Sommario:
- Definizione - Cosa significa Internet Key Exchange (IKE)?
- Techopedia spiega Internet Key Exchange (IKE)
Definizione - Cosa significa Internet Key Exchange (IKE)?
Internet Key Exchange (IKE) è uno standard del protocollo di gestione delle chiavi utilizzato insieme al protocollo standard Internet Protocol Security (IPSec). Fornisce sicurezza per le negoziazioni di reti private virtuali (VPN) e l'accesso di rete a host casuali. Può anche essere descritto come un metodo per lo scambio di chiavi per la crittografia e l'autenticazione su un supporto non protetto, come Internet.
IKE è un protocollo ibrido basato su:
- ISAKMP (RFC2408): Internet Security Association e i protocolli di gestione delle chiavi vengono utilizzati per la negoziazione e l'istituzione di associazioni di sicurezza. Questo protocollo stabilisce una connessione sicura tra due peer IPSec.
- Oakley (RFC2412): questo protocollo viene utilizzato per l'accordo o lo scambio di chiavi. Oakley definisce il meccanismo utilizzato per lo scambio delle chiavi durante una sessione IKE. L'algoritmo predefinito per lo scambio di chiavi utilizzato da questo protocollo è l'algoritmo Diffie-Hellman.
- SKEME: questo protocollo è un'altra versione per lo scambio di chiavi.
IKE migliora IPsec fornendo funzionalità aggiuntive e flessibilità. IPsec, tuttavia, può essere configurato senza IKE.
IKE ha molti vantaggi. Elimina la necessità di specificare manualmente tutti i parametri di sicurezza IPSec su entrambi i peer. Consente all'utente di specificare una durata specifica per l'associazione di sicurezza IPsec. Inoltre, la crittografia può essere modificata durante le sessioni IPsec. Inoltre, consente l'autorità di certificazione. Infine, consente l'autenticazione dinamica dei peer.
Techopedia spiega Internet Key Exchange (IKE)
L'IKE funziona in due passaggi. Il primo passo stabilisce un canale di comunicazione autenticato tra i peer, usando algoritmi come lo scambio di chiavi Diffie-Hellman, che genera una chiave condivisa per crittografare ulteriormente le comunicazioni IKE. Il canale di comunicazione formato come risultato dell'algoritmo è un canale bidirezionale. L'autenticazione del canale viene ottenuta utilizzando una chiave condivisa, le firme o la crittografia della chiave pubblica.
Esistono due modalità operative per il primo passo: la modalità principale, che viene utilizzata per proteggere l'identità dei peer, e la modalità aggressiva, che viene utilizzata quando la sicurezza dell'identità dei peer non è un problema importante. Durante la seconda fase, i peer utilizzano il canale di comunicazione sicuro per avviare negoziazioni sulla sicurezza per conto di altri servizi come IPSec. Queste procedure di negoziazione danno origine a due canali unidirezionali di cui uno in entrata e l'altro in uscita. La modalità operativa per il secondo passaggio è la modalità Rapida.
IKE offre tre diversi metodi per l'autenticazione tra pari: l'autenticazione mediante un segreto precondiviso, l'autenticazione mediante le non crittografate RSA e l'autenticazione mediante le firme RSA. IKE utilizza le funzioni HMAC per garantire l'integrità di una sessione IKE. Alla scadenza di una sessione IKE, viene eseguito un nuovo scambio Diffie-Hellman e viene ristabilita la SA IKE.
