Definição – O que significa Internet Key Exchange (IKE)?
Internet Key Exchange (IKE) é um padrão de protocolo de gerenciamento de chaves usado em conjunto com o protocolo padrão Internet Protocol Security (IPSec). Ele fornece segurança para negociações de redes privadas virtuais (VPNs) e acesso à rede para hosts aleatórios. Também pode ser descrito como um método de troca de chaves para criptografia e autenticação em um meio não seguro, como a Internet.
IKE é um protocolo híbrido baseado em:
- ISAKMP (RFC2408): Internet Security Association e Key Management Protocols são usados para negociação e estabelecimento de associações de segurança. Este protocolo estabelece uma conexão segura entre dois pontos IPSec.
- Oakley (RFC2412): Este protocolo é usado para acordo ou troca de chaves. Oakley define o mecanismo que é usado para troca de chaves em uma sessão IKE. O algoritmo padrão para troca de chaves usado por este protocolo é o algoritmo Diffie-Hellman.
- SKEME: Este protocolo é outra versão para troca de chaves.
O IKE aprimora o IPsec, fornecendo recursos adicionais junto com flexibilidade. O IPsec, no entanto, pode ser configurado sem IKE.
O IKE tem muitos benefícios. Ele elimina a necessidade de especificar manualmente todos os parâmetros de segurança IPSec em ambos os pontos. Ele permite que o usuário especifique um determinado tempo de vida para a associação de segurança IPsec. Além disso, a criptografia pode ser alterada durante as sessões IPsec. Além disso, permite autoridade de certificação. Finalmente, permite a autenticação dinâmica de pares.
Definirtec explica Internet Key Exchange (IKE)
O IKE funciona em duas etapas. A primeira etapa estabelece um canal de comunicação autenticado entre os pares, usando algoritmos como a troca de chaves Diffie-Hellman, que gera uma chave compartilhada para criptografar ainda mais as comunicações IKE. O canal de comunicação formado como resultado do algoritmo é um canal bidirecional. A autenticação do canal é obtida usando uma chave compartilhada, assinaturas ou criptografia de chave pública.
Existem dois modos de operação para a primeira etapa: o modo principal, que é utilizado para proteger a identidade dos pares, e o modo agressivo, que é usado quando a segurança da identidade dos pares não é uma questão importante. Durante a segunda etapa, os pares usam o canal de comunicação seguro para estabelecer negociações de segurança em nome de outros serviços como o IPSec. Esses procedimentos de negociação dão origem a dois canais unidirecionais, sendo um de entrada e outro de saída. O modo de operação da segunda etapa é o modo rápido.
O IKE fornece três métodos diferentes para autenticação de pares: autenticação usando um segredo pré-compartilhado, autenticação usando nonces criptografados por RSA e autenticação usando assinaturas RSA. O IKE usa as funções HMAC para garantir a integridade de uma sessão IKE. Quando o tempo de vida de uma sessão IKE expira, uma nova troca Diffie-Hellman é realizada e o SA IKE é restabelecido.