioni esponenti a Skeme.
      3. Skeme crea la chiave simmetrica e la restituisce a Oakley.
      4. Oakley assegna un keyId alla chiave.
      5. Oakley inoltra la nuova chiave DH e KeyId a ISAKMP.
      6. ISAKMP fornisce la chiave e il keyId a ikev2.

      Scenario n. 2: recuperare una chiave simmetrica pre-condizionata

      In questo scenario, Ikev2 indica a ISAKMP di utilizzare una chiave pre-condivisa e fornisce un segno di riferimento per la chiave.

      1. Oakley passa il segno di riferimento per la chiave pre-condizionata per Skeme.
      2. Skeme recupera la chiave pre-condizionata e la restituisce a Oakley.
      3. Oakley assegna un keyId alla chiave.
      4. Oakley inoltra la chiave e KeyId a ISAKMP.
      5. ISAKMP fornisce la chiave e il keyId a ikev2.

      Scenario n. 3: recuperare una chiave pubblica

      In questo scenario, Ikev2 indica a ISAKMP di recuperare un certificato PKI pubblico. ISAKMP trasmette la richiesta a Oakley, che utilizza secdns (secure DNS) per recuperare la chiave pubblica. Il risultato viene restituito a ISAKMP.

      Scenario n. 4: recupera una x.509 Chiave di certificato

      Quando Oakley riceve una richiesta per una X.509 Chiave basata sul certificato, viene recuperata e validata prima di assegnare un keyID e restituire le informazioni chiave al processo genitore. Oakley recupera anche i certificati ausiliari per le autorità o i co-firma.

      Se ISAKMP è il processo genitore che richiede Oakley (E.G. Ikev2), ISAKMP fornirà utili informazioni sul certificato a Oakley. Ciò aiuta a ridurre al minimo la raccolta di Oakley e il restituzione delle informazioni sull’autorità del certificato estranea che non sono necessarie perché ISAKMP e il suo processo genitore ne sono già a conoscenza, sebbene possa essere utile a Oakley durante il processo di convalida del certificato.

      Tempo: la nemesi delle chiavi simmetriche

      L’aspetto più impegnativo della creazione chiave simmetrica (E.G. DH Keys) è il tempo computazionale richiesto. Ad esempio, Diffie-Hellman usa grandi esponenti interi come funzione primaria del suo algoritmo. Questo processo richiede tempo. Durante questo “gap”, Oakley deve attendere un altro processo per completare il calcolo. Al fine di salvaguardare da un processo dannoso mascherato da altro processo, Oakley impiega una forma debole di autenticazione della fonte usando token (indicati come “cookie”) in attesa del processo figlio (E.G. Skeme) per completare e restituire un risultato. Ad esempio, immagina mentre Oakley sta aspettando che Skeme abbia completato la creazione di una chiave simmetrica DH, che un processo dannoso tenta di mascherarsi come il processo di Skeme di risposta e fornire una chiave DH a Oakley che è nota a un cattivo attore che monitora una connessione IKEV2. Se Oakley non ha motivo di sospettare che il processo Skeme sia stato compromesso, accetterà la chiave da Skeme e lo farà tornare a ISAKMP, che lo consegna al processo di richiesta (genitore) (E.G. Ikev2). Mentre questo scenario può essere altamente improbabile, almeno il metodo di autenticazione rudimentale di Oakley fornisce una certa fiducia che un tale scenario ha ancora meno probabilità di avere successo.

      Skeme

      Skeme è un protocollo di scambio chiave indipendente responsabile della creazione, della condivisione e del rinfrescante chiavi crittografiche.

      Il più complicato dei tre (3) protocolli che comprendono Ikev2 e al centro della sua robustezza, Skeme è un modulo di generazione chiave indipendente da ISAKMP e Oakley.

      Ike/ikev2 dipende da skeme per la creazione di chiavi simmetriche e il recupero di chiavi non simmetriche. Alcune pubblicazioni si riferiscono a Skeme come più versatile di Oakley. Tuttavia, quel confronto dovrebbe essere in gran parte ignorato. Mentre è vero nel senso che Skeme non è limitato alle chiavi simmetriche, tali confronti confondono le acque inutilmente. Oakley e Skeme hanno diversi lavori da fare. Sotto Ike, Skeme dipende in anticipo dal completamento con successo dei processi di Oakley.

      Skeme non convalida le chiavi, sebbene applica l’anonimato e il non ripudio ai processi di generazione chiave e scambio.

      Panoramica di Skeme

      Ecco alcuni fatti rapidi su Skeme per aiutarti a capire meglio di cosa sia responsabile:

      1. Costruisce tasti simmetrici usando algoritmi diffie-hellman e hashes sha/md5
      2. Gestisce un rinfresco/sostituzione chiave
      3. Promuove il segreto in avanti perfetto (PFS) in ike/ikev2
      4. Cercando pki e x.509 tasti

      Skeme funziona anche con Kerberos e Kink.

      Gli ambienti Kerberos hanno un rischio più elevato che lo scambio di chiave Skeme venga compromesso (rispetto a Ikev2)

      Flusso di processo Skeme

      Skeme comprende un processo in 3 fasi, suddiviso da fasi. Le sue tre (3) fasi sono: Condividi, scambia e autentica.

      Fase 1 (condivisione)

      I peer di rete creano una chiave condivisa insieme, con materiale di chiave fornito da entrambi i peer.

      

      I colleghi iniziano con uno scambio di chiavi PKI reciproca. Le chiavi corrispondenti vengono utilizzate per crittografare i messaggi successivi passati avanti e indietro tra i pari, che vengono utilizzati per costruire congiuntamente una chiave simmetrica (condivisa).

      Ogni peer fornisce 1/2 dei componenti della chiave finale, che sono combinati con un identificatore univoco del peer (identificatore di associazione di sicurezza precedente.G. Quello usato in Ike/Ikev2 Fase 1) e hashed usando una funzione hash a senso unico (MD5 o SHA) per produrre la chiave simmetrica finale. 6

      1. Ogni peer di rete fornisce la propria chiave pubblica all’altro peer.
      2. I colleghi si stabiliscono una connessione sicura tra loro (due canali a senso unico).
      3. Ogni peer crea una nuova chiave crittografica, ma non la condivide.
      4. Ogni pari angola 1/2 della loro nuova chiave e crittografa la chiave 1/2 in combinazione con l’identificatore di ciascun peer, usando la loro chiave PKI privata e la invia al pari avversario.
      5. Il pari avversario decrittica la chiave 1/2 e l’ID pari avversario che hanno appena ricevuto con la chiave pubblica dell’altro peer.
      6. Peer A crea l’hash e lo consegna alla connessione crittografata (PKI).
      7. Ogni peer combina le loro copie delle due metà chiave. La chiave 1/2 di Peer A viene utilizzata come primo 1/2 della chiave. La chiave 1/2 di Peer B è la seconda metà.
      8. Ogni peer applica indipendentemente l’hash fornito dal peer A alla chiave combinata, risultando nella chiave simmetrica finale.

      Risultato finale: alla fine della fase 1, ogni peer unisce entrambe le metà chiave per assemblare la chiave completa e corre un hash su di essa (fornito dal peer A). Il risultato è la chiave finale derivata nella fase 1.

      Peer “A” si riferisce sempre alla rete peer che avvia il processo Skeme

      Fase 2 (Exch)

      Scambio di componenti Diffie-Hellman.

      Skeme Fase 2 – The Exchange Phase – Scambia Exponents Diffie -Hellman. Lo scambio non è autenticato, ma come vedrai questa preoccupazione è affrontata nella fase 3. I componenti DH nella fase 2 possono essere calcolati in anticipo. Quando Skeme viene chiamato come parte di Ike/Ikev2, questo è esattamente ciò che succede. Il processo di Oakley viene eseguito prima di Skeme e l’output di Oakley è gli esponenti DH richiesti per Skeme Fase 2.

      Fase 3 (AUTH)

      La fase 3 utilizza la chiave della fase 1 per autenticare i chiavi di diffie-hellman che derivano dalla fase 2.

      Qui è dove le cose diventano interessanti ed è il punto cruciale della logica di autenticazione intelligente di Skeme. La fase 3 fornisce Autenticazione dei messaggi ed è progettato per esporre la presenza di un attaccante MITM e/o tentativi di manipolazione chiave. Se una o entrambe le chiavi private della fase 1 sono state compromesse durante lo scambio chiave, questo fatto sarà rivelato nella fase 3. Come fa Skeme a farlo?

      Creazione chiave di sessione (post-fase 3)

      Generare la chiave di sessione effettiva è il passaggio finale di Skeme.

      Potrebbe sembrare strano, ma il processo di generazione chiave effettiva è al di fuori dell’approccio graduale di Skeme. Le fasi di Skeme non creano effettivamente le chiavi della sessione. Piuttosto, accumulano le informazioni necessarie per la creazione di una nuova sessione. Ciò consente alla generazione di chiavi di sessione e agli scambi chiave che si verificano – su base tempo. Nel frattempo, il processo di generazione della chiave di sessione effettiva – che a quel punto è solo matematico – può essere eseguito in parallelo con altre funzioni.

      In un certo senso, il processo di generazione chiave può essere visto come l’output di Skeme. Dopo la fase 3, il materiale di scambio chiave e i componenti necessari per generare una chiave di sessione simmetrica sono tutti validati. L’unica cosa che rimane da fare è eseguire l’algoritmo proprietario di Skeme per creare la chiave. Quell’ultimo passo è al di fuori delle fasi di convalida (ma parte di Skeme).

      È importante sottolineare. La creazione della chiave di sessione è spesso il ritardo quando si tratta di stabilire e convalidare nuove connessioni. Inoltre, un host può elaborare una nuova chiave di sessione più rapidamente del suo peer. Se le chiavi della sessione vengono create in tempo reale, potrebbe esserci un ritardo mentre il peer di rete più veloce attende che il peer più lento si recupera.

      Questa flessibilità nella gestione del tempo è particolarmente importante per le connessioni mobili e le applicazioni a bassa latenza. Permette, ad esempio, Skeme di generare la chiave di sessione successiva ben prima della scadenza della sessione corrente. L’algoritmo di generazione chiave può essere tassata sul dispositivo host. Ciò consente a Skeme di prepararsi a uno scambio chiave prima che sia effettivamente necessario, prevenendo effetti indesiderati come la sospensione di una connessione perché il timer si è esaurito ma una nuova chiave non viene ancora calcolata. Poiché Skeme è responsabile non solo per la generazione della chiave di sessione, ma anche per il processo di scambio di chiave in Ike, ha senso. Le chiavi preconfigurate consentono una gestione più efficiente delle connessioni e della gestione delle risorse del dispositivo host. Inoltre, Ikev2 (e per definizione Skeme) è spesso responsabile di più connessioni simultanee. Consentire a FlexiBile Key Management produce un’esperienza più fluida tutto intorno.

      Segreto in avanti perfetto in Skeme

      La combinazione di Skeme Fase 1 e Fase 2 fornisce un perfetto segreto in avanti (PFS).

      La fase 3 utilizza l’ID del peer avversario per generare la sua copia della chiave simmetrica; Pertanto, se quell’id è sbagliato (non è uguale a ciò che il pari avversario pensa sia l’ID), la convalida della chiave finale fallirà. Entrambi i coetanei devono derivare le stesse chiavi nella fase 1 e nella fase 2. Altrimenti, l’uno o gli altri (o entrambi) peer non riusciranno ad autenticare le chiavi correttamente nella fase 3. La chiave condivisa dalla fase 1 viene utilizzata per convalidare il tasto DH creato nella fase 2. La fase 3 fondamentalmente convalidano che le fasi 1 e 2 hanno avuto successo e che un attaccante di mezzo non è presente.

      Presumendo l’uno o le altre chiavi PKI private nella fase 1 non sono compromesse da un attaccante MITM, i due (2) pari di rete saranno gli unici host in grado di conoscere la chiave completa dalla fase 1. La fase 2 non comporterà un risultato corretto a meno che la fase 1 non abbia successo.

      La fase 3 autentica l’origine, la freschezza e i valori degli esponenti differenti.

      Skeme non fornisce autenticazione del dispositivo di alcun tipo, oltre a verificare che i due dispositivi che scambiano i dati chiave sono coerenti in ogni fase. Skeme non utilizza le firme digitali e i suoi processi di autenticazione sono limitati solo all’autenticazione dei messaggi. Skeme convalida i suoi componenti di dati sono noti solo ai due (2) colleghi di rete coinvolti nello scambio e tali dispositivi non sono cambiati dall’inizio alla fine del processo di Skeme.

      Skeme Fase 1 è vulnerabile

      Dal punto di vista della vulnerabilità, la fase 1 di Skeme è il suo punto debole. Le fasi 2 e 3 non sono vulnerabili all’attacco a meno che la fase 1 non sia stata compromessa.

      1. La chiave nella fase 3 non può essere calcolata senza entrambe le chiavi 1/2 ottenute durante la fase 1.
      2. La fase 2 può essere compromessa solo se la fase 1 è compromessa.

      Analisi: vulnerabilità di scambio di chiave Skeme

      La chiave simmetrica finale generata da Skeme è il suo output: la chiave di sessione. Crearlo richiede la combinazione di sei (6) elementi derivati ​​dalle fasi 1 e 2:

      • Chiave simmetrica hashed (Fase 1)
      • Esponente DH di Peer A (Fase 2)
      • Esponente DH di Peer B (Fase 2)
      • Identità del peer A (Fase 1)
      • Identità del peer B (Fase 1)
      • Il valore hash del messaggio (Fase 1)

      Entrambi i coetanei A e B convalidano indipendentemente questi valori nella fase 3. Se qualcosa è andato storto nella fase 1 o 2, la chiave finale non sarà simmetrica e la connessione fallirà.

      La formula della chiave di sessione è proprietaria di Skeme. Richiede a ciascun peer di trasporre i valori ricevuti dall’altro in modo tale che se i pari non sono riusciti a scambiare adeguatamente dettagli identici nelle fasi 1 e 2 (come se uno o entrambi i flussi peer fossero compromessi nel transito), i loro valori per il calcolo nella fase 3 saranno diversi. Ciò comporterà le chiavi che non sono simmetriche. In tal caso, il processo si interrompe prima della fase di generazione della chiave di sessione, il tentativo di comunicazione fallisce e/o la connessione verrà eliminato.

      Una delle sfumature interessanti all’approccio di Skeme è una componente del processo di generazione chiave è costituito dall’identificatore univoco di ciascun peer. Pertanto, se un identificatore errato viene utilizzato da un peer o dall’altro (come se un utente malintenzionato modificasse uno degli scambi chiave in transitu;. Ad ogni modo, la simmetria della convalida finale fallirà e la presenza dell’attaccante verrà scoperta attraverso l’inferenza.

      Un altro aspetto interessante della tecnica di Skeme è il messaggio Hash. Ricordiamo che l’hash è generato dal peer A, che poi lo condivide con il peer B sul canale PKI creato nella fase 1. Questo significa che il peer A sa con certezza quale sia l’hash corretto. Significa anche che se le comunicazioni hash da peer A al peer b peer b sono state modificate lungo il percorso, la chiave finale di Peer B non riesce sempre a abbinare il peer A. Probabilmente indicherebbe anche che l’host peer B è stato compromesso da un aggressore o un attaccante MITM ha intercettato la chiave privata di Peer B dal processo PKI di fase 1.

      L’approccio di bellezza dell’approccio di Skeme è solo legittimamente autenticato colleghi di rete (A e B) sarà in grado di raggiungere il passaggio finale e creare identiche chiavi di sessione simmetrica. Tutti e tre (3) informazioni nella fase 1 sono necessarie per generare la chiave simmetrica corretta nella fase 3: entrambe le metà chiave presenti, assemblate nell’ordine corretto e hash di Peer A. E come bonus, sotto l’auspice di Ike, le legami di Fase 2 Skeme alla produzione di Oakley. Lo scambio Diffie-Hellman di Fase 2 si basa sull’output del processo di Oakley che precede Skeme, aggiungendo una variabile che è completamente al di fuori del protocollo Skeme. Se Oakley non è in gioco (E.G. Skeme non chiamato tramite Ike), Skeme ha un meccanismo incorporato per scegliere gli esponenti DH.

      La scoperta di altri vettori di attacco è possibile grazie all’implementazione sequenziale di Ikev2 dei suoi protocolli di sicurezza sottostanti (ISAKMP/Oakley/Skeme). Come accennato in precedenza, se il processo di Oakley è compromesso per il peer A o B, è molto probabile che l’output di Skeme sia influenzato; Anche se il processo Skeme non è compromesso (a causa di un errante corrispondenza degli esponenti DH derivati ​​da Oakley). Allo stesso modo, Oakley è collegato a ISAKMP, sebbene solo nel senso che Oakley non sia attivato a meno che il processo di autenticazione del dispositivo ISAKMP sia riuscito. Se uno di questi componenti è stato cambiato a metà flusso tra i peer, ad esempio da un attaccante MITM, la nuova chiave simmetrica generata nella Fase 3 da entrambi i peer non corrisponderà e quando Ikev2 tenta di elaborare uno scambio di dati, il processo non farà fallimento a causa di chiavi simmetriche corrispondenti tra i peer di rete.

      Diminuendo l’esposizione alla vulnerabilità di Skeme

      L’approccio innovativo in innovativo di Skeme alla generazione chiave è simile alla filosofia di Ike/Ikev2. Skeme presume che l’attuale canale di comunicazione sia insicuro ed è presente un attaccante MITM tra i coetanei. Fornisce informazioni parziali tra i peer, si basa su un terzo parte di fiducia (Server CA) e nel suo ultimo passaggio completa una fase di autenticazione progettata in modo tale che solo i colleghi di rete previsti abbiano tutte le informazioni per poter convalidare correttamente la chiave condivisa finale.

      Ogni approccio alla sicurezza ha potenziali vulnerabilità e, nonostante il suo design intelligente, Skeme non è diverso. I potenziali punti deboli più significativi di Skeme riguardano la sua dipendenza dalle chiavi PKI nella fase 1. Questo è il perno nel suo design. Certo, la possibilità è estremamente rara, poiché un utente malintenzionato MITM dovrebbe ottenere entrambe le chiavi private (per ogni peer) per dirottare la connessione e avere la possibilità di hacking di fase 2.

      La santità delle chiavi private dei coetanei è il tallone di Achille di Skeme. Sebbene siano altamente improbabili, ci sono due (2) vettori di attacco in particolare vulnerabili dovrebbero garantire le circostanze:

      1. Chiavi private deboli o comuni
      2. Server CA di terze parti fidati compromesso

      Un metodo produttivo di protezione da entrambi è che entrambi i pari implementano certificati PKI autofirmati a uso singolo nella fase 1. Ciò elimina il rischio di un attaccante MITM usando un attacco di dizionario di chiavi private note correlate ai pari e la possibilità di un server CA di fiducia compromesso.

      Il primo rischio è di particolare preoccupazione se entrambi i coetanei sono traffico alto, server di fronte al pubblico come quelli utilizzati nel commercio elettronico. Vari studi hanno dimostrato che un vero numero di chiavi viene utilizzato ripetutamente su molti server web rivolti al pubblico. Un hacker astuto con un attacco MITM ben posizionato potrebbe dedurre una chiave privata raccogliendo e invernale un gran numero di transazioni per un lungo periodo di tempo. Questo è bene nel regno dei computer moderni, dati abbastanza tempo e dati grezzi. Se entrambi gli host dovessero migliorare questo processo, ridurrebbe significativamente il rischio di un attacco MITM di successo contro i coetanei che scambiano le chiavi tramite Skeme.

      È molto probabile che il secondo scenario sia una minaccia quando un server Kerberos agisce come server CA di 3 ° partito attendibile. In quello scenario, è probabile che entrambi i colleghi derivino dalle loro chiavi PKI private dallo stesso server. Ciò rende l’uso di Skeme in un ambiente Kerberos un rischio più elevato rispetto ad altre implementazioni, perché la minaccia posta da un server di scambio di chiave Kerberos compromesso è statica.

      Negoziazione chiave Ike

      Il demone ike, in.Iked, negozia e autentica il materiale di chiave per SAS in modo protetto. Il demone utilizza semi casuali per le chiavi dalle funzioni interne fornite dal sistema operativo Solaris. IKE fornisce Secrecy Forward Perfect (PFS). In PFS, le chiavi che proteggono la trasmissione dei dati non sono utilizzate per derivare chiavi aggiuntive. Inoltre, i semi utilizzati per creare tasti di trasmissione dei dati non vengono riutilizzati. Vedere il in.Pagina uomo iked (1m).

      Quando il demone Ike scopre la chiave di crittografia pubblica di un sistema remoto, il sistema locale può quindi utilizzare quella chiave. Il sistema crittografa i messaggi utilizzando la chiave pubblica del sistema remoto. I messaggi possono essere letti solo da quel sistema remoto. Il daemon Ike svolge il suo lavoro in due fasi. Le fasi sono chiamate scambi.

      Terminologia key Ike

      Le seguenti tabelle elenca i termini utilizzati nella negoziazione chiave, fornisce i loro acronimi comunemente usati e forniscono una definizione e un uso per ogni termine.

      Termine di negoziazione chiave

      Definizione e utilizzo

      Il processo di generazione di chiavi per gli algoritmi crittografici asimmetrici. I due metodi principali sono i protocolli RSA e il protocollo Diffie-Hellman.

      Un protocollo di scambio chiave che coinvolge la generazione chiave e l’autenticazione chiave. Chiamato spesso Scambio chiave autenticato.

      Un protocollo di scambio chiave che coinvolge la generazione chiave e il trasporto chiave. Il protocollo prende il nome per i suoi tre creatori, Rivest, Shamir e Adleman.

      Segreto in avanti perfetto

      Si applica solo a uno scambio di chiavi autenticato. PFS garantisce che il materiale segreto a lungo termine per le chiavi non compromette la segretezza delle chiavi scambiate dalle comunicazioni precedenti.

      In PFS, la chiave utilizzata per proteggere la trasmissione dei dati non viene utilizzata per derivare chiavi aggiuntive. Inoltre, la fonte della chiave utilizzata per proteggere la trasmissione dei dati non viene mai utilizzata per derivare chiavi aggiuntive.

      Un metodo per stabilire le chiavi per la fase 2 in modo sicuro. Questo protocollo è analogo al metodo Diffie-Hellman di scambio chiave. Simile a Diffie-Hellman, Oakley Group Key Exchange prevede la generazione chiave e l’autenticazione chiave. Il metodo Oakley viene utilizzato per negoziare PFS.

      Exchange di Ike Fase 1

      Lo scambio di fase 1 è noto come Modalità principale. Nello scambio di fase 1, Ike utilizza metodi di crittografia delle chiavi pubbliche per autenticarsi con le entità peer Ike. Il risultato è un’associazione di sicurezza di Internet e le chiave di gestione della gestione (SA) (SA). Un ISAKMP SA è un canale sicuro per IKE per negoziare materiale di chiave per i datagrammi IP. A differenza di IPsec SAS, i SAS ISAKMP sono bidirezionali, quindi è necessaria solo un’associazione di sicurezza.

      Il modo in cui IKE negozia il materiale di chiave nello scambio di fase 1 è configurabile. IKE legge le informazioni di configurazione dal file/etc/inet/ike/config. Le informazioni sulla configurazione includono quanto segue:

      • Parametri globali, come i nomi dei certificati chiave pubblici
      • Viene utilizzato se viene utilizzato il segreto in avanti perfetto (PFS)
      • Le interfacce che sono interessate
      • I protocolli di sicurezza e i loro algoritmi
      • Il metodo di autenticazione

      I due metodi di autenticazione sono chiavi preshaded e certificati di chiave pubblica. I certificati della chiave pubblica possono essere autofirmati. Oppure, i certificati possono essere emessi da un’autorità di certificazione (CA) da un’organizzazione di infrastruttura a chiave pubblica (PKI). Le organizzazioni includono Betrusted, Entrust, Geotrust, RSA Security e VeriSign.

      Ike Fase 2 Exchange

      Lo scambio di fase 2 è noto come Modalità rapida. Nello scambio di fase 2, Ike crea e gestisce i SAS IPSEC tra i sistemi che eseguono il demone IKE. Ike utilizza il canale sicuro creato nello scambio di fase 1 per proteggere la trasmissione di materiale di chiave. Il demone IKE crea le chiavi da un generatore di numeri casuali utilizzando il dispositivo /dev /casuali. Il demone aggiorna le chiavi a una velocità configurabile. Il materiale di chiave è disponibile per gli algoritmi specificati nel file di configurazione per la politica IPSEC, IPseCinit.conf .

      • Precedente: Gestione delle chiavi con ike
      • Prossimo: Scelte di configurazione IKE