Использует ли ipsec ike или isakmp

IKEV2 использует ISAKMP для вызова Oakley во время фазы 2, где ожидается, что он будет координировать вход в Skeme (материал Keying) и вернуть вывод в ISAKMP (ключи). Почему ISAKMP не просто не общается с Skeme напрямую? Почему нет ни одного процесса, который занимается всеми этими шагами одновременно? Три слова: идеальная секретность вперед (PFS).

Использует ли Ike Oakley

[RFC Home] [Текст | pdf | html] [Tracker] [IPR] [Информационная страница]

Устарел: 4306 Исторический
Обновлено: 4109

Краткое содержание:

1. IPSec использует ISAKMP (Ассоциация интернет -безопасности и протокол управления ключами) для обмена информацией о ключе и аутентификации сверстников.

2. IKEV2, последняя версия IKE, использует ISAKMP для вызова Oakley, протокола обмена ключом, во время фазы 2 переговоров IPSec.

3. ISAKMP координирует ввод в Skeme, который генерирует материал Keying, и возвращает вывод в ISAKMP, который обрабатывает управление ключами.

4. Причина, по которой ISAKMP не общается напрямую с Skeme, заключается в идеальной секретности вперед (PFS), которая гарантирует, что компромиссные ключи одного сеанса не ставят под угрозу прошлые или будущие сессии.

Ключевые моменты:

1. IPSec использует ISAKMP для обмена ключами и аутентификации.
2. IKEV2 использует ISAKMP, чтобы позвонить Оукли во время второй фазы переговоров IPSEC.
3. ISAKMP координирует вход в Skeme и возвращает вывод в ISAKMP.
4. Идеальная прямая секретность (PFS) является причиной, по которой ISAKMP не общается напрямую с Skeme.

Вопросы:

1. Почему ikev2 использует iSakmp? IKEV2 использует ISAKMP для вызова Oakley, который отвечает за создание материала Keying.
2. Какова цель ISAKMP? ISAKMP используется для обмена ключами и аутентификации в IPSec.
3. Какова роль Скема в переговорах IPSEC? Skeme генерирует материал ключа на основе ввода, полученного от ISAKMP.
4. Почему нет ни одного процесса, который обрабатывает все шаги обмена ключами и генерации ключей? Идеальная тайная секретность (PFS) требует разделения процессов обмена ключами и ключевых генераций, чтобы предотвратить компромисс прошлых или будущих сеансов.
5. Какова цель Окли в переговорах IPSEC? Oakley – это протокол обмена ключом, используемый во время 2 -го этапа переговоров IPSEC для создания материала Keying.
6. Что идеально подходит? Идеальная секретность вперед (PFS) гарантирует, что компрометирование клавиш одной сеанса не ставит под угрозу прошлые или будущие сессии.
7. ISAKMP напрямую общается с Skeme? Нет, ISAKMP координирует ввод в Skeme и возвращает вывод в ISAKMP для управления ключами.
8. Какая версия IKE используется в IPSec? IKEV2 – последняя версия, используемая в IPSec.
9. Какова цель ISAKMP в IPSec? ISAKMP используется для обмена ключами и аутентификации в IPSec.
10. Что происходит во время второй фазы переговоров IPSEC? Oakley призван ISAKMP для ключевого поколения во время фазы 2 переговоров IPSEC.
11. Почему PFS важна в IPSec? PFS гарантирует, что компрометирование ключей одной сессии не ставит под угрозу прошлые или будущие сессии, повышая безопасность.
12. Почему ISAKMP не напрямую общается с Skeme? Разделение процессов обмена ключами и генерации ключей необходимо для идеальной прямой секретности (PFS) в IPSEC.
13. Можно ли использовать ISAKMP для других ассоциаций безопасности, кроме IPSec? Да, ISAKMP можно использовать для других ассоциаций безопасности, таких как AH и ESP для IETF IPSEC DOI.
14. Должны ли все протоколы Oakley и Skeme быть реализованы для IPSec? Нет, необходимо реализовать только подмножество Oakley и Skeme, необходимых для целей IPSec.
15. Что означает Айк? Айк означает обмен интернет -ключом.

Подробные ответы:

1. Почему ikev2 использует iSakmp?
   
   IKEV2 использует ISAKMP, чтобы призвать Oakley во время второй фазы переговоров IPSEC. ISAKMP отвечает за координацию ввода в Skeme (материал Keying) и возврат вывода в ISAKMP (ключи). Такое разделение обязанностей позволяет совершенствовать секретность вперед (PFS), обеспечивая безопасность прошлых и будущих сессий.
2. Какова цель ISAKMP?
   
   ISAKMP (Ассоциация интернет -безопасности и протокол управления ключами) используется для обмена информацией о ключе и аутентификации сверстников в IPSec. Он предоставляет основу для ведения переговоров и создания ассоциаций безопасности (SAS) между двумя устройствами.
3. Какова роль Скема в переговорах IPSEC?
   
   Skeme – это метод обмена ключами, используемый ISAKMP для генерации материала Keying для ассоциаций безопасности. Он предоставляет такие функции, как анонимность, отталкиваемость и быстрое освежение ключей. Skeme получает вклад от ISAKMP и генерирует материал Keying, который затем возвращается в ISAKMP для дальнейшей обработки.
4. Почему нет ни одного процесса, который обрабатывает все шаги обмена ключами и генерации ключей?
   
   Разделение процессов обмена ключами и генерации ключей необходимо для идеальной прямой секретности (PFS) в IPSEC. PFS гарантирует, что компрометирование ключей одного сеанса не ставит под угрозу прошлые или будущие сессии. Разделяя эти процессы и координируя их через ISAKMP, безопасность IPSEC усиливается.
5. Какова цель Окли в переговорах IPSEC?
   
   Oakley – это ключевой протокол обмена, используемый во время 2 -го этапа переговоров IPSEC. Он описывает серию ключевых обменов, известных как «режимы», которые предоставляют такие функции, как идеальная тайная секретность для ключей, защита идентификации и аутентификация. Oakley призван iSakmp для создания материала для ipsec для ipsec.
6. Что идеально подходит?
   
   Perfect Forward Secrecy (PFS) – это свойство криптографических протоколов, которое обеспечивает компрометирование клавиш одной сеанса не будет идти на компромисс прошлых или будущих сессий. В контексте IPSec PFS достигается путем разделения процессов обмена ключами и ключевых генераций, координируемых ISAKMP и Oakley, обеспечивая безопасность всех сессий IPSEC.
7. ISAKMP напрямую общается с Skeme?
   
   Нет, ISAKMP не напрямую общается с Skeme. ISAKMP координирует вход в Skeme и возвращает вывод в ISAKMP. Это разделение обязанностей позволяет обеспечить соблюдение идеальной прямой секретности (PFS) и обеспечивает безопасность материала Keying, используемого в IPSec.
8. Какая версия IKE используется в IPSec?
   
   Последняя версия IKE, используемая в IPSEC, – это IKEV2, которая основана на функциональности предыдущих версий и обеспечивает расширенные функции безопасности.
9. Какова цель ISAKMP в IPSec?
   
   Цель ISAKMP в IPSEC – предоставить основу для аутентификации и обмена ключами. ISAKMP является независимым от обмена ключами и поддерживает различные методы обмена ключами. Он отвечает за переговоры и создание ассоциаций безопасности (SAS) между аналогами IPSEC.
10. Что происходит во время второй фазы переговоров IPSEC?
    
    На этапе 2 переговоров IPSEC ISAKMP призывает Oakley, протокол обмена ключами, чтобы генерировать материал Keying. Этот материал Keying используется для создания ассоциаций безопасности (SAS) для трафика IPSEC между сверстниками.
11. Почему PFS важна в IPSec?
    
    Идеальная тайная секретность (PFS) важна в IPSEC, потому что она гарантирует, что компрометирование ключей, используемых в одном сеансе. Разделяя процессы обмена ключами и генерации ключей, IPSEC достигает PFS и повышает общую безопасность связи.
12. Почему ISAKMP не напрямую общается с Skeme?
    
    ISAKMP не общается с Skeme, чтобы обеспечить совершенную секретность (PFS). PFS требует разделения процессов обмена ключами и ключевых генераций, как координируется ISAKMP и Oakley. Это разделение повышает безопасность IPSec, защищая материал Keying, используемый в связи.
13. Можно ли использовать ISAKMP для других ассоциаций безопасности, кроме IPSec?
    
    Да, ISAKMP можно использовать для других ассоциаций безопасности, кроме IPSec. Он может использоваться для ассоциаций безопасности, таких как AH (заголовок аутентификации) и ESP (инкапсулированная полезная нагрузка на безопасность) для IETF IPSec doi (домен интерпретации), обеспечивая основу для аутентификации и обмена ключами в различных сценариях безопасной связи.
14. Должны ли все протоколы Oakley и Skeme быть реализованы для IPSec?
    
    Нет, для ipsec нет необходимости внедрять все протоколы Oakley и Skeme. Только подмножество этих протоколов, которое необходимо для достижения целей IPSEC, необходимо реализовать. Это обеспечивает гибкость при выборе конкретных протоколов и функций на основе конкретных требований развертывания.
15. Что означает Айк?
    
    Айк означает обмен интернет -ключом. Это ключевой протокол управления, используемый в IPSec для ведения переговоров и установления ассоциаций безопасности между сверстниками.

Использует ли ipsec ike или isakmp

IKEV2 использует ISAKMP для вызова Oakley во время фазы 2, где ожидается, что он будет координировать вход в Skeme (материал Keying) и вернуть вывод в ISAKMP (ключи). Почему ISAKMP не просто не общается с Skeme напрямую? Почему нет ни одного процесса, который занимается всеми этими шагами одновременно? Три слова: идеальная секретность вперед (PFS).

Использует ли Ike Oakley

[RFC Home] [Текст | pdf | html] [Tracker] [IPR] [Информационная страница]

Устарел: 4306 Исторический
Обновлено: 4109

Сетевая рабочая группа D. Харкинс запрос на комментарии: 2409 D. Категория Carrel: Стандарты отслеживают Cisco Systems, ноябрь 1998 г Обмен интернет -ключей (IKE) Статус этой записки В этом документе указывается протокол отслеживания интернет -стандартов для интернет -сообщества и просит обсуждение и предложения для улучшений. Пожалуйста, обратитесь к текущему изданию «Стандартов официального протокола Интернета» (STD 1) для состояния стандартизации и статуса этого протокола. Распределение этой памятки не ограничено. Уведомление об авторском праве авторские права (в) Интернет -общество (1998). Все права защищены. Соглашение 1 Аннотация. 2 2 Обсуждение. 2 3 термины и определения. 3 3.1 Терминология требований. 3 3.2 обозначения. 3 3.3 Идеальная секрета форварда. 5 3.4 Ассоциация безопасности. 5 4 ВВЕДЕНИЕ. 5 5 обменов. 8 5.1 аутентификация с цифровыми подписями. 10 5.2 Аутентификация с шифрованием открытого ключа. 12 5.3 Пересмотренный метод аутентификации с шифрованием открытого ключа. 13 5.4 Аутентификация с предварительным ключом. 16 5.5 быстрый режим. 16 5.6 Новый групповой режим. 20 5.7 ISAKMP Информационные обмены. 20 6 Группы Oakley. 21 6.1 Первая группа Oakley Group. 21 6.2 вторая группа Oakley Group. 22 6.3 третья группа Oakley Group. 22 6.4 четвертая группа Oakley Group. 23 7 Взрыв полезной нагрузки полного обмена. 23 7.1 фаза 1 с основным режимом. 23 7.2 фаза 2 с быстрым режимом. 25 8 Идеальный пример секретности. 27 9 Подсказки реализации. 27 Harkins & Carrel Standards Track [стр. 1]

RFC 2409 IKE, ноябрь 1998 г 10 соображений безопасности. 28 11 Соображения Яны. 30 12 Благодарности. 31 13 Ссылки. 31 Приложение а. 33 Приложение б. 37 адреса авторов. Примечание 40 авторов. 40 полного заявления об авторском праве. 41 1. Абстрактный ISAKMP ([MSST98]) предоставляет основу для аутентификации и обмена ключами, но не определяет их. ISAKMP предназначен для того, чтобы быть независимым обменом; то есть он предназначен для поддержки многих различных обменов ключами. Oakley ([[ORM96]) описывает серию ключевых обменов- называемые «режимами»- и подробно описывает услуги, предоставляемые каждым (E.г. Идеальная секретность вперед для ключей, защиты идентификации и аутентификации). Skeme ([[Skeme]) описывает универсальный метод обмена ключами, который обеспечивает анонимность, отталкиваемость и быстрое обновление ключей. В этом документе описывается протокол с использованием части Oakley и части Skeme в сочетании с ISAKMP для получения аутентифицированного материала для ключа для использования с ISAKMP, а также для других ассоциаций безопасности, таких как AH и ESP для IETF IPSec doi. 2. Дискуссия Эта записка описывает гибридный протокол. Цель состоит в том, чтобы вести переговоры и предоставить аутентифицированные материалы для ключа для ассоциаций безопасности в защитной манере. Процессы, которые реализуют эту памятку, могут быть использованы для согласования виртуальных частных сетей (VPN), а также для предоставления удаленного пользователя с удаленного сайта (IP -адрес которого не должен быть известен заранее) к безопасному хосту или сети. Переговоры клиента поддерживаются. Режим клиента - это то, где переговорные стороны не являются конечными точками, для которых проводятся переговоры Ассоциации безопасности. При использовании в клиентском режиме личности конечных сторон остаются скрытыми. Harkins & Carrel Standards Track [стр. 2]

RFC 2409 IKE, ноябрь 1998 г Это не реализует весь протокол Oakley, а только подмножество, необходимое для удовлетворения его целей. Он не требует соответствия или соблюдения всего протокола Oakley и ни в коем случае не зависит от протокола Oakley. Аналогичным образом, это не реализует весь протокол Skeme, а только метод шифрования открытого ключа для аутентификации и его концепция быстрого повторного ввода с использованием обмена NONCES. Этот протокол никоим образом не зависит от протокола Skeme. 3. Понятия и определения 3.1 Терминология требований Ключевые слова «должны», «не должны», «требуются», «должны», «не должны» и «могут», которые появляются в этом документе, должны интерпретироваться, как описано в [BRA97]. 3.2 обозначения Следующая нотация используется на протяжении всей этой записки. HDR - это заголовок ISAKMP, тип обмена которого является режимом. При написании как HDR* это указывает на шифрование полезной нагрузки. SA - это переговорная нагрузка SA с одним или несколькими предложениями. Инициатор может предоставить несколько предложений для переговоров; ответчик должен ответить только одним. _B Указывает тело полезной нагрузки - Generic Vpayload ISAKMP не включена. SAI_B- это все тело полезной нагрузки SA (за исключением общего заголовка ISAKMP)- I.эн. DOI, ситуация, все предложения и все преобразования, предлагаемые инициатором. CKY-I и CKY-R-печенье инициатора и печенье-респондент, соответственно, от заголовка ISAKMP. G^xi и g^xr являются общественными ценностями инициатора и респондента Diffie-Hellman ([DH]) соответственно. G^xy-это общий секрет Diffie-Hellman. KE-это полезная нагрузка обмена ключами, которая содержит общественную информацию, обмениваемую на бирже Диффи-Хеллмана. Там нет особого кодирования (e.г. TLV), используемый для данных полевой нагрузки KE. Harkins & Carrel Standards Track [стр. 3]

RFC 2409 IKE, ноябрь 1998 г NX - это нера полезная нагрузка; X может быть: i или r для инициатора ISAKMP и респондента соответственно. IDX - это идентификационная полезная нагрузка для "x". X может быть: «II» или «ИК» для инициатора и респондента ISAKMP соответственно во время переговоров первой фазы; или «UI» или «UR» для пользовательского инициатора и респондента соответственно на втором этапе. Формат полезной нагрузки ID для интернета определяется в [PIP97]. SIG - это подписанная полезная нагрузка. Данные для подписи являются специфичными для обмена. CERT - это полезная нагрузка на сертификат. Хэш (и любое деривионе, такое как хэш (2) или хэш_и), является полезной нагрузкой хэш. Содержимое хэша специфично для метода аутентификации. PRF (ключ, MSG)-это функция псевдолудочного псевдолуаровки-часто функция хэша с ключом-используемая для генерации детерминированного выхода, который появляется псевдо-рэндом. PRF используются как для ключевых производных, так и для аутентификации (i.эн. Как ключ Mac). (См. [KBC96]). Skeyid - это строка, полученная из секретного материала, известного только активным игрокам в обмене. SKEYID_E - это материал Keying, используемый ISAKMP SA для защиты конфиденциальности его сообщений. SKEYID_A - это материал Keying, используемый ISAKMP SA для аутентификации его сообщений. SKEYID_D-это материал Keying, используемый для получения ключей для ассоциаций безопасности, не являющихся ISAKMP. y указывает, что «x» зашифруется с ключом «y». --> означает общение «инициатор респондента» (запросы). x] указывает, что x необязательно. Harkins & Carrel Standards Track [стр. 4]

RFC 2409 IKE, ноябрь 1998 г Шифрование сообщения (когда отмечается «*» после заголовка ISAKMP) должно начаться сразу после заголовка ISAKMP. Когда общение защищено, все полезные нагрузки после заголовка ISAKMP должны быть зашифрованы. Ключи шифрования генерируются из SKEYID_E способом, который определяется для каждого алгоритма. 3.3 Идеальная секретность При использовании в Memo Perfect Forward Secrecy (PFS) относится к понятию, что компромисс одного ключа позволит доступ только к данным, защищенным одним ключом. Для существования PFS ключ, используемый для защиты передачи данных. Идеальная секретность вперед для как ключей, так и идентификаторов предоставлена ​​в этом протоколе. (Разделы 5.5 и 8). 3.4 Ассоциация безопасности Ассоциация безопасности (SA) - это набор политики и ключей (ы), используемых для защиты информации. ISAKMP SA - это общая политика и ключевые (ы), используемые коллегами по переговорам в этом протоколе для защиты их общения. 4. Введение Oakley и Skem. Это включает в себя строительство полезных нагрузок, информационные нагрузки переносятся, заказ, в котором они обрабатываются и как они используются. В то время как Окли определяет «режимы», ISAKMP определяет «фазы». Отношения между ними очень простые, и Айк представляет разные обмены как режимы, которые работают в одном из двух этапов. Фаза 1 - это место, где два коллеги по ISAKMP устанавливают надежный, аутентифицированный канал, с помощью которого можно сообщить. Это называется Ассоциацией безопасности ISAKMP (SA). «Основной режим» и «агрессивный режим» каждый выполняет обмен фазой 1. «Основной режим» и «агрессивный режим» должен использоваться только на фазе 1. Фаза 2 - это место, где ассоциации безопасности обсуждаются от имени услуг, таких как IPSec или любая другая услуга, которая требует ключевых материалов и/или переговоров параметров. «Quick Mode» выполняет обмен фазы 2. «Быстрый режим» должен использоваться только на фазе 2. Harkins & Carrel Standards Track [стр. 5]

RFC 2409 IKE, ноябрь 1998 г «Новая групповая режим» на самом деле не является фазой 1 или фаза 2. Это следует за фазой 1, но служит для создания новой группы, которая может быть использована на будущих переговорах. «Режим новой группы» должен использоваться только после фазы 1. ISAKMP SA является двунаправленным. То есть после установки, любая из сторон может инициировать быстрый режим, информационный и новый групповой обмен. Согласно базовому документу ISAKMP, ISAKMP SA определяется печеньем инициатора, за которым следует печенье-респондент- роль каждой стороны в обмене фазы 1 диктует, какое печенье является инициатором. Приказ cookie, установленные в обмене фазы 1, продолжает идентифицировать ISAKMP SA независимо от того, в каком направлении быстрое, информационное или новое групповое обмен. Другими словами, файлы cookie не должны менять места, когда изменение направления ISAKMP SA. При использовании этапов ISAKMP реализация может достичь очень быстрого ключа при необходимости. Одноэлементная переговоры может быть использовано для более чем одного переговора фазы 2. Кроме того. С этими оптимизациями реализация может видеть менее одного переезда об обратном направлении за SA, а также меньше одного экспоненты DH за SA. «Основной режим» для фазы 1 обеспечивает защиту идентификации. Когда защита от идентификации не требуется, «агрессивный режим» может использоваться для еще дальней уменьшения круглых поездок. Разработчик намекает на выполнение этих оптимизаций, включены ниже. Следует также отметить, что использование шифрования открытого ключа для аутентификации агрессивного обмена режимами все равно будет обеспечивать защиту личных данных. Этот протокол не определяет свой собственный doi как таковой. ISAKMP SA, установленная на фазе 1, может использовать DOI и ситуацию из не ISAKMP (например, IETF IPSEC DOI [PIP97]). В этом случае реализация может выбрать ограничение использования ISAKMP SA для создания SAS для услуг одного и того же DOI. С другой стороны, ISAKMP SA может быть установлен с нулевым значением как в DOI, так и в ситуации (см. [MSST98] для описания этих полей), и в этом случае реализации будут свободны для создания услуг безопасности для любого определенного DOI, используя этот ISAKMP SA. Если для установления SA фазы 1 SA используется DOI, синтаксис полезных нагрузок идентификации, используемых на фазе 1, определяется в [MSST98], а не в каком-либо DOI- E.г. [PIP97]- который может дополнительно расширить синтаксис и семантику идентичностей. Следующие атрибуты используются IKE и обсуждаются как часть Ассоциации безопасности ISAKMP. (Эти атрибуты относятся только к Ассоциации безопасности ISAKMP, а не к каким -либо ассоциациям безопасности, которые ISAKMP может вести переговоры от имени других услуг.) Harkins & Carrel Standards Track [стр. 6]

RFC 2409 IKE, ноябрь 1998 г - Алгоритм шифрования - Алгоритм хэша - Метод аутентификации - информация о группе, в которой можно сделать Diffie -Hellman. Все эти атрибуты обязательны и должны быть согласованы. Кроме того, можно при желании договориться о функции Psuedo-Random («PRF»). (В настоящее время нет договорных псевдолудочных функций, определенных в этом документе. Значения атрибутов частного использования могут быть использованы для переговоров PRF между согласиями). Если «PRF» не является переговором, HMAC (см. [KBC96]) версия алгоритма обсуждаемого хэша используется в качестве псевдолудочной функции. Другие не обязательные атрибуты описаны в Приложении A. Выбранный алгоритм хэш должен поддерживать как нативные, так и режимы HMAC. Группа Diffie-Hellman должна быть указана либо с использованием определенного описания группы (раздел 6), либо путем определения всех атрибутов группы (раздел 5.6). Групповые атрибуты (такие как тип группы или Prime- см. Приложение A) не должны быть предложены в сочетании с ранее определенной группой (либо описание зарезервированной группы, либо описание частного использования, которое установлено после завершения новой обмены режимами группы). Реализации IKE должны поддерживать следующие значения атрибута:-DES [DES] в режиме CBC со слабым, и полусветным, проверка ключей (слабые и полуоткрытые ключи ссылаются в [SCH96] и перечислены в Приложении A). Ключ получен в соответствии с Приложением B. - MD5 [MD5] и SHA [SHA>. - Аутентификация через предварительные ключи. - MODP по умолчанию группы номер один (см. Ниже). Кроме того, реализации IKE должны поддерживать: 3DES для шифрования; Тигр ([тигр]) для хэша; Стандарт цифровой подписи, подписи RSA [RSA] и аутентификация с шифрованием общедоступного ключа RSA; и группа MODP № 2. Реализации IKE могут поддерживать любые дополнительные алгоритмы шифрования, определенные в Приложении A и могут поддерживать группы ECP и EC2N. Описанные здесь режимы IKE должны быть реализованы всякий раз, когда внедряются IETF IPSEC DOI [PIP97]. Другие DOI могут использовать режимы, описанные здесь. Harkins & Carrel Standards Track [стр. 7]

RFC 2409 IKE, ноябрь 1998 г 5. Обмены Существует два основных метода, используемые для установления аутентифицированного обмена ключами: основной режим и агрессивный режим. Каждый генерирует аутентифицированный материал Keying из обмена эфемерной диффи-Хеллман. Основной режим должен быть реализован; Агрессивный режим должен быть реализован. Кроме того, быстрый режим должен быть реализован в качестве механизма для создания свежего материала и переговоров о службах безопасности, не являющихся ISAKMP,. Кроме того, режим новой группы должен быть реализован в качестве механизма для определения частных групп для обменов Diffie-Hellman. Реализации не должны переключать типы обмена в середине обмена. Обмены соответствуют стандартному синтаксису полезной нагрузки ISAKMP, кодированием атрибутов, тайм-аутами и ретрансляциями сообщений, а также информационными сообщениями- E.g Ответ уведомления отправляется, когда, например, предложение неприемлемо, или проверка подписи или дешифрование была неудачной и т. Д. Полезная нагрузка SA должна предшествовать всем другим полезным нагрузкам на обмене фазы 1. За исключением случаев, если в любом сообщении не указано, что полезные нагрузки ISAKMP в любом сообщении в любом конкретном порядке. Общественная стоимость Diffie-Hellman, передаваемая при полезной нагрузке KE, либо на обмене фазы 1, либо фазы 2, должна быть длиной согласованной группы Diffie-Hellman, при необходимости, предварительно загадая стоимость с помощью нулей. Продолжительность нереховой полезной нагрузки должна составлять от 8 до 256 байтов инклюзивным. Основным режимом является экземпляра ISAKMP Identity Protect Exchange: первые два сообщения согласовывают политику; Следующие два обмена общественных ценностей и вспомогательных данных Exchange Diffie-Hellman (E.г. NONCES) необходимо для обмена; и последние два сообщения подтверждают обмен Diffie-Hellman. Метод аутентификации, согласованный как часть первоначальной обмены ISAKMP, влияет на состав полезных нагрузок, но не на их цель. XCHG для основного режима - ISAKMP Protection. Точно так же агрессивный режим является экземпляром агрессивного обмена ISAKMP. Первые два сообщения согласовывают политику, обменивались общественными ценностями и вспомогательными данными, необходимыми для обмена, и личности. Кроме того, второе сообщение аутентифицирует респондент. Третье сообщение аутентифицирует инициатор и предоставляет доказательство участия в обмене. XCHG для агрессивного режима является агрессивным ISAKMP. Последнее сообщение не может быть отправлено под защитой ISAKMP SA, позволяя каждой стороне Harkins & Carrel Standards Track [стр. 8]

RFC 2409 IKE, ноябрь 1998 г отложить экспонентацию, при желании, до тех пор, пока не завершен переговоры об этом обмене. Графические изображения агрессивного режима показывают окончательную полезную нагрузку в чистоте; это не должно быть. Обмены в IKE не открыты и имеют фиксированное количество сообщений. Получение полезной нагрузки запроса на сертификат не должно расширять количество передаваемых или ожидаемых сообщений. Переговоры Ассоциации безопасности ограничены агрессивным режимом. В связи с требованиями построения сообщений группа, в которой проводится обмен дифри-холльменом, не может быть согласована. Кроме того, различные методы аутентификации могут дополнительно ограничить переговоры по атрибутам. Например, аутентификация с шифрованием открытого ключа не может быть согласована, и при использовании пересмотренного метода шифрования открытого ключа для аутентификации шифр и хэш не могут быть согласованы. Для ситуаций, когда богатые возможности согласования атрибутов IKE требуются основной режим. Quick Mode и New Group Mode не имеют аналога в ISAKMP. Значения XCHG для быстрого режима и нового группы определены в Приложении A. Основной режим, агрессивный режим и быстрый режим ведения переговоров Ассоциации безопасности. Ассоциация безопасности предлагает принять форму полезной нагрузки (ы) трансформирования, инкапсулированную в предложения, инкапсулированные в полезную нагрузку (SA) Ассоциации безопасности (SA). Если для обменов фазы 1 (основной режим и агрессивный режим сделаны несколько предложений (основной режим и агрессивный режим), они должны принять форму многочисленных полезных нагрузок для одной полезной нагрузки в одной полезной нагрузке SA. Иными словами, для обменов фазы 1 не должно быть многочисленных полезных нагрузок предложений для одной полезной нагрузки SA, и не должно быть несколько полезных нагрузок SA. Этот документ не запрещает такому поведению по предложениям на обменах фазы 2. Нет ограничений на количество предложений, которые инициатор может отправить респонденту, но соответствующие реализации могут выбрать ограничение количества предложений, которые он будет проверять по причинам производительности. Во время переговоров Ассоциации безопасности инициаторы представляют предложения для потенциальных ассоциаций безопасности для реагирования. Респонденты не должны изменять атрибуты любого предложения, за исключением атрибутов кодирования (см. Приложение A). Если инициатор обменных уведомлений о том, что значения атрибутов изменились или были добавлены или удалили атрибуты из предложения, этот ответ должен быть отклонен. Четыре различных метода аутентификации разрешены либо в основном режиме, либо в агрессивном режиме-цифровой подпись, две формы аутентификации с шифрованием открытого ключа или предварительно выдвижным ключом. Значение SKEYID вычисляется отдельно для каждого метода аутентификации. Harkins & Carrel Standards Track [стр. 9]

RFC 2409 IKE, ноябрь 1998 г Для подписей: SKEYID = PRF (ni_b | nr_b, g^xy) для шифрования открытого ключа: skeyid = prf (hash (ni_b | nr_b), cky-i | cky-r) для предварительных ключей: Skeyid = prf (pre share-sive, ni_b | nr_b). f (SKEYID, G^xy | Cky-i | cky-r | 0) skeyid_a = prf (skeyid, skeyid_d | g^xy | cky-i | cky-r | 1) skeyid_e = prf (skeyid, skeyid_a | g^xy | cky-i | cky-r. Значения 0, 1 и 2 выше представлены одним октетом. Ключ, используемый для шифрования, получен из SKEYID_E, специфичным для алгоритма (см. Приложение B). Для аутентификации либо обмена инициатором протокола генерирует хэш_и, а респондер генерирует хэш_р, где: hash_i = prf (skeyid, g^xi | g^xr | cky-i | cky-r | sai_b | idii_b) hash_r = prf (skeyid, g^xr | g^xi | cky-r подписи, hash_i и hash_r подписаны и проверены; Для аутентификации либо с помощью шифрования открытого ключа или предварительных ключей, HASH_I и HASH_R непосредственно аутентифицируют обмен. Вся полезная нагрузка идентификатора (включая тип идентификатора, порт и протокол, но за исключением общего заголовка), хэшируется в обоих hash_i и hash_r. Как упомянуто выше, метод согласованной аутентификации влияет на содержание и использование сообщений для режимов фазы 1, но не на их намерение. При использовании публичных ключей для аутентификации обмен фазой 1 может быть выполнена либо с использованием подписей, либо с помощью шифрования открытых ключей (если его поддерживает алгоритм). Ниже приведены обмены фазы 1 с различными вариантами аутентификации. 5.1 Фаза 1, аутентифицированная с подписями Используя подписи, вспомогательная информация, обмениваемая во время второй обработки, является Nonces; Обмен аутентифицируется путем подписания взаимно доступного хэша. Основной режим с аутентификацией подписи описан следующим образом: Harkins & Carrel Standards Track [стр. 10]

RFC 2409 IKE, ноябрь 1998 г Респондер инициатора ----------- ----------- HDR, SA-> в обоих режимах, подписанные данные, SIG_I или SIG_R, является результатом согласованного алгоритма цифровой подписи, применяемого к hash_i или hash_r соответственно. В целом, подпись будет превышать hash_i и hash_r, как указано выше, используя согласованный PRF, или HMAC версии согласованной хэш -функции (если не согласован с PRF). Тем не менее, это может быть переопределено для построения подписи, если алгоритм подписи связан с конкретным алгоритмом хэша (E.г. DSS определяется только с 160 -битным выводом SHA). В этом случае подпись будет превышать hash_i и hash_r, как указано выше, за исключением использования HMAC -версии алгоритма хэша, связанного с методом подписи. Переговорный PRF и HASH-функция будет продолжать использоваться для всех других предписанных псевдо-случайных функций. Поскольку используемый алгоритм хэш уже известен, нет необходимости кодировать его OID в подпись. Кроме того, между OID нет связывания, используемых для подписей RSA в PKCS #1, и теми, которые используются в этом документе. Следовательно, подписи RSA должны быть закодированы в виде шифрования личного ключа в формате PKCS #1, а не в виде подписи в формате PKCS #1 (который включает в себя OID алгоритма хэша). Подписи DSS должны быть закодированы как R, за которым следует S. Одна или несколько полезных нагрузок сертификата могут быть приняты при желании. Harkins & Carrel Standards Track [стр. 11]

RFC 2409 IKE, ноябрь 1998 г 5.2 фазы 1, аутентифицированная с шифрованием открытого ключа Используя шифрование открытого ключа для аутентификации обмена, обменная вспомогательная информация - зашифрована NONCES. Способность каждой стороны реконструировать хэш (доказывая, что другая сторона расшифровала нездре. Чтобы выполнить шифрование открытого ключа, у инициатора уже должен быть открытый ключ респондента. В случае, когда респондер имеет несколько общественных ключей, хэш сертификата, который инициатор использует для шифрования вспомогательной информации, передается как часть третьего сообщения. Таким образом, респондент может определить, какой соответствующий личный ключ использовать для расшифровки зашифрованных полезных нагрузок и защиты идентификации сохраняется. В дополнение к Nonce личности сторон (IDII и IDIR) также зашифрованы с открытым ключом другой стороны. Если метод аутентификации является шифрованием открытого ключа, полезные нагрузки и личность и личность должны быть зашифрованы с открытым ключом другой стороны. Только тело полезных нагрузок зашифровано, заголовки полезной нагрузки остаются в чистоте. При использовании шифрования для аутентификации основной режим определяется следующим образом. Респондер инициатора ----------- ----------- HDR, SA-> pubkey_r, pubkey_r-> HDR, KE, PubKey_i, Pubkey_i HDR*, HASH_I-> PubKey_R, PubKey_R-> HDR, SA, KE, PubKey_I, PubKey_I, Hash_R, HASH_I-> Harkins & Carrel Standards Track [стр. 12]

RFC 2409 IKE, ноябрь 1998 г Где хэш (1) - хэш (с использованием согласованной хэш -функции) сертификата, который инициатор использует для шифрования Nonce и Identity. Шифрование RSA должно быть закодировано в формате PKCS #1. В то время как только корпус идентификатора и нереей полезных нагрузок зашифровано, зашифрованным данным должен предшествовать действительный общий заголовок ISAKMP. Длина полезной нагрузки - это длина всей зашифрованной полезной нагрузки плюс заголовок. Кодирование PKCS #1 позволяет определить фактическую длину полезной нагрузки CLEEXTEXT при расшифровании. Использование шифрования для аутентификации предусматривает, что для правдоподобного обмена обменом. Нет никаких доказательств (как с цифровой подписью), что разговор когда -либо проходил, поскольку каждая сторона может полностью реконструировать обе стороны обмена. Кроме того, безопасность добавляется к секретному поколению, так как злоумышленник должен был бы успешно разорвать не только биржу Diffie-Hellman, но и оба шифрования RSA. Этот обмен был мотивирован [Скема]. Обратите внимание, что, в отличие от других методов аутентификации, аутентификация с помощью шифрования открытого ключа позволяет защищать идентификацию с агрессивным режимом. 5.3 фазы 1, аутентифицированная с пересмотренным режимом шифрования открытого ключа Аутентификация с шифрованием открытого ключа имеет значительные преимущества перед аутентификацией с подписями (см. Раздел 5.2 выше). К сожалению, это за 4 операции с открытым ключом- два шифрования открытых ключей и два закрытых ключевых декорации. Этот режим аутентификации сохраняет преимущества аутентификации с использованием шифрования открытого ключа, но делает это с половиной операций открытого ключа. В этом режиме нера все еще зашифруется с использованием открытого ключа сверстника, однако личность сверстника (и сертификат, если он отправлен), зашифруется с использованием согласованного алгоритма симметричного шифрования (из полезной нагрузки SA) с ключом, полученным из нез. Это решение добавляет минимальную сложность и состояние, но сохраняет две дорогостоящие операции открытого ключа с каждой стороны. Кроме того, полезная нагрузка обмена ключами также зашифруется с использованием того же производного клавиши. Это обеспечивает дополнительную защиту от криптанализа обмена диффи-Хеллманом. Как и в случае с методом шифрования публичного ключа аутентификации (раздел 5.2), хэш -нагрузка может быть отправлена ​​для определения сертификата, если у респондента есть несколько сертификатов, которые содержат полезные общественные ключи (E.г. Если сертификат не только для подписей, либо из -за ограничений на сертификаты, либо алгоритмических ограничений). Если хэш Harkins & Carrel Standards Track [стр. 13]

RFC 2409 IKE, ноябрь 1998 г Полезная нагрузка отправляется. Должен быть первой полезной нагрузкой второго обмена сообщения. Если полезную нагрузку хеш не отправлена, первой полезной нагрузкой второго обмена сообщениями должна быть зашифрованная нонс. Кроме того, инициатор моего при желании отправляет полезную нагрузку на сертификат, чтобы предоставить респонденту открытый ключ, с помощью которого можно ответить. При использовании пересмотренного режима шифрования для аутентификации основной режим определяется следующим образом. Респондер инициатора ----------- ----------- HDR, SA-> PUBKEY_R, KE_I, KE_I, [KE_I]-> HDR, PUBKEY_I, KE_R, KE_R, HDR*, HASH_I-> PUBKEY_R, KE_I, KE_I [, KE_I]-> HDR, SA, SA, KE_R, KE_R (1).2. KE_I и KE_R являются ключами к алгоритму симметричного шифрования, согласованного в обмене платежными нагрузками SA. Только тело полезных нагрузок зашифровано (как в общедоступных, так и в симметричных операциях), общие заголовки полезной нагрузки остаются в чистоте. Длина полезной нагрузки включает в себя добавленную для выполнения шифрования. Симметричные клавиши шифров получены из расшифрованных невз. Сначала вычисляются значения ne_i и ne_r: Harkins & Carrel Standards Track [стр. 14]

RFC 2409 IKE, ноябрь 1998 г Ne_i = prf (ni_b, cky-i) ne_r = prf (nr_b, cky-r) Клавики Ke_i и Ke_r затем взяты из Ne_i и Ne_r соответственно, как описано в Приложении B, используемые для получения симметричных ключей для использования с согласованным алкоголем шипирования. Если длина вывода согласованного PRF больше или равна требованиям к длине ключа в шифре, KE_I и KE_R получены из наиболее значимых битов NE_I и NE_R соответственно. Если желаемая длина KE_I и KE_R превышает длину вывода PRF, необходимое количество битов получается путем многократного подачи результатов PRF обратно в себя и объединения результата, пока не будет достигнуто необходимое число. Например, если алгоритм согласованного шифрования требует 320 бит ключа, а выход PRF составляет всего 128 бит, KE_I - наиболее значимые 320 бит K, где k = k1 | K2 | K3 и k1 = prf (ne_i, 0) k2 = prf (ne_i, k1) k3 = prf (ne_i, k2) Для краткости показано только вывод ke_i; KE_R идентичен. Длина значения 0 в вычислении K1 - это один октет. Обратите внимание, что NE_I, NE_R, KE_I и KE_R все эфемерны и должны быть отброшены после использования. Сохранить требования на местоположении дополнительной полезной нагрузки хеш. Все полезные нагрузки- в любом порядке- следуя зашифрованной нонсе. Если режим CBC используется для симметричного шифрования, то векторы инициализации (IVS) устанавливаются следующим образом. IV для шифрования первой полезной нагрузки после Nonce установлена ​​на 0 (ноль). IV для последующих полезных нагрузок, зашифрованных с помощью эфемерной симметричной клавиши шифра, KE_I, является последним блоком зашифрованного текста предыдущей полезной нагрузки. Зашифрованные полезные нагрузки подполняются до ближайшего размера блока. Все байты прокладки, за исключением последнего, содержат 0x00. Последний байт прокладки содержит количество используемых байтов заполнения, исключая последний. Обратите внимание, что это означает, что всегда будет наполнение. Harkins & Carrel Standards Track [стр. 15]

RFC 2409 IKE, ноябрь 1998 г 5.4 фазы 1, аутентифицированная с предварительно выдвижным ключом Ключ, полученный некоторым внеполосным механизмом, также может быть использован для аутентификации обмена. Фактическое установление этого ключа выходит за рамки этого документа. При выполнении аутентификации с предварительно выдвижным ключом, основной режим определяется следующим образом: Респондер инициатора ---------- ----------- HDR, SA-> при использовании аутентификации предварительно выдвижного ключа с помощью основного режима ключ может быть идентифицирован только по IP-адресу однозначных однозначных. Агрессивный режим обеспечивает более широкий диапазон идентификаторов предварительного секрета, который будет использоваться. Кроме того, агрессивный режим позволяет двум сторонам поддерживать несколько, различные предварительные ключи и определять правильный для конкретного обмена. 5.5 Фаза 2 - быстрый режим Быстрый режим не является полной обменой (в том смысле, что он связан с обменом фазы 1), но используется как часть процесса переговоров SA (этап 2) для получения материалов Keying и согласования общей политики для незакмп SAS. Информация, обменяемая вместе с быстрым режимом.эн. Все полезные нагрузки, кроме заголовка ISAKMP, зашифрованы. В быстром режиме хэш -нагрузка должна немедленно следовать за заголовком ISAKMP, и полезная нагрузка SA должна немедленно следовать за хэшем. Это выдерживает подлинность сообщения, а также предоставляет доказательства жизни. Harkins & Carrel Standards Track [стр. 16]

RFC 2409 IKE, ноябрь 1998 г Идентификатор сообщения в заголовке ISAKMP идентифицирует быстрый режим, в котором находится конкретный ISAKMP SA, который сам идентифицируется печеньем в заголовке ISAKMP. Поскольку в каждом экземпляре быстрого режима используется уникальный вектор инициализации (см. Приложение B), можно иметь несколько одновременных быстрых режимов, основанных на одном ISAKMP SA, в любое время. Quick Mode - это, по сути, переговоры SA и обмен NONCE, которые обеспечивают защиту воспроизведения. НЕСА используются для генерации свежего материала ключа и предотвращения повторных атак от генерации поддельных ассоциаций безопасности. Необязательная полезная нагрузка обмена ключами может быть обменена, чтобы обеспечить дополнительный обмен и экспонентация Диффи-Хеллмана в быстром режиме. В то время как использование полезной нагрузки обмена ключами с помощью быстрого режима не является обязательным, оно должно быть поддержано. Базовый быстрый режим (без полезной нагрузки KE) обновляет материал клавиши, полученный из экспоненты в фазе 1. Это не предоставляет PFS. Используя дополнительную полезную нагрузку KE, выполняется дополнительная экспонента. Идентификации SA, переговоров о быстром режиме, неявно предполагается, что это IP -адреса однополосных коллег ISAKMP без каких -либо подразумеваемых ограничений на протокол или номера портов, разрешенные, если идентификаторы клиента не указаны в быстром режиме. Если ISAKMP выступает в качестве клиентского переговорщика от имени другой стороны, личности сторон должны быть переданы как IDCI, а затем IDCR. Местная политика будет определять, приемлемы ли предложения для указанных личностей. Если идентификации клиента не являются приемлемыми для быстрого респондента режима (по политике или по другим причинам), должна быть отправлена ​​полезная нагрузка уведомления с типом сообщения. Идентификации клиента используются для идентификации и направления трафика в соответствующий туннель в тех случаях, когда существует несколько туннелей между двумя сверстниками, а также для обеспечения уникальной и общей SAS с различными гранулизмами. Все предложения, сделанные в быстром режиме, логически связаны и должны быть последовательными. Например, если отправляется полезная нагрузка KE, атрибут, описывающий группу Diffie-Hellman (см. Раздел 6.1 и [PIP97]) должны быть включены в каждое преобразование каждого предложения о каждом переговоре SA. Точно так же, если используются идентификаторы клиента, они должны применяться к каждому SA в переговорах. Быстрый режим определяется следующим образом: Harkins & Carrel Standards Track [стр. 17]

RFC 2409 IKE, ноябрь 1998 г Респондер инициатора ----------- ----------- hdr*, hash (1), sa, ni [, ke] [, idci, idcr]-> где: хэш (1)-это PRF над идентификатором сообщения (m-id) из заголовка iSakMP, соединенного во всем сообщении, который следует за всем. Хэш (2) идентичен хэш (1), за исключением того, что инициатор-NI-минус заголовок полезной нагрузки-добавляется после M-ID, но перед полным сообщением. Добавление Nonce в хэш (2) предназначено для доказательства жизни. Хэш (3)- Для жилости- это PRF над нулевым значением, представленным в виде одного октета, за которым следует объединение идентификатора сообщения и два нера. Другими словами, хэши для вышеуказанного обмена: hash (1) = prf (skeyid_a, m-id | sa | ni [| ke] [| idci | idcr) hash (2) = prf (skeyid_a, m-id | ni_b | sa | nr [| ke] [| idci | idcr) hash (3) = prf (skeyid_a, nr, 0. За исключением исключения из хэша, SA и дополнительных полезных нагрузок идентификаторов, в быстром режиме нет ограничений на заказ полезной нагрузки в быстром режиме. Хэш (1) и хэш (2) может отличаться от приведенной выше иллюстрации, если порядок полезных нагрузок в сообщении отличается от иллюстративного примера или если какие -либо дополнительные полезные нагрузки, например, полезная нагрузка уведомления, были прикованы к сообщению. Если PFS не требуется, и полезные нагрузки KE не обмениваются, новый материал для ключей определяется как KeyMat = PRF (SKEYID_D, Protocol | SPI | ni_b | nr_b). Если PFS желателен, и были обменены полезные нагрузки KE, новый материал Keying определяется как KeyMat = PRF (SKEYID_D, G (QM)^xy | Protocol | spi | ni_b | nr_b), где g (qm)^xy является общим секретом из эфемерного обмена дифференцированным-хеллманом этого быстрого режима. В любом случае «протокол» и «SPI» взяты из полезной нагрузки предложения ISAKMP, которая содержала согласованную трансформацию. Harkins & Carrel Standards Track [стр. 18]

RFC 2409 IKE, ноябрь 1998 г Один переговоры SA приводит к двум составу безопасности- один входящий и один исходящий. Различные SPI для каждого SA (один выбранным инициатором, другой респондер) гарантирует свой ключ для каждого направления. SPI, выбранный пунктом назначения SA, используется для получения Keymat для этого SA. В ситуациях, когда количество желаемого материала Keying больше, чем то, что предоставляется PRF, KeyMat расширяется за счет подачи результатов PRF в себя и сознания до тех пор, пока не будет достигнут необходимый материал для ключа. Другими словами, keymat = k1 | K2 | K3 | . где k1 = prf (skeyid_d, [g (qm)^xy |] Протокол | spi | ni_b | nr_b) k2 = prf (skeyid_d, k1 | [g (qm)^xy |] protocol | spi | ni_b | nr_b) k3 = prf (skeyid_d, k2 | r_b) и т.д. Этот материал ключа (будь то с PFS или без, и вытекает непосредственно или посредством конкатенации) должен использоваться с согласованным SA. Служба должна определить, как ключи получены из материала Keying. В случае эфемерного обмена дифференцами в быстром режиме экспоненциальный (g (qm)^xy) невозможно удалить из текущего состояния, а skeid_e и skeid_a (полученные из переговоров фазы 1) продолжают защищать и аутентифицировать Isakmp sa и skeyid_d. Используя быстрый режим, несколько клавиш SA и клавиш можно договориться с одним обменом следующим образом: Респондер инициатора ----------- ----------- HDR*, HASH (1), SA0, SA1, NI, [, KE] [, idci, idcr]-> Материал для ключей идентично идентично как в случае одного SA. В этом случае (переговоры о двух полезных нагрузках SA) результатом станут четыре ассоциации безопасности- по двум каждым способом для обоих SAS. Стандарты Harkins & Carrel [Страница 19]

RFC 2409 IKE, ноябрь 1998 г 5.6 Новый групповой режим Новая групповая режим не должен использоваться до создания ISAKMP SA. Описание новой группы должно следовать только переговорам фазы 1. (Однако это не обмен фазы 2). Респондент инициатора ----------- ----------- HDR*, хэш (1), SA-> Приложение A, «Атрибут назначенных чисел»). Описания групп для частных групп должны быть больше или равны 2^15. Если группа не является приемлемой, респондент должен ответить с помощью полезной нагрузки уведомления с типом сообщения, установленным на атрибуты, не поддерживается (13). Реализации ISAKMP могут потребовать от частных групп истекать с SA, в соответствии с которым они были установлены. Группы могут быть непосредственно согласованы в предложении SA с основным режимом. Для этого компоненты- для группы MODP, типа, Prime и Generator; Для группы EC2N тип типа, непонигаемое полиномиальное, групповое генератор ONE, Групп-генератор второй, групповая кривая A, кривая группы B и группы группы- передача в виде атрибутов SA (см. Приложение A). Альтернативно, характер группы может быть скрыт с использованием новой групповой режима, и только идентификатор группы передается в ясном языке во время переговоров фазы 1. 5.7 ISAKMP Информационные обмены Этот протокол защищает информационные обмены ISAKMP, когда это возможно. После того, как Ассоциация безопасности ISAKMP была создана (и SKEYID_E и SKEYID_A были сгенерированы) обмен информацией ISAKMP, при использовании с этим протоколом, следующие: Harkins & Carrel Standards Track [стр. 20]

RFC 2409 IKE, ноябрь 1998 г Респондер инициатора ----------- ----------- hdr*, hash (1), n/d-> где N/D является либо полезной нагрузкой ISAKMP, либо полевой нагрузкой ISAKMP, а хэш (1)-это вывод PRF, используя SKEYID_A в качестве ключа, и M-ID, уникальный для этой обмены, совместимый со всем. Другими словами, хэш для вышеуказанного обмена: hash (1) = prf (skeyid_a, m-id | n/d), как отмечалось идентификатор сообщения в заголовке ISAKMP-и используется в вычислении PRF-уникален для этого обмена и не должен быть таким же, как идентификатор сообщения другого обмена фазы 2, которые генерировали этот информационный обмен и не должны быть такими же, как идентификатор сообщения другого обмена фазы 2, которые создали этот информационный обмен. Вывод вектора инициализации, используемый с SKEYID_E для шифрования этого сообщения, описан в Приложении B. Если Ассоциация безопасности ISAKMP еще не была установлена ​​во время информационного обмена, обмен выполняется в ясном языке без сопровождающей полезной нагрузки хеш. 6 Oakley Groups С IKE, группой, в которой можно сделать обмен Diffie-Hellman, обсуждается. Четыре группы- значения с 1 по 4- определены ниже. Эти группы возникли с протоколом Oakley и поэтому называются &laquo;Oakley Groups&raquo;. Класс атрибутов для &laquo;группы&raquo; определен в Приложении A. Все значения 2^15 и выше используются для идентификаторов частной группы. Для обсуждения силы групп Oakley по умолчанию см. Раздел &laquo;Соображения безопасности&raquo; ниже. Все эти группы были сгенерированы Ричардом Шроппелем в Университете Аризоны. Свойства этих групп описаны в [ORM96]. 6.1 Первая группа по умолчанию Oakley Реализации Oakley должны поддерживать группу MODP со следующим Prime и Generator. Этой группе назначается идентификатор 1 (один). Прайм: 2^768 - 2^704 - 1 + 2^64 * < [2^638 pi] + 149686 >Его шестнадцатеричная ценность Harkins & Carrel Standards Track [стр. 21]

RFC 2409 IKE, ноябрь 1998 г FFFFFFFF FFFFFFFF C90FDAA2 2168C234 C4C6628B 80DC1CD1 29024E08 8A67CC74 020BBEA6 3B139B22 514A0879 8E3404DD EF9519B3 CD3A4311B0A65F14F14F14F14F14F14F14F14F14F14F14F14F14F14F14F14F14F14F14F14F1340404F1 D51C245 E485B576 625E7EC6 F44C42E9 A63A3620 FFFFFFFF FFFFFFFF Генератор: 2. 6.2 вторая группа Oakley Group Реализации IKE должны поддерживать группу MODP со следующим Prime и Generator. Этой группе назначается идентификатор 2 (два). Прайм составляет 2^1024 - 2^960 - 1 + 2^64 * < [2^894 pi] + 129093 >. Its hexadecimal value is FFFFFFFF FFFFFFFF C90FDAA2 2168C234 C4C6628B 80DC1CD1 29024E08 8A67CC74 020BBEA6 3B139B22 514A0879 8E3404DD EF9519B3 CD3A431B 302B0A6D F25F1437 4FE1356D 6D51C245 E485B576 625E7EC6 F44C42E9 A637ED6B 0BFF5CB6 F406B7ED EE386BFB 5A899FA5 AE9F2411 7C4B1FE6 49286651 ECE65381 FFFFFFFF FFFFFFFF The generator is 2 (decimal) 6.3 третья группа Oakley Group Реализации IKE должны поддерживать группу EC2N со следующими характеристиками. Этой группе назначается ID 3 (три). Кривая основана на поле Galois GF [2^155]. Размер поля 155. Непонигаемый полином для поля: u^155 + u^62 + 1. Уравнение для эллиптической кривой: y^2 + xy = x^3 + ax^2 + b. Размер поля: 155 Group Prime/Rudretucible Molynomial: 0x0800000000000000000000004000000000000001 Генератор группы ONE: 0x7B Кривая группы A: 0x0 Кривая группы B: 0x07338F Заказ: 0x080000000000000000000057DB569853F Порядок: 0x08000000000000000000000057DB569853F. Решение (x, y), точка на кривой, выбранную путем взятия случайно выбранного секретного KA и вычисления Ka * p, где * - это повторение добавления группы и двойных операций, P - точка кривой с x координат, равным генератору 1 и Y Harkins & Carrel Standards Track [стр. 22]

RFC 2409 IKE, ноябрь 1998 г координата, определенная из определяющего уравнения. Уравнение кривой неявно известно под коэффициентом группы и коэффициентов A и B. Есть два возможных значения для координаты Y; Любой из них может быть успешно использован (обе стороны не должны договориться о выборе). 6.4 четвертая группа Oakley Group Реализации IKE должны поддерживать группу EC2N со следующими характеристиками. Этой группе назначается ID 4 (четыре). Кривая основана на поле Galois GF [2^185]. Размер поля 185. Непонигаемый полином для поля: u^185 + u^69 + 1. Уравнение для эллиптической кривой: y^2 + xy = x^3 + ax^2 + b. Field Size: 185 Group Prime/Irreducible Polynomial: 0x020000000000000000000000000000200000000000000001 Group Generator One: 0x18 Group Curve A: 0x0 Group Curve B: 0x1ee9 Group Order: 0X01ffffffffffffffffffffffdbf2f889b73e484175f94ebc The data in the KE payload when using this group will be identical to that as when using Oakley Group 3 (three). Другие группы могут быть определены с использованием новой групповой режима. Эти группы по умолчанию были сгенерированы Ричардом Шроппелем в Университете Аризоны. Свойства этих простых чисел описаны в [ORM96]. 7. Взрыв полезной нагрузки для полного обмена IKE Этот раздел иллюстрирует, как протокол IKE используется для: - установить надежный и аутентифицированный канал между процессами ISAKMP (фаза 1); и - генерировать ключевой материал для и договориться, ipsec sa (фаза 2). 7.1 фаза 1 с использованием основного режима Следующая диаграмма иллюстрирует полезные нагрузки, которые обменяются между двумя сторонами в первом обмене обработки. Инициатор может предложить несколько предложений; ответчик должен ответить одним. Harkins & Carrel Standards Track [стр. 23]

RFC 2409 IKE, ноябрь 1998 г 0 1 2 3 4 5 6 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ A ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Домен интерпретации ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Ситуация ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Предложение № 1 ! Proto_isakmp ! SPI размер = 0 | # Преобразования ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Isa_trans ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Преобразование #1 ! Key_oakley | Зарезервированный2 ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ предпочтительные атрибуты SA ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Преобразование #2 ! Key_oakley | Зарезервированный2 ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ Альтернативные атрибуты sa ~+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+. The second exchange consists of the following payloads: 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ ISAKMP Header with XCHG of Main Mode, ~ ~ and Next Payload of ISA_KE ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Isa_nonce ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ D-h Общественная стоимость (g^xi от инициатора g^xr из респондента) ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ Ni (от инициатора) или NR (от респондента) ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Harkins & Carrel Standards Track [стр. 24]

RFC 2409 IKE, ноябрь 1998 г Общие ключи, SKEYID_E и SKEYID_A, теперь используются для защиты и аутентификации всех дальнейших общения. Обратите внимание, что как SKEYID_E, так и SKEYID_A не являются. 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ и набор битовых шифрования ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Isa_sig ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ Идентификационные данные переговора по переговорам ISAKMP ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ Подпись, проверенная открытым ключом идентификатора выше ~+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+.1. После того, как подпись была проверена с использованием алгоритма аутентификации, согласованного как часть ISAKMP SA, общих ключей, SKEYID_E и SKEYID_A могут быть отмечены как аутентифицированные. (Для краткости, полезные нагрузки на сертификат не были обменены). 7.2 фаза 2 с помощью быстрого режима Следующие полезные нагрузки обмениваются в первом раунде быстрого режима с переговорами ISAKMP SA. В этом гипотетическом обмене участники переговоров ISAKMP являются прокси для других сторон, которые запрашивали аутентификацию. 0 1 2 3 4 5 6 7 8 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ и набор битовых шифрования ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Isa_sa ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ Ключевой хеш сообщения ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Isa_nonce ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Домен интерпретации ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Ситуация ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Harkins & Carrel Standards Track [стр. 25]

RFC 2409 IKE, ноябрь 1998 г ! Предложение № 1 ! Proto_ipsec_ah! SPI размер = 4 | # Преобразования ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ Spi (4 октета) ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Isa_trans ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Преобразование #1 ! Ah_sha | Зарезервированный2 ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Другие атрибуты SA ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Преобразование #2 ! Ah_md5 | Зарезервированный2 ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Другие атрибуты SA ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Я СКАЗАЛ ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ nonce ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! Я СКАЗАЛ ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ Идентификатор источника, для которого ISAKMP является клиентом ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ ID назначения, для которого ISAKMP является клиентом ~+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+где содержимое.5 выше. Респондер отвечает с аналогичным сообщением, которое содержит только одно преобразование- выбранное преобразование AH. После получения инициатора может предоставить ключевой двигатель с помощью согласованной ассоциации безопасности и материала Keying. В качестве проверки на атаки воспроизведения респондер ждет до получения следующего сообщения. 0 1 2 3 4 5 6 7 8 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ и набор битовых шифрования ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ! 0 ! СДЕРЖАННЫЙ ! Длина полезной нагрузки ! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ~ HASH DATA ~+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+Где содержимое хэша описано в 5.5 выше. Harkins & Carrel Standards Track [стр. 26]

RFC 2409 IKE, ноябрь 1998 г 8. Идеальный пример секретности Этот протокол может предоставить PF как ключей, так и идентичности. Идентификации как переговоров по переговорам ISAKMP, так и, если это применимо, личности, на которых коллеги переговоры могут быть защищены с помощью PFS. Чтобы обеспечить идеальную тайную секретность как ключей, так и всех идентификаторов, две стороны выполнят следующее: o Основной обмен мода. Это устанавливает ISAKMP SA. o Быстрое обмен режимами для согласования другой защиты протоколов безопасности. Это устанавливает SA на каждом конце для этого протокола. o Удалить ISAKMP SA и связанное с ним состояние. Поскольку ключ для использования в SA, не являющемся ISAKMP, был получен из единого эфемерного обмена Diffie-Hellman Exchange PFS. Чтобы обеспечить идеальную прямую секретность просто ключей Ассоциации безопасности, не являющейся ISAKMP, не обязательно выполнять обмен фазой 1, если между двумя сверстниками существует ISAKMP SA. Единственный быстрый режим, в котором проходит дополнительная полезная нагрузка KE, и выполняется дополнительный обмен дифференцировкой,- это все, что требуется. На этом этапе состояние, полученное из этого быстрого режима, должно быть удалено из ISAKMP SA, как описано в разделе 5.5. 9. Реализация подсказки Использование единого переговора ISAKMP фазы 1 делает последующие переговоры фазы 2 чрезвычайно быстрыми. Пока состояние фазы 1 остается кэшированным, а PFS не требуется, фаза 2 может продолжаться без какого -либо экспоненты. Сколько переговоров фазы 2 может быть выполнено на одну фазу 1, является проблемой локальной политики. Решение будет зависеть от силы используемых алгоритмов и уровня доверия в системе сверстников. Реализация может пожелать договориться о диапазоне SAS при выполнении быстрого режима. Сделав это, они могут ускорить «переосмысление». Quick Mode определяет, как KeyMat определяется для ряда SAS. Когда один сверстник чувствует, что пришло время изменить SAS, они просто используют следующий в указанном диапазоне. Ряд SAS может быть установлен путем переговоров с несколькими SAS (идентичные атрибуты, разные SPI) с одним быстрым режимом. Harkins & Carrel Standards Track [стр. 27]

RFC 2409 IKE, ноябрь 1998 г Оптимизация, которая часто полезна, состоит в том, чтобы установить ассоциации безопасности со сверстниками, прежде чем они будут необходимы, чтобы, когда они стали необходимыми, они уже на месте. Это гарантирует, что не будет задержек из -за управления ключами до начальной передачи данных. Эта оптимизация легко реализуется путем настройки более чем одной ассоциации безопасности с одноранговой ассоциацией для каждой запрашиваемой ассоциации безопасности и кэшируя тех, кто не сразу используется. Кроме того, если реализация ISAKMP будет предупреждена о том, что скоро понадобится SA (E.г. Чтобы заменить существующий SA, который истечет в ближайшем будущем), тогда он может установить новый SA до того, как потребуется этот новый SA. Базовая спецификация ISAKMP описывает условия, в которых одна сторона протокола может проинформировать другую сторону о какой-либо деятельности- либо удаление ассоциации безопасности, либо в ответ на некоторую ошибку в протоколе, такая как не удасная проверка подписи, или полезная нагрузка не удалось расшифровать. Настоятельно предполагается, что на эти информационные обмены нельзя отвечать ни при каких обстоятельствах. Такое условие может привести к «войне уведомления», в которой неспособность понять сообщение приводит к уведомлению коллегу, который не может ее понять и отправляет свое собственное уведомление, которое также не понято. 10. Соображения безопасности Вся эта записка обсуждает гибридный протокол, сочетающий в себе части Окли и части Skeme с ISAKMP, для переговоров и получения материалов для обеспечения безопасности в безопасном и аутентифицированном манере. Конфиденциальность гарантируется использованием алгоритма переговоров о шифровании. Аутентификация гарантируется использованием согласованного метода: алгоритм цифровой подписи; алгоритм открытого ключа, который поддерживает шифрование; Или предварительно выставочный ключ. Конфиденциальность и аутентификация этого обмена столь же хороши, как и атрибуты, согласованные как часть Ассоциации безопасности ISAKMP. Повторное повторное внесение с помощью быстрого режима может потреблять энтропию общего секрета Diffie-Hellman. Реализации должны принять к сведению этот факт и установить ограничение на быстрые обмены режимами между экспонентами. Эта памятка не назначает такой предел. Идеальная тайная секретность (PFS) как материала, так и идентичности, возможна с этим протоколом. Указав группу Diffie-Hellman и передачи общественных ценностей в полевых нагрузках KE, одноранговые коллеги ISAKMP могут устанавливать PFS ключей-личности будут защищены SKEYID_E от ISAKMP SA и, следовательно, не будут защищены PFS. Если желать PFS как материала, так и идентичности, должен Harkins & Carrel Standards Track [стр. 28]

RFC 2409 IKE, ноябрь 1998 г установить только одну ассоциацию безопасности, не являющуюся ISAKMP (e.г. Ассоциация безопасности IPSEC) за ISAKMP SA. PFS для ключей и идентификаторов достигается путем удаления SA ISAKMP (и, необязательно выпустив сообщение DELETE) при установлении единого не ISAKMP SA. Таким образом, переговоры первой фазы уникально связаны с одним переговором второй фазы, и ISAKMP SA, установленная во время переговоров первой фазы. Сила ключа, полученного в результате обмена Diffie-Hellman, с использованием любой из групп, определенных здесь, зависит от неотъемлемой силы группы, размера используемого показателя и энтропии, предоставляемой используемым генератором случайных чисел. Из -за этих входов трудно определить силу ключа для любой из определенных групп. Группа Diffie-Hellman Diffie-Hellman (номер один) при использовании с сильным генератором случайных чисел и экспонентом не менее 160 бит достаточно для использования для DES. Группы с двух до четырех обеспечивают большую безопасность. Реализации должны отметить эти консервативные оценки при установлении политики и ведения переговоров о параметрах безопасности. Обратите внимание, что эти ограничения находятся на сами группах Диффи-Хеллман. В Айке нет ничего, что запрещает использование более сильных групп и нет ничего, что ослабит прочность, полученную из более сильных групп. Фактически, расширяемая рамка IKE поощряет определение большего количества групп; Использование групп эллиптических кривых значительно увеличит прочность, используя гораздо меньшие числа. Для ситуаций, в которых определенные группы обеспечивают недостаточную прочность. В зависимости от реализаций, чтобы проверить первичность в предлагаемых группах и независимо от оценки силы. Предполагается, что показатели Diffie-Hellman в этом обмене стираются из памяти после использования. В частности, эти показатели не должны быть получены из долгоживущих секретов, таких как семена, до псевдо-рвоту генератора. Айк -биржи поддерживает запуск векторов инициализации (iv), где последний блок зашифрованного текста в последнем сообщении - IV для следующего сообщения. Чтобы предотвратить повторные передачи (или кованые сообщения с действительными файлами cookie) от того, что обмены вышли из синхронизации реализаций, не должны обновлять свой бег IV, пока расшифрованное сообщение не пройдет базовую проверку здраво.эн. это не повторная передача. Harkins & Carrel Standards Track [стр. 29]

RFC 2409 IKE, ноябрь 1998 г В то время как последняя поездка в обратном пути основного режима (и, необязательно, последнее сообщение агрессивного режима) зашифрована, это не так, строго говоря, аутентифицирована. Атака активного замены на шифровый текст может привести к повреждению полезной нагрузки. Если такая атака повреждает обязательные полезные нагрузки, она будет обнаружена сбоем аутентификации, но если она повреждает какие -либо дополнительные полезные нагрузки (E.г. Уведомить полезные нагрузки, прикованные к последнему сообщению об обмене основного режима). 11. Яна соображения Этот документ содержит множество «магических чисел», чтобы поддерживать Яна. В этом разделе объясняются критерии, которые будут использоваться IANA для назначения дополнительных чисел в каждом из этих списков. 11.1 классы атрибутов Атрибуты, согласованные в этом протоколе, определены их классом. Запросы о назначении новых классов должны сопровождаться RFC-треке, который описывает использование этого атрибута. 11.2 класс алгоритма шифрования Значения класса алгоритма шифрования определяют алгоритм шифрования для использования при вызове в этом документе. Запросы о назначении новых значений алгоритма шифрования должны сопровождаться ссылкой на трек стандартов или информационный RFC или ссылку на опубликованную криптографическую литературу, которая описывает этот алгоритм. 11.3 Хэш -алгоритм Значения класса алгоритма хэш -алгоритма определяют хэш -алгоритм для использования при вызове в этом документе. Запросы на присвоение значений нового хеш-алгоритма должны сопровождаться ссылкой на стандарты- трек или информационный RFC или ссылку на опубликованную криптографическую литературу, которая описывает этот алгоритм. Из-за ключевого вывода и использования ключевого расширения форм HMAC HASH Algorithms в IK.g Это сопротивление столкновению- самого алгоритма хэш-алгоритма. 11.4 Описание группы и тип группы Значения описания группы класс идентифицирует группу для использования в обмене диффи-Хеллмана. Значения класса типа группы определяют тип группы. Запросы о назначении новых групп должны сопровождаться ссылкой на трек стандартов или информационный RFC, который описывает эту группу. Запросы на назначение новой группы Harkins & Carrel Standards Track [стр. 30]

RFC 2409 IKE, ноябрь 1998 г Типы должны сопровождаться ссылкой на трек стандартов или информационную RFC или ссылкой на опубликованную криптографическую или математическую литературу, которая описывает новый тип. 11.5 тип жизни Значения класса типа жизни определяют тип жизни, к которому применяется Ассоциация безопасности ISAKMP. Запросы на назначение новых типов жизни должны сопровождаться подробным описанием единиц этого типа и его истечения. 12. Благодарности Этот документ является результатом тесной консультации с Хьюго Краучиком, Дугласом Моган, Хилари Орманом, Марком Шертлером, Марком Шнайдером и Джеффом Тернером. Он опирается на протоколы, которые были написаны ими. Без их интереса и преданности это не было бы написано. Особая благодарность Роб Адамс, Шерил Мэдсон, Деррелл Пайпер, Гарри Варнис и Эльфед Уивер за технический вклад, поддержку и различные проверки здравомыслия по пути. Мы также хотели бы поблагодарить многих членов рабочей группы IPSEC, которые способствовали разработке этого протокола в течение прошлого года. 13. Рекомендации [Актер] Адамс, c., «Алгоритм шифрования CAST-128», RFC 2144, май 1997 г. [Удар] Шнайер, б., «Алгоритм шифрования мизор -рыбы», DR. Журнал Добба, V. 19, н. 4 апреля 1994 г. [BRA97] Брэднер, S., «Ключевые слова для использования в RFC для указания уровней требований», BCP 14, RFC 2119, март 1997 г. [DES] ANSI X3.106, «Американский национальный стандарт для информационных систем Data Link шифрование», Американский национальный институт стандартов, 1983. [DH] Diffie, w., и Хеллман м., «Новые направления в криптографии», IEEE Transactions по теории информации, V. IT-22, н. 6, июнь 1977 г. Harkins & Carrel Standards Track [стр. 31]

RFC 2409 IKE, ноябрь 1998 г [DSS] NIST, «Стандарт цифровой подписи», FIPS 186, Национальный институт стандартов и технологий, U.С. Министерство торговли, май 1994 г. [Идея] Лай, х., «О проектировании и безопасности блочных шифров», серия ETH в области обработки информации, V. 1, Konstanz: Hartunggorre Verlag, 1992 [KBC96] Krawczyk, H., Bellare, m., и р. Канетти, «HMAC: Keyed-Hashing для аутентификации сообщений», RFC 2104, февраль 1997 г. [Skeme] Krawczyk, H., «Skeme: универсальный механизм обмена безопасного обмена ключами для Интернета», от IEEE Trootings симпозиума 1996 года по сетевым и распределенным системам безопасности. [MD5] Rivest, R., «Алгоритм дигеста сообщений MD5», RFC 1321, апрель 1992 г. [MSST98] Maughhan, D., Schertler, m., Шнайдер, м., и J. Тернер, «Ассоциация интернет -безопасности и протокол управления ключами (ISAKMP)», RFC 2408, ноябрь 1998 г. [Orm96] orman, h., «Протокол определения ключей Oakley», RFC 2412, ноябрь 1998 г. [PKCS1] RSA Laboratories, «PKCS #1: стандарт шифрования RSA», ноябрь 1993 г. [PIP98] Piper, D., «Интернет -домен безопасности IP -интерпретации для ISAKMP», RFC 2407, ноябрь 1998 г. [RC5] Rivest, R., «Алгоритм шифрования RC5», DR. Журнал Добба, V. 20, н. 1, январь 1995 г. [RSA] Rivest, R., Шамир, а., и Adleman, l., «Метод получения цифровых подписей и криптосистемы с открытым ключом», «Связь ACM, V. 21, н. 2, февраль 1978 г. [SCH96] Schneier, B., «Прикладная криптография, протоколы, алгоритмы и исходный код в C», 2 -е издание. [Sha] Nist, «безопасный хэш-стандарт», FIPS 180-1, Национальный институт стандартов и технологий, U.С. Министерство торговли, май 1994 г. [Тигр] Андерсон, Р., и Бихам, E., «Быстрое шифрование программного обеспечения», Springer LNCS V. 1039, 1996. Стандарты Harkins & Carrel [Страница 32]

RFC 2409 IKE, ноябрь 1998 г Приложение A Это список DES слабых и полуоткрытых ключей. Ключи приходят от [SCH96]. Все ключи перечислены в шестнадцатеричной. DES слабые ключи 0101 0101 0101 0101 1F1F 1F1F E0E0 E0E0 E0E0 E0E0 1F1F 1F1F FEFE FEFE FEFE DES LEMI-WEAC E 010e e0fe e0fe f1fe f1fe fe01 fe01 fe01 fe01 e01f e01f f10e f10e e001 e001 f101 f101 fe1f fe1f fe0e fe0e 1f01 1f01 0e01 0e01 Fee0 Fef1 Fef1 Присвоенный атрибут Atributes One One Wase Phase использует атрибут. Используется атрибут. Используется атрибут. Атрибуты второго этапа определены в применимой спецификации DOI (например, атрибуты IPSEC определены в IPSEC DOI), за исключением описания группы, когда быстрый режим включает в себя эфемерный обмен Diffie-Hellman. Типы атрибутов могут быть основными (b) или переменной длиной (v). Кодирование этих атрибутов определено в базовой спецификации ISAKMP как тип/значение (базовое) и тип/длина/значение (переменная). Атрибуты, описанные как базовые, не должны быть закодированы как переменная. Атрибуты переменной длины могут быть закодированы как основные атрибуты, если их значение может соответствовать двум октетам. Если это так, атрибут, предлагаемый в качестве переменной (или базовой) инициатором этого протокола, может быть возвращен инициатору в качестве основной (или переменной). Трек Стандартов Harkins & Carrel [стр. 33]

RFC 2409 IKE, ноябрь 1998 г Атрибут класса класс Тип значения ----------------------------------------------------------------------- Алгоритм шифрования 1 B Алгоритм хеш-хэш 2 B Метод аутентификации 3 B Описание 4 B Группа 5 B Группа Prime/Irredible Polynomial 6 V Генератор группы Один 7 V Группа генератор два 8 V Группа. 6383 зарезервированы в Яне. Значения 16384-32767 предназначены для частного использования среди взаимно согласившихся сторон. Значения класса-Алгоритм шифрования, определенный в DES-CBC 1 RFC 2405 IDEA-CBC 2 Blowfish-CBC 3 RC5-R16-B64-CBC 4 3DES-CBC 5 CAST-CBC 6 Значения 7-65000 зарезервированы в IANA. Значения 65001-65535 предназначены для частного использования среди взаимно согласившихся сторон. - Алгоритм хэш, определенный в MD5 1 RFC 1321 SHA 2 FIPS 180-1 TIGE. Значения 65001-65535 предназначены для частного использования среди взаимно согласившихся сторон. Harkins & Carrel Standards Track [стр. 34]

RFC 2409 IKE, ноябрь 1998 г - Метод аутентификации Pre-Shared Key 1 DSS-подписи 2 подписи RSA 3 шифрования с пересмотренным шифрованием RSA 4 с значениями RSA 5 6-65000 зарезервированы для IANA. Значения 65001-65535 предназначены для частного использования среди взаимно согласившихся сторон. - Группа Описание по умолчанию 768-разрядная группа MODP (раздел 6.1) 1 альтернативная 1024-разрядная группа MODP (раздел 6.2) 2 группа EC2N на GP [2^155] (раздел 6.3) 3 группа EC2N на GP [2^185] (раздел 6.4) 4 значения 5-32767 зарезервированы для IANA. Значения 32768-65535 предназначены для частного использования среди взаимно согласившихся сторон. - Тип группы MODP (Группа модульного экспоненты) 1 ECP (группа кривой эллиптической кривой над GF [P]) 2 EC2N (Elliptic Curve Group через GF [2^n]) 3 значения 4-65000 зарезервированы для IANA. Значения 65001-65535 предназначены для частного использования среди взаимно согласившихся сторон. - Тип срока службы секунды 1 килобит 2 значения 3-65000 зарезервированы для Ианы. Значения 65001-65535 предназначены для частного использования среди взаимно согласившихся сторон. Для данного «типа жизни» ценность атрибута «продолжительность жизни» определяет фактическую длину жизни SA- либо несколько секунд, либо ряд защищенных Kbytes. - PRF в настоящее время не определены псевдо-рэндомы. Значения 1-65000 зарезервированы для Яны. Значения 65001-65535 предназначены для частного использования среди взаимно согласившихся сторон. Harkins & Carrel Standards Track [стр. 35]

RFC 2409 IKE, ноябрь 1998 г - Длина ключа При использовании алгоритма шифрования, который имеет клавишу длины переменной, этот атрибут указывает длину клавиши в битах. (Должен использовать порядок сети байт). Этот атрибут не должен использоваться, когда указанный алгоритм шифрования использует ключ с фиксированной длиной. - Размер поля Размер поля, в битах, группы диффи-Хеллман. - Группо заказ группы группы эллиптической кривой. Обратите внимание, что длина этого атрибута зависит от размера поля. Дополнительные обмены определены- значения XCHG Quick Mode 32 Новая группа режима 33 Harkins & Carrel Standards Track [стр. 36]

RFC 2409 IKE, ноябрь 1998 г Приложение B В этом приложении описываются данные шифрования, которые будут использоваться только при шифровании сообщений ISAKMP. Когда услуга (такая как преобразование IPSEC) использует ISAKMP для генерации материала ключа, все детали специфических алгоритмов шифрования (такие как генерация Key и IV, прокладки и т. Д. ) Должен быть определен этой службой. ISAKMP не предполагает, что когда -либо производить ключи, которые подходят для любого алгоритма шифрования. ISAKMP производит запрошенную сумму материала Keying, из которого служба должна генерировать подходящий ключ. Детали, такие как слабые ключевые проверки, являются обязанностью услуги. Использование согласованных PRFS может потребовать расширения вывода PRF из -за механизма обратной связи PRF, используемого в этом документе. Например, если (фиктивный) DOURAK-MAC требует 24 байта ключа, но производит только 8 байтов вывода, выход должен быть расширен три раза, прежде чем использовать в качестве ключа для другого экземпляра себя. Выход PRF расширяется путем подачи результатов PRF в себя для создания последовательных блоков. Эти блоки объединяются до тех пор, пока не будет достигнуто необходимое количество байтов. For example, for pre-shared key authentication with DOORAK-MAC as the negotiated PRF: BLOCK1-8 = prf(pre-shared-key, Ni_b | Nr_b) BLOCK9-16 = prf(pre-shared-key, BLOCK1-8 | Ni_b | Nr_b) BLOCK17-24 = prf(pre-shared-key, BLOCK9-16 | Ni_b | Nr_b) and SKEYID = BLOCK1-8 | Блок9-16 | BLOCK17-24 so therefore to derive SKEYID_d: BLOCK1-8 = prf(SKEYID, g^xy | CKY-I | CKY-R | 0) BLOCK9-16 = prf(SKEYID, BLOCK1-8 | g^xy | CKY-I | CKY-R | 0) BLOCK17-24 = prf(SKEYID, BLOCK9-16 | g^xy | CKY-I | CKY-R | 0) and SKEYID_d = BLOCK1-8 | Блок9-16 | Блок17-24 Последующие производные PRF выполняются аналогичным образом. Ключи шифрования, используемые для защиты ISAKMP SA, получены из SKEYID_E специфичным для алгоритма. Когда SKEYID_E не достаточно долго, чтобы предоставить весь необходимый материал для клавиши, который требуется алгоритм, ключ получен из подачи результатов псевдо-случайной функции в себя, объединения результатов и получения самых высоких необходимых битов. Стандарты Harkins & Carrel [Страница 37]

RFC 2409 IKE, ноябрь 1998 г Например, если (фиктивный) алгоритм Akula требует 320-битных ключей (и не имеет слабой проверки ключей), а PRF, используемый для генерации SKEYID_E, генерирует только 120 бит материала, ключ для Akula, будет первым 320-битным KA, где: KA = K1 | K2 | K3 и K1 = PRF (SKEYID_E, 0) K2 = PRF (SKEYID_E, K1) K3 = PRF (SKEYID_E, K2), где PRF является согласованным PRF или версия HMAC согласованной функции хеша (если не было согласовано PRF) и 0 представлен одним октом. Каждый результат PRF предоставляет 120 бит материала в общей сложности 360 бит. Акула будет использовать первые 320 бит этой 360 -битной строки. На этапе 1 материал для вектора инициализации (материал IV) для алгоритмов шифрования режима CBC получен из хэша объединения общественного значения инициатора диффи-Хеллмана и общественного значения респондера с использованием согласованного хэш-алгоритма. Это используется только для первого сообщения. Каждое сообщение должно быть подкреплено до ближайшего размера блока, используя байты, содержащие 0x00. Длина сообщения в заголовке должна включать длину прокладки, поскольку это отражает размер шифрового текста. Последующие сообщения должны использовать последний блок шифрования CBC от предыдущего сообщения в качестве вектора инициализации. На этапе 2 материал для вектора инициализации для шифрования режима CBC первого сообщения об обмене быстрого режима получен из хэша объединения выходного блока CBC Fase 1 и идентификатора сообщения фазы 2 с использованием обсуждаемого хэш -алгоритма. IV для последующих сообщений в рамках быстрого обмена режимами является выходным блоком CBC из предыдущего сообщения. Заполнение и IV для последующих сообщений выполняются, как на фазе 1. После того, как ISAKMP SA был аутентифицирован все информационные обмены, зашифрованы с помощью SKEYID_E. Вектор инициализации для этих обменов получен таким же образом, что и для быстрого режима- я.эн. Он получен из хэша объединения выходного блока CBC фазы 1 и идентификатора сообщения от заголовка ISAKMP информационного обмена (а не идентификатор сообщения из сообщения, который мог вызвать информационный обмен). Обратите внимание, что окончательный выходной блок CBC фазы 1, результат шифрования/дешифрования последнего сообщения фазы 1, должен быть сохранен в состоянии ISAKMP SA, чтобы обеспечить генерацию уникальных IV для каждого быстрых режима. Каждый пост-фаза 1 обмена (быстрые режимы и Harkins & Carrel Standards Track [стр. 38]

RFC 2409 IKE, ноябрь 1998 г Информационные обмены) генерируют IVS независимо, чтобы предотвратить проникновение IVS из синхронизации, когда два разных обмена начинаются одновременно. Во всех случаях существует единственный двунаправленный контекст шифра/IV. Наличие каждого быстрого режима и информационного обмена поддерживают уникальный контекст, предотвращает выходу из синхронизации IVS. Ключ для DES-CBC получен из первых восьми (8) не волновых и не прииц. IV - это первые 8 байтов материала IV, полученного выше. Ключ для Idea-CBC получен из первых шестнадцати (16) байтов skeyid_e. IV - это первые восемь (8) байтов материала IV, полученного выше. Ключом для Blowfish-CBC является либо договорной размер ключа, либо первые пятьдесят шесть (56) байтов ключа (если размер ключа не согласован). IV - это первые восемь (8) байтов материала IV, полученного выше. Ключом для RC5-R16-B64-CBC является размер согласованного ключа или первые шестнадцать (16) байтов ключа (если размер ключа не согласован), полученные из вышеупомянутого метода обратной связи с псевдолудочным. IV - это первые восемь (8) байтов материала IV, полученного выше. Количество раундов должно быть 16, а размер блока должен быть 64. Ключ для 3DES-CBC-это первые двадцать четыре (24) байты ключа, полученного в вышеупомянутом методе обратной связи с псевдолудочком. 3DES-CBC-это операция по шифрованию-децирипту с использованием первых, средних и последних (8) байтов всего ключа 3DES-CBC. IV - это первые восемь (8) байтов материала IV, полученного выше. Ключом для CAST-CBC является либо переговорный размер ключа, либо первые шестнадцать (16) байтов ключа, полученного в вышеупомянутом методе обратной связи псевдо-случайной функции. IV - это первые восемь (8) байтов материала IV, полученного выше. Поддержка алгоритмов, отличных от DES-CBC, является чисто необязательной. Некоторые дополнительные алгоритмы могут подвергаться заявлениям об интеллектуальной собственности. Harkins & Carrel Standards Track [стр. 39]

RFC 2409 IKE, ноябрь 1998 г Адреса авторов Dan Harkins Cisco Systems 170 W. Tasman Dr. Сан-Хосе, Калифорния, 95134-1706 Соединенные Штаты Америки Телефон: +1 408 526 4000 Электронная почта: [email protected] Dave Carrel 76 Lippard Ave. Сан-Франциско, Калифорния 94131-2947 Соединенные Штаты Америки Телефон: +1 415 337 8469 Электронная почта: Carrel@ipsec.Примечание авторов организации Авторы поощряют независимую реализацию и тестирование совместимости этого гибридного протокола. Harkins & Carrel Standards Track [стр. 40]

RFC 2409 IKE, ноябрь 1998 г Полное заявление об авторском праве Copyright (c) Интернет -общество (1998). Все права защищены. Этот документ и переводы этого могут быть скопированы и предоставлены другим, а деривативные работы, которые комментируют или иным образом объясняют его или помогают в его реализации, могут быть подготовлены, скопированы, опубликованы и распределены, полностью или частично, без ограничений любого рода, при условии, что вышеупомянутое уведомление об авторском праве и этот пункт включены на все такие копии и производные работы. Однако сам этот документ не может быть изменен каким -либо образом, например, путем удаления уведомления об авторском праве или ссылок на интернет -общество или другие интернет -организации, за исключением случаев, которые необходимо для разработки стандартов интернет. Ограниченные разрешения, предоставленные выше, являются постоянными и не будут отменены интернет -обществом или его преемниками или назначениями. Этот документ и информация, содержащаяся в настоящем документе, предоставляется на основе «как есть», а Интернет -общество и целевая группа по инженерному интернет -инженерии отказываются от всех гарантий, явных или подразумеваемых, включая, помимо прочего, какую -либо гарантию, что использование информации в настоящем документи. Harkins & Carrel Standards Track [стр. 41]

Использует ли ipsec ike или isakmp?

Использует ли набор протоколов IPSEC IKE или ISAKMP? RFC 2828 States ISAKMP – это протокол, используемый в IPSEC для обработки SAS, управления ключами и аутентификации системы. Другие источники говорят, что IKE – это протокол, который использовал. От RFC 2828:

$ Ассоциация интернет -безопасности и протокол управления ключами (ISAKMP) (i) Интернет -протокол IPSEC [R2408] для ведения переговоров, создания, модификации и удаления ассоциаций безопасности, а также для обмена данными генерации ключей и аутентификации, независимо.

спросил 14 мая 2013 года в 6:13

511 2 2 Золотые значки 5 5 Серебряные значки 9 9 Бронзовые значки

5 ответов 5

Давайте сначала проясним здесь путаницу. Обмен интернет -ключом (IKE) – это гибридный протокол, он состоит из 3 «протоколов»

• ISAKMP: Это не протокол обмена ключами как таковой, это структура, на которой работают протоколы обмена ключами.
• Oakley: описывает «режимы» обмена ключами (e.г. Идеальная секретность вперед для ключей, защиты идентификации и аутентификации)
• Skeme: обеспечивает поддержку для обмена ключами на основе открытых ключей, центров распределения ключей и ручной установки, в нем также описываются методы безопасного и быстрого обновления ключей.

Так что да, ipsec делает Используйте IKE, но ISAKMP является частью IKE.

Демистификация ike/ikev2

IKEV2 – это протокол безопасности, который облегчает обмены криптографическими симметричными ключами между конечными точками.

• Ike/ikev2
  • Характеристики
  • Ikev2 и Ipsec
  • 2-фазная методология Айка
    • Фаза 1
    • Фаза 2
    • ISAKMP
    • Оукли
    • Скем
    • Уменьшение воздействия уязвимости Скема

    Ike/ikev2

    IKEV2 заменил IKE в конце 2005 года и не совместимо с IKE совместимо с IKE. Первоначально определено в RFC 4306, последняя версия IKEV2 разделена между RFC 7296, 7427, 7670 и 8247.

    Некоторые интернет -форумы и статьи описывают IKE/IKEV2 как протокол VPN. Это неправильно.

    Встроенный в IPSec, IKEV2 определяется как безопасный протокол обмена ключевым обменом (тип протокола безопасности). IPSec использует IKEV2 для создания временного безопасного туннеля с целью безопасного обмена параметрами ассоциации безопасности и ключам криптографического сеанса Diffie-Hellman между двумя Ipsec конечные точки. Однако это действительно следует относиться как к платформа безопасности. IKEV2 в основном является объединением трех (3) других протоколов безопасности: ISAKMP, Оукли, и Скем.

    IKEV2-это протокол IPSEC, который получает свое поведение от других, не специфичных протоколов, не являющихся EIPSEC: ISAKMP, Oakley и Skeme

    Характеристики

    Ikev2 есть не протокол туннелирования для обмена данными. Это протокол безопасности, который устанавливает эфемерный защитный туннель для Единственная цель надежного обмена ключами шифрования. IKE/IKEV2 был задумано и разработан специально для имплаентации с IPSEC. Он определяет, как конечные точки с использованием IPSEC будут аутентифицировать друг друга через ассоциации безопасности (SAS), и выполняет параметры этих SA, облегчая вычисления ключей безопасности, назначения, обмены, замены и отзывы.

    Методологии IKE были скопированы и реализованы в других протоколах VPN (E.г. OpenSwan, Strongswan).

    Openike, Openikev2, Racoon и Racoon2 – примеры альтернативных решений IKE/IKEV2 с открытым исходным кодом, которые могут реализовать другие процессы, чтобы воспользоваться преимуществами надежной архитектуры обмена IKEV2 IKEV2.

    Выбранные характеристики IKE:

    • Управляет аутентификацией IPSEC, ключами и ассоциациями безопасности (SAS)
    • 2 фаза
      • Фаза 1: взаимная аутентификация с использованием предварительного выстава x.509 клавиш (шифрование и целостность) и коммуникация фазы 2 настройки 2
      • Фаза 2: методы переговоров, используемые для шифрования информации из обеих конечных точек IPSEC; Ассоциация безопасности (SA) для туннеля IPSEC создана

      В то время как процессы IKE/IKEV2 могут быть вызваны практически любого процесса туннелирования или VPN, их почти всегда называют IPSec.

      Ikev2 и Ipsec

      Основная цель IKE/IKEV2 – обеспечить модульную структуру ассоциации ключей для IPSEC. Айк был специально построен для устранения недостатков в управлении IPSEC по материалам Keying. Ikev2 – это эволюция IKE.

      IPSec может (и часто) использовать IKEV2 для управления криптографическими ключами. Когда это произойдет, IKEV2 называется косвенно через ассоциации безопасности IPSec. IKEV2, в свою очередь, называет ISAKMP, передавая его инструкции из IKEV2 SA (который, в свою очередь, был построен в соответствии с IPSEC SA).

      

      2-фазная методология Айка

      Философия Айка сводится к разделению. Вы можете думать об этом как о ядерной ракетной силосе. Ни один человек не может запустить запуск самостоятельно. Встроены гарантии, которые означают, что требуется коллективный процесс. Консенсус должен произойти или ничего не происходит.

      Помните, что желаемый конечный результат IKEV2 состоит в том, чтобы надежно поделиться симметричным ключом между двумя (2) сетевыми коллегами, которые хотят общаться через IPSEC VPN. 3 Для достижения этого IKEV2 использует 2-фазный процесс, который предполагает, что начальная точка ключевого переговора происходит в небезопасном сетевом соединении. Таким образом, фаза 1 устанавливает безопасный туннель, через который направляется фаза 2. Фаза 1 аутентифицирует сетевых коллег и ведет переговоры о SA в стиле IPSEC (Ассоциация безопасности) для фазы 2, когда происходит реальный обмен ключом.

      IKEV2 Фаза 1

      Фаза 1 – это процесс переговоров, который устанавливает безопасную, аутентифицированную ассоциацию безопасности IKEV2 (IKEV2 SA) между двумя (2) сетевыми сверстниками. Фаза 1 управляет аутентификацией обоих аналогов с сетью и устанавливает соглашение о том, какие методы шифрования будут использоваться для фазы 2. Отдельная политика безопасности (в форме IKEV2 SA) реализована для каждого однозначного IKEV2. Обычно есть только два (2) сверстники.

      Фаза 1 использует x.509 сертификатов для аутентификации и обмена ключами диффи-Хеллмана для шифрования. X.509 сертификатов должны быть либо организованы заранее (предварительно проживание), либо могут быть обменены через DNS или DNSSEC.

      Фаза 1 определяет:

      • Глобальные параметры, такие как имена сертификатов открытого ключа
      • Должна ли быть использована идеальная секретность вперед (PFS)
      • Сетевые интерфейсы затронуты
      • Протоколы безопасности и их алгоритмы
      • Метод аутентификации

      Фаза 1 имеет два (2) различные методы реализации. «Основной режим» – это конфигурация по умолчанию и использует криптографические клавиши для защиты передачи между двумя (2) сетевыми аналогами. «Агрессивный режим» является необязательным и жертвует безопасностью для скорости. Последний никогда не должен использоваться в Интернете.

      Основной режим

      IKEV2 Фаза 1 Основной режим (по умолчанию) использует ключи на основе PKI для аутентификации оба сетевых коллег.

      Агрессивный режим

      Святость криптографических ключей фазы 2 IKEV2 имеет решающее значение для предотвращения каскадного эффекта ключевых компромиссов.

      IKEV2 Фаза 1 не должна работать в агрессивном режиме по небезопасной сети, такой как Интернет.

      Агрессивный режим IKEV2 фазы 1 быстрее, чем основной режим по умолчанию, но передает всю информацию в Clear (Plain Text) без защиты аутентификации. Агрессивный режим следует избегать, когда это возможно, поскольку он особенно уязвим для атак человека в среднем (MITM), предоставляя злоумышленнику возможность изменить параметры ассоциации безопасности для фазы 2. Например, позволяя злоумышленнику возможность заставить метод шифрования более низкого уровня, который значительно проще сломать.

      Дизайн IKEV2 предполагает операцию в враждебной среде, где она уязвима для человека в среднем (MITM) и аналогичных векторах атаки.
      Основная цель фазы 1 – задержать злоумышленника достаточно долго, чтобы выполнить фазу 2. 4

      IKEV2 Фаза 2

      IKEV2 Фаза 2 переговоры и реализует параметры Для новой ассоциации безопасности IKEV2, управляемой ISAKMP (ISAKMP SA). Фаза 2 – это место, где проводятся переговоры о базовом SA (SA, который вызвал IKEV2 с самого начала; обычно IPSec).

      Некоторые части этого документа относятся к SA IKEV2 фазы 2 как ISAKMP SA.
      Несмотря на это, этап 2 IKEV2 воплощает внедрение родительского процесса SA (обычно IPSEC).

      Фаза 1 IKEV2 SA и соединение заброшены после установки фазы 2. Политики безопасности фазы 2 и криптографические ключи не зависят от тех, кто реализован на этапе 1. Реализация фазы 2 SA управляется ISAKMP, которая передает различные параметры безопасности Oakley и Skeme.

      Три мушкетера: Isakmp, Oakley и Skeme

      Протокол	Ike/ikev2 Фаза	Функция
      ISAKMP	1	Устанавливает политику SA
      Оукли	1 + 2	Облегчает распределение ключей
      Скем	1 + 2	Управляет ключевым созданием

      Если вы исследовали IKE или IKEV2, вы, вероятно, заметили, что эти аббревиатуры часто появляются в документации IKE/IKEV2. Это потому, что IKE/IKEV2 – это коалесценция рамок безопасности и протоколов; Рамочная структура Uber, состоящая из трех (3) связанных и межзависимых протоколов безопасности.

      ISAKMP управляет ассоциациями безопасности (SAS). Оукли управляет ключевыми параметрами и облегчает выплату ключей. Skeme создает ключи и управляет задачами обновления ключей.

      ISAKMP координаты. Oakley действует как промежуточное программное обеспечение между ISAKMP и Skeme. и Скем генерирует новые ключи.

      Материал Keying предоставляется Oakley и передается в Skeme, который генерирует новые ключи. Ключи возвращаются из Skeme в Oakley, который назначает идентификаторы ключам (называемым Keydes) и облегчает распределение клавиш для коллег по сети через ISAKMP, согласно соответствующей ассоциации безопасности IKEV2.

      ISAKMP – это процесс трубопровода, который устанавливает безопасные каналы связи на обеих этапах IKEV2. Через ISAKMP фаза 1 устанавливает SA для IKEV2 (IKEV2 SA) и устанавливает параметры двунаправленного канала, необходимые для создания IKEV2 Фазы 2.

      На этапе 2 ISAKMP создает свой собственный SA (ISAKMP SA), ответственный за координацию создания и реализации SA процесса, называющего IKEV2 (обычно IPSEC). Как фаза 1, так и этап 2 полагаются на Oakley для распределения криптографических ключей, управления Keydes для ISAKMP SA, диктуйте материал Keying для ключей Diffie-Hellman (D-H) и отслеживайте любые предварительные ключи. Oakley, в свою очередь, запросы создают новые ключи DH и предоставляет ключевую информацию об общедоступном ключевой инфраструктуре (PKI) от Skeme.

      

      ISAKMP

      ISAKMP управляет ассоциациями безопасности (создание, переговоры, модификация и удаление), управление криптографическими ключами и аутентификацию устройства сверстников.

      ISAKMP (Ассоциация интернет -безопасности и протокол управления ключами) направляет создание и урегулирование (процесс соглашения между сетевыми коллегами) ассоциаций безопасности (SAS). Как рамки Для аутентификации и криптографических ключей при запуска он устанавливает свою собственную ассоциацию безопасности (SA). SAS ISAKMP отличается от IPSEC SAS. ISAKMP SA – это безопасный канал для ведения переговоров о материалах Keying, хотя сущность IPSEC SA просачивается в ISAKMP через IPSEC и IKEV2 SAS. Все они эффективно обрабатываются ISAKMP.

      ISAKMP был первоначально определен независимо под RFC 2408. Когда IKEV2 заменил IKE (через RFC 4306 в конце 2005 года) несколько RFC – включая RFC 2408 – были включены в один. Текущая версия Framework IKEV2 – RFC 7296 и включает в себя функциональность ISAKMP. В качестве структуры ISAKMP определяет процедуры и форматы пакетов для установления, согласования, изменения и удаления ассоциаций безопасности. Требуется материал для ключа в качестве входного ввода, который должен быть получен из другого процесса, такого как IKEV2, Kink или аналогичный протокол безопасности соглашения.

      Использованный IKE/IKEV2 и Kink, ISAKMP не требует ни одного. Это на самом деле, Ключевой обмен независимым. Аналогичным образом, ISAKMP не ограничен в области IPSec. Это агностик по отношению к протоколам безопасности. ISAKMP, будучи несвязанным с каким -либо конкретным криптографическим алгоритмом, методом генерации ключей или механизмом безопасности, может обновлять алгоритмы и механизмы без изменения своих передних крючков, подключенных к другим процессам (E.г. Ikev2).

      ISAKMP имеет конкретное вложение к порту 500. Это требует двухнаправленного обмена данными с помощью пакетов UDP через порт 500 (как исходные, так и целевые хосты используют порт 500), хотя это может быть реализовано по любому транспортному протоколу. 5

      Ассоциации безопасности ISAKMP и IKEV2 не зависят друг от друга.

      ISAKMP и IKEV2

      ISAKMP (Ассоциация интернет -безопасности и протокол управления ключами) является независимым процессом. Тем не менее, IKEV2 в значительной степени зависит от этого как привратник. ISAKMP играет центральную роль в координации управления ассоциациями безопасности IKEV2.

      Призван во время процесса аутентификации IKEV2 (IKEV2 Phase 1), ISAKMP создает безопасный канал, используя методы шифрования открытых ключей для аутентификации противоположных сверстников IKEV2 и согласования новой ассоциации безопасности (ISAKMP SA). Затем IKEV2 соглашается с материалами Keying для своих Datagrams IP – на основе SA IKEV2 – и включает в себя это в ISAKMP SA. Впоследствии начинается фаза 2 IKEV2, и устанавливается безопасный двунаправленный канал на основе параметров, согласованных во время фазы 1. ISAKMP снова играет центральную роль во время фазы 2. На этот раз ISAKMP вызывает Oakley для создания ключей безопасности на основе параметров, указанных в ISAKMP SA. Oakley работает с Skeme и возвращает результаты в ISAKMP, который затем завершает конфигурацию безопасного канала, устанавливая новый защищенный канал и возвращает управление своим родительским процессом (IKEV2). IKEV2, в свою очередь, возвращает управление цепочкой команды обратно в процесс, который его назвал (E.г., Ipsec).

      Оукли

      Оукли – это Протокол определения ключа: Протокол безопасности, который ведет переговоры, распределяет, обменивается и контролирует криптографические ключи между аналогами сети.

      Oakley – швейцарский армейский нож криптографического управления ключами для Ikev2. Он координирует генерацию ключей и аутентификацию ключей. Пока Не несет ответственности за ключевое поколение, Оукли управляет подготовкой ключей. Это процесс, когда родительский процесс (e.г. ISAKMP) нужен ключ. Оукли, как ожидается, пойдет и получит это. Вы можете думать о Окли как о процессе моста или промежуточном программном обеспечении. В рамках IKEV2 фаза 2 порядка операций Oakley находится между ISAKMP и Skeme, и его выходные сообщения кодируются в полезных нагрузках ISAKMP.

      Как промежуточное программное обеспечение (e.г. Между ISAKMP и Skeme), Оукли определяет:

      • Метод шифрования
      • Ключевой метод получения
      • Метод аутентификации

      Основные функции Оукли:

      • Содействие переговорам о ключевых алгоритмах между двумя (2) режимами сети
      • Выступая в качестве промежуточного программного обеспечения, чтобы облегчить передачу ключей безопасности между родительским процессом (например, ISAKMP), с просьбой к ключу и дочернему процессу, который предоставляет клавиши (такие как Skeme)
      • Выполнение преобразование операция по критериям ключевого алгоритма
      • Включение метаданных идентификаторов ключа в сообщение, возвращаемое в процесс запроса, который можно отслеживать ассоциациями безопасности типа IPSEC (E.г. Ах или протоколы ESP)

      Криптографическое обеспечение ключей

      Oakley способен предоставить различные критографические ключевые категории: Pre-Shared, DNS Public, RSA Public, RSA Self-Andered и x.509 (Управление по сертификатам 3-й стороны) Ключи. Определено RFC 2142 [1998], Oakley не создает новые ключи. Скорее это облегчает их создание и передачу, включая спецификацию материала Keying.

      Почему Окли? IKE/IKEV2 были смоделированы на основе недостатков в IPSEC, и, поскольку IPSEC использует симметричные клавиши, IKE/IKEV2 Фаза 2 предполагает использование симметричных ключей. Благотворительное поведение в Оукли и Скеме позволяет использовать симметричные ключи без диффи-холмана (D-H), но протокол IKE/IKEV2 наиболее безопасен, когда клавиши DH применяются. Как насчет фактического процесса генерации ключевых? Это работа Скема.

      Характеристики Окли

      Обязанности Оукли включают:

      • Аутентификация режимов сети и выступая в качестве службы доставки мессенджера
      • Управление распределением (но не созданием) ключей для аутентификации и шифрования
      • Установление параметров, с помощью которых выбираются криптографические ключи
      • Промежуточное программное обеспечение между созданием ключей (e.г. Skeme) и ключевой запрос (e.г. Isakmp)
      • Направление выбора материала секретного ключа, когда запрошены новые ключи Diffie-Hellman (D-H)
      • Облегчение идеальной секретности вперед (PFS)
      • Присвоение идентификатора каждому новому ключу (KeyID)
      • Переговоры о ключевых обменах
      • Обновление существующих ключей для родительского процесса

      IKEV2 SAS указывает, что Oakley просит ключи от Skeme и распределяет их в ISAKMP

      Оукли и IKEV2

      IKEV2 использует ISAKMP для вызова Oakley во время фазы 2, где ожидается, что он будет координировать вход в Skeme (материал Keying) и вернуть вывод в ISAKMP (ключи). Почему ISAKMP не просто не общается с Skeme напрямую? Почему нет ни одного процесса, который занимается всеми этими шагами одновременно? Три слова: идеальная секретность вперед (PFS).

      

      Протоколы безопасности ISAKMP, Oakley и Skeme предназначены для модульных, с целенаправленно узким фокусом. В то время как Skeme может технически генерировать симметричные клавиши, используя алгоритм Diffie-Hellman (D-H) само по себе, он может сделать это только с классом показателей по умолчанию, который дает относительно плохой уровень безопасности и следует рассматривать только меру остановки. Между тем, Oakley не может вообще генерировать ключи, но может назначить встроенные или пользовательские группы DH для Skeme на основе уровня безопасности, указанного ISAKMP. И последнее, но не менее важное: ISAKMP не может сделать ни того, ни другое. ISAKMP получает свои марширующие приказы от IKEV2 SA, полученный из его родительского процесса (обычно IPSEC), который, в свою очередь, определялся родительским SA (E.г. Ipsec sa).

      PFS не было бы возможным без разделения полномочий между ISAKMP, Oakley и Skeme. Например, ключевое преобразование выделяется между Окли и Скема (что не позволяет ISAKMP знать детали; оно может видеть только результаты). Аналогичным образом, ISAKMP и Oakley оба знают о факторах, способствующих назначению DH Group от Oakley для Skeme, но Skeme не имеет знаний и видит только конечный результат (фактическое обучение группового назначения). Skeme не имеет значения для каких -либо факторов, повлиявших на номер группы DH, назначенный ему. Предотвращение того, чтобы вся информация обеспечивала все данные, гарантирует PFS.

      Управление ключами без DH

      Oakley управляет только симметричными ключами Diffie-Hellman (D-H). Что происходит, когда ISAKMP запрашивает тип ключа без DH от Oakley?

      1. Oakley передает запрос Non-DH в Skeme без модификации
      2. Скем пытается выполнить запрос
      3. Скем передает результат Oakley (Key или Null)
      4. Если не null, Oakley назначает KeyID ключ
      5. Окли возвращает результат ISAKMP

      Помните, Oakley никогда не участвует в ключевом поколении. Он только облегчает передачу ключей и предоставляет материал математического ключа для симметричных ключей. Skeme – рабочая лошадка для криптографических ключей.

      Oakley Key Transformation

      Как процесс, Oakley может выполнить преобразование Операция на группе Diffie-Hellman и критерии показателя. Преобразование означает предоставление подробностей о том, как должен применяться алгоритм к данным (таким образом преобразованиеДанные). Таким образом, в случае с Оукли это означает, что Oakley контролирует группу DH и критерии показателя, как это представлено для ребенка, который создает ключ DH.

      Используя IKEV2 в качестве примера процесса, SA ISAKMP должен содержать информацию, указывающую на требуемый уровень шифрования и тип ключей, необходимых для безопасного туннеля, установленного IKEV2 Phase 2. Это не обязательно будет состоять из запроса на симметричные ключи. Давайте посмотрим на логический процесс трех возможных сценариев для ключевых запросов в Окли через IKEV2. Ключевой запрос поступят в Окли через ISAKMP SA, который будет содержать соответствующие требования, которые ISAKMP, полученный из IKEV2 Phase 2 SA.

      Поля сообщения Oakley соответствуют полезным нагрузкам сообщений ISAKMP или компонентам полезной нагрузки.

      Соответствующие поля полезной нагрузки – это SA, AUTH, сертификат (ы) и полезные полезные нагрузки обмена ключами.

      Сценарий № 1: Создайте новый симметричный ключ с помощью алгоритма Diffie-Hellman

      Это сценарий, когда Окли дает наибольшее преимущество.

      1. Oakley берет на себя задачу выбора материала Keying для алгоритма DH.
      2. Oakley предоставляет группу DH или информацию о показателе в Skeme.
      3. Skeme создает симметричный ключ и возвращает его в Oakley.
      4. Oakley назначает KeyId ключке.
      5. Oakley продвигает новый ключ DH и Keyid to Isakmp.
      6. ISAKMP предоставляет ключ и KeyID IKEV2.

      Сценарий № 2: Получить предварительно продемонстрированный симметричный ключ

      В этом сценарии IKEV2 инструктирует ISAKMP использовать предварительную ключ и предоставляет ориентировочный токен для ключа.

      1. Oakley проходит ссылочный токен для предварительного ключа к Skeme.
      2. Скем получает предварительный ключ и возвращает его в Оукли.
      3. Oakley назначает KeyId ключке.
      4. Oakley продвигает ключ и Keyid в Isakmp.
      5. ISAKMP предоставляет ключ и KeyID IKEV2.

      Сценарий № 3: Получить открытый ключ

      В этом сценарии IKEV2 инструктирует ISAKMP для получения общественного сертификата PKI. ISAKMP передает запрос на Oakley, который использует SECDN (Secure DNS) для извлечения открытого ключа. Результат возвращается в ISAKMP.

      Сценарий № 4: Получить x.509 Ключ сертификата

      Когда Окли получает запрос на x.509 Ключ на основе сертификатов, он получен и проверен перед назначением KeyID и возвращению информации о ключе в родительский процесс. Oakley также извлекает вспомогательные сертификаты для сертификации органов властей или соавторов на основе Интернета доверия для запрашиваемого авторитета сертификата.

      Если ISAKMP является родительским процессом, запрашивающим Oakley (E.г. IKEV2), ISAKMP предоставит полезную информацию о сертификате Oakley. Это помогает свести к минимуму сборки Oakley и возврат информации о посторонних сертификатах, которая не требуется, поскольку ISAKMP и его родительский процесс уже знают о них, хотя это может быть полезно для Oakley во время процесса проверки сертификата.

      Время: Немезида симметричных ключей

      Самый сложный аспект создания симметричного ключа (E.г. Ключи DH) – это необходимое время вычислительного времени. Например, Diffie-Hellman использует большие целочисленные экспоненты в качестве основной функции своего алгоритма. Этот процесс занимает время. Во время этого «разрыва» Оукли должен ждать другого процесса, чтобы завершить вычисление. Чтобы защитить от злонамеренного процесса, маскирующегося в качестве другого процесса, Oakley использует слабую форму аутентификации источника с использованием токенов (называемых «файлами cookie») в ожидании детского процесса (E.г. Skeme), чтобы завершить и вернуть результат. Например, представьте, что, пока Окли ждет, когда Skeme завершит создание симметричного ключа DH, что злонамеренный процесс пытается маскировать в качестве ответного процесса SKEM. Если у Оукли нет оснований подозревать, что процесс скема был скомпрометирован, он примет ключ от Skeme и вернет его обратно в ISAKMP, который передает его запрашивающему (родительскому) процессу (E.г. Ikev2). Хотя этот сценарий может быть крайне маловероятным, по крайней мере, элементарный метод аутентификации Оукли обеспечивает некоторую уверенность, что такой сценарий еще менее склонна к успеху.

      Скем

      Skeme – это независимый протокол обмена ключами, ответственный за создание, обмен и освежающие криптографические ключи.

      Самые сложные из трех (3) протоколов, которые составляют IKEV2 и в основе его надежности, Skem.

      Ike/ikev2 зависит от Skeme для создания симметричных ключей и получения несимметричных ключей. Некоторые публикации называют Skeme более универсальным, чем Oakley. Однако это сравнение должно быть в значительной степени игнорировать. Хотя это правда в том смысле, что Скема не ограничивается симметричными клавишами, такие сравнения грязные воды грязно засыпают воды. Оукли и Скем имеют разные работы. Под IKE Skeme зависит от успешного завершения процессов Окли заранее.

      Skeme не проверяет ключи, хотя он применяет анонимность и невозвратирование к ключевым процессам генерации и обмена.

      Скем Обзор

      Вот несколько быстрых фактов о Skeme, которые помогут вам лучше понять, за что это отвечает:

      1. Создает симметричные ключи с использованием алгоритмов диффи-Хеллмана и хэша SHA/MD5
      2. Управляет ключевым обновлением/заменой
      3. Продвигает идеальную секретность (PFS) в IKE/IKEV2
      4. Глядя вверх PKI и X.509 ключей

      Скем также работает с Kerberos и Kink.

      Среда Kerberos имеет более высокий риск того, что обмен ключами Skeme поставлен под угрозу (по сравнению с IKEV2)

      Скем процесс поток

      Skem. Его три (3) фазы: Обмен, обмен и аутентификацию.

      Фаза 1 (акция)

      Степеники создают общий ключ вместе, с материалом Keying, предоставленным обоими сверстниками.

      

      Сверстники начинаются с обмена ключами PKI. Соответствующие клавиши используются для шифрования последующих сообщений, проходящих взад и вперед между сверстниками, которые используются для совместного создания симметричного (общего) ключа.

      Каждый сверстник поставляет 1/2 конечных компонентов ключа, которые в сочетании с уникальным идентификатором однорангового анализа (ранее обмененный идентификатор ассоциации безопасности из ISAKMP, IP -адрес или открытый ключ сертификата PKI; e; e;.г. Тот, который используется в фазе 1 IKE/IKEV2 и хэша с использованием односторонней хэш-функции (MD5 или SHA) для получения конечного симметричного ключа. 6

      1. Каждая сеть обеспечивает свой общедоступный ключ к другому сверстнику.
      2. Стежильные коллеги устанавливают безопасную связь друг с другом (два односторонних канала).
      3. Каждый сверстник создает новый криптографический ключ, но не делится им.
      4. Каждый сверстник анализирует 1/2 своего нового ключа и шифрует 1/2 клавиши в сочетании с идентификатором каждого сверстника, используя свой частный ключ PKI и отправляет его противнику противника.
      5. Противоборствующие сверстники расшифровывают 1/2 ключа и противоположный идентификатор сверстников, который они только что получили с открытым ключом других сверстников.
      6. Peer A создает хэш и доставляет его для сверстника B над (PKI) зашифрованным соединением.
      7. Каждый сверстник объединяет свои копии двух половинок ключей. 1/2 клавиша Peer A используется в качестве первого 1/2 ключа. Ключ 1/2 Peer B – вторая половина.
      8. Каждый сверстник независимо применяет хэш, предоставленный Peer A, к комбинированному ключу, что приводит к конечному симметричному ключу.

      Конечный результат: в конце фазы 1 каждый сверстник соединяет обе половины клавиш, чтобы собрать полный ключ и запускает хэш на нем (предоставленным коллегой A). Результатом является окончательный ключ, полученный на фазе 1.

      Peer “A” всегда относится к сетевому сверстнику, инициирующим процесс Skeme

      Фаза 2 (обмен)

      Обмен компонентов Diffie-Hellman.

      Фаза 2 SKEM. Обмен не аутентифицирован, но, как вы увидите, эта проблема решается на этапе 3. Компоненты DH в фазе 2 могут быть рассчитаны заранее. Когда Skeme называется как часть IKE/IKEV2, это именно то, что происходит. Процесс Oakley запускается до Skeme, а выходы от Oakley – это показатели DH, необходимые для фазы 2 Skeme.

      Фаза 3 (AUTH)

      Фаза 3 использует ключ из фазы 1 для аутентификации показателей ключа Diffie-Hellman, полученных из фазы 2.

      Вот где все становится интересным, и это суть к умной логике аутентификации Скема. Фаза 3 обеспечивает Аутентификация сообщения и предназначен для того, чтобы выявить присутствие злоумышленника MITM и/или попытки манипуляции с ключевыми. Если один или оба частных ключа из фазы 1 были скомпрометированы во время обмена ключами, этот факт будет выявлен на фазе 3. Как Скем это делает?

      Создание ключа сеанса (Post-Fase 3)

      Создание фактического ключа сеанса – последний шаг в Skeme.

      Это может показаться странным, но фактический процесс ключевого генерации находится вне поэтапного подхода Скема. Фазы Skeme на самом деле не создают клавиши сеансов. Скорее они накапливают информацию, необходимую для создания нового сеанса. Это позволяет генерации ключей сеанса и обмена ключами происходить – на временной основе – непреднамеренно на этапах проверки, в то время как все еще работает под зонтиком Skeme. Между тем, фактический процесс генерации ключей сеанса, который на этот момент является просто математическим, может быть выполнен параллельно с другими функциями.

      В некотором смысле, процесс генерации ключей можно рассматривать как выход Skeme. После фазы 3 материал обмена ключей и компоненты, необходимые для создания симметричного сеанса, все подтверждены. Единственное, что осталось сделать, это запустить запатентованный алгоритм Скема, чтобы создать ключ. Этот последний шаг находится за пределами этапов проверки (но часть Skeme).

      Важно отметить, что генерация ключей сеанса может работать параллельно с другими процессами, и для любого данного хоста, безусловно, может быть более одного процесса Skeme. Создание ключей сеанса часто является отстающим, когда дело доходит до установления и проверки новых соединений. Кроме того, хозяин может обработать новую сеанс -ключ быстрее, чем его сверстник. Если клавиши сеансов создаются в режиме реального времени, может быть задержка, в то время как более быстрая сетевая узла ожидает, пока более медленные коллеги наверстают упущенное, поместив соединение в приостановленную анимацию, пока два коллеги не смогут синхронизировать.

      Эта гибкость в управлении временем особенно важна для мобильных соединений и приложений с низкой задержкой. Это позволяет, например, Skem. Алгоритм генерации ключей может облагаться налогом на хост -устройстве. Это позволяет Skeme подготовиться к обмену ключами, прежде чем он на самом деле будет необходим, предотвращая нежелательные эффекты, такие как приостановка соединения, потому что таймер закончился, но новый ключ еще не вычислен. Поскольку Скем отвечает не только за создание ключа сеанса, но и за процесс обмена ключами в IKE, это имеет смысл. Предварительно настроенные ключи позволяют более эффективно обрабатывать соединения и управление ресурсами хост-устройства. Кроме того, IKEV2 (и по определению Skeme) часто отвечает за несколько одновременных соединений. Разрешение управления гибкими ключами дает более плавный опыт.

      Идеальная секретность в Скема

      Комбинация фазы 1 и фазы Skeme и фаза 2 обеспечивает идеальную прямую секретность (PFS).

      Фаза 3 использует идентификатор противостоящего сверстника для создания своей копии симметричного ключа; Таким образом, если этот идентификатор неверен (не такой же, как то, что противостоящий сверстник считает, что это идентификатор), окончательная проверка ключа потерпит неудачу. Оба сверстника должны получить одинаковые ключи в фазе 1 и фазе 2. В противном случае один или другой (или оба) сверстники не смогут правильно аутентифицировать клавиши на фазе 3. Общий ключ из фазы 1 используется для проверки ключа DH, созданного на фазе 2. Фаза 3 в основном подтверждает, что фазы 1 и 2 были успешными, а атакующий средний человек не присутствует.

      Предполагая, что один или другие частные клавиши PKI в фазе 1 не подвергаются скомпрометированию злоумышленника MITM, два (2) сетевые коллеги станут единственными хостами, способными знать полный ключ из фазы 1. Фаза 2 не приведет к правильному исходу, если 1 этап не был успешным.

      Фаза 3 аутентифицирует происхождение, свежесть и значения экспонентов Diffe-Hellman.

      Skeme не предоставляет аутентификацию устройства любого рода, кроме как проверить два устройства, обменивающие данные ключевых данных, согласованы на каждом этапе. Skeme не использует цифровые подписи, а его процессы аутентификации ограничены только аутентификацией сообщений. Skeme подтверждает, что его компоненты данных известны только двум (2) сетевым коллегам, участвующим в обмене, и эти устройства не изменились от начала до конца процесса Скема.

      Фаза 1 Skeme уязвима

      С точки зрения уязвимости, фаза 1 Скема является его слабым местом. Фазы 2 и 3 не уязвимы для атаки, если 1 фаза не была скомпрометирована.

      1. Ключ в фазе 3 не может быть рассчитана без обоих 1/2 клавиш, полученных во время фазы 1.
      2. Фаза 2 может быть скомпрометирована только в том случае, если фаза 1 скомпрометирована.

      Анализ: уязвимости обмена Key Key

      Окончательный симметричный ключ, сгенерированный Skeme, является его выходом: ключ сеанса. Создание его требует комбинации из шести (6) элементов, полученных из фаз 1 и 2:

      • Хэшированный симметричный ключ (фаза 1)
      • Peer A DH Exponent (этап 2)
      • Экспонент DH Peer B (этап 2)
      • Идентичность сверстника A (фаза 1)
      • Идентичность сверстника B (фаза 1)
      • Значение хеша сообщения (этап 1)

      Оба сверстника A и B независимо подтверждают эти значения на фазе 3. Если что -то пошло не так на этапе 1 или 2, конечный ключ не будет симметричным, и соединение не удастся.

      Формула ключа сеанса является собственностью Skeme. Это требует, чтобы каждый коллега по транзированию, полученных от другого, таким образом, чтобы, если коллеги не смогли должным образом обмениваться идентичными деталями на фазах 1 и 2 (например, если один или оба потока сверстников были скомпрометированы в транзите), их значения для вычисления в фазе 3 будут разными. Это приведет к тому, что ключи не будут симметричными. Если это произойдет, процесс прерывает до стадии генерации ключей сеанса, попытка связи не удастся, и/или соединение будет отброшено.

      Одной из интересных нюансов к подходу Skeme является компонент процесса ключевого генерации состоит из собственного уникального идентификатора каждого сверстника. Таким образом, если неверный идентификатор используется тем или иным узлом (например, если злоумышленник изменил один из ключевых обменов в транзите), процесс аутентификации на этапе 3 потерпит неудачу, независимо от того, пытается ли злоумышленник позволить сверстникам завершить процесс, или атакующий пытается перехватить одного сверстника и маскарада, как он. В любом случае, симметрия окончательной проверки потерпит неудачу, и присутствие злоумышленника будет обнаружена с помощью вывода.

      Другим интересным аспектом техники Скема является хэш послания. Вспомните, что хэш генерируется Peer A, который затем разделяет его со сверстником B над каналом PKI, созданным на фазе 1. Это означает, что коллега знает наверняка, что такое правильный хэш. Это также означает, что если хешированное общение от Peer A до сверстника B было изменено в пути, то окончательный ключ Peer B всегда не сможет соответствовать сверстнику A. Это также, вероятно, указывало на то, что хозяин.

      Красота подхода Skeme заключается в том, что только законно аутентифицированные коллеги -коллеги (A и B) будут способны достичь последнего шага и создать идентичные симметричные клавиши сеансов. Все три (3) части информации в фазе 1 необходимы для создания правильного симметричного ключа на фазе 3: обе половины ключей присутствуют, собраны в правильном порядке и хэш -коллег A. И в качестве бонуса, под эврецей IKE, Фаза 2 Бондс Скема с выходом Оукли. Exchange Fase 2 Diffie-Hellman зависит от вывода от процесса Oakley, который предшествует Skeme, добавив переменную, которая полностью выходит за пределы протокола Skeme. Если Оукли не в игре (e.г. Skeme не называется через Ike), Skeme имеет встроенный механизм для выбора показателей DH.

      Обнаружение других векторов атаки возможно благодаря последовательной реализации IKEV2 его базовых протоколов безопасности (ISAKMP/Oakley/Skeme). Как упомянуто выше, если процесс Oakley подвергается скомпрометированию либо для сверстников A, либо B, выработка Skeme, скорее всего, будет затронута; Даже если процесс Skeme не поставлен под угрозу (из-за неправильного соответствия показателей DH, полученных из Oakley). Аналогичным образом, Oakley подключен к ISAKMP, хотя только в смысле Oakley не запускается, если не преуспел процесс аутентификации устройства ISAKMP. Если какой-либо из этих компонентов был изменен в середине потока между сверстниками, например, злоумышленником MITM, новый симметричный ключ, сгенерированный на фазе 3, любым сверстником не совпадает, и когда IKEV2 попытается обработать обмен данными, процесс не удастся из-за неправильных симметричных ключей между сетью.

      Уменьшение воздействия уязвимости Скема

      Инновационный трехфазный подход Skeme к ключевым поколению похож на философию IKE/IKEV2. Скем предполагает, что текущий канал связи небезопасен, а злоумышленник MITM присутствует между сверстниками. Он предоставляет частичную информацию между аналогами, полагается на доверенный сторонний (CA Server), а на его последнем этапе завершается этап аутентификации, разработанный таким образом, чтобы только предполагаемые сетевые коллеги имели всю информацию, чтобы иметь возможность правильно проверить окончательный общий ключ.

      Каждый подход к безопасности имеет потенциальную уязвимость, и, несмотря на его интеллектуальный дизайн, Skeme ничем не отличается. Наиболее значимые потенциальные слабости Skeme относятся к его зависимости от ключей PKI в фазе 1. Это линчпин в своем дизайне. Конечно, эта возможность чрезвычайно редка, поскольку злоумышленник MITM должен был бы получить оба личных ключа (для каждого сверстника), чтобы захватить соединение и иметь какую -либо возможность взломать этап 2.

      Святость частных ключей сверстников – ахиллесовая пятка Скема. Несмотря на то, что они очень маловероятно, есть два (2), особенно уязвимые векторы атаки, должны быть оправданы обстоятельства:

      1. Слабые или общие личные ключи
      2. Скомпрометированный доверенный CA-сервер 3-й стороны

      Продуктивный метод защиты от обоих-это для обоих коллег для реализации одноразовых самоподобных сертификатов PKI на этапе 1. Это устраняет риск того, что злоумышленник MITM с использованием словаря атаки известных частных ключей коррелирует со сверстниками и возможность скомпрометированного доверенного сервера CA.

      Первый риск вызывает особую озабоченность, если оба сверстника имеют высокий трафик, общественные серверы, такие как те, которые используются в электронной коммерции. Различные исследования показали, что на многих веб-серверах неоднократно используется истинное небольшое количество ключей. Проницательный хакер с хорошо расположенной атакой MITM может вывести закрытый ключ, собирая и обратившившись на то, чтобы сделать большое количество транзакций в течение длительного периода времени. Это хорошо в сфере современных компьютеров, в которых достаточно времени и необработанных данных. Если бы какой -либо хозяин улучшил этот процесс, это значительно снизило бы риск успешной атаки MITM против сверстников, обменяющих ключи через Skeme.

      Второй сценарий, скорее всего, будет угрозой, когда сервер Kerberos выступает в качестве доверенного CA Server. В этом сценарии, вероятно, оба сверстника получают свои личные ключи PKI с одного и того же сервера. Это делает использование Skeme в среде Kerberos более высоким риском, чем другие реализации, потому что угроза, представляемая скомпрометированным сервером обмена ключами Kerberos.

      Ключевые переговоры

      Айк Демон, в.Iked, переговоры и подлинные материалы для SAS защищенным образом. Демон использует случайные семена для ключей от внутренних функций, предоставленных операционной системой Solaris. Айк обеспечивает идеальную секретность вперед (PFS). В PFS ключи, которые защищают передачу данных, не используются для получения дополнительных ключей. Кроме того, семена, используемые для создания клавиш передачи данных, не используются повторно. Смотрите в.Iked (1M) Man Page.

      Когда демон IKE обнаруживает общедоступный ключ шифрования удаленной системы, локальная система может затем использовать этот ключ. Система шифрует сообщения с помощью открытого ключа удаленной системы. Сообщения могут быть прочитаны только этой удаленной системой. Dake Daemon выполняет свою работу в двух этапах. Фазы называются обмены.

      Ключевая терминология

      В следующих таблицах перечислены термины, которые используются в ключевых переговорах, предоставляют их обычно используемые аббревиатуры и дают определение и использование для каждого термина.

      Ключевой термин переговоров

      Определение и использование

      Процесс создания ключей для асимметричных криптографических алгоритмов. Два основных метода-протоколы RSA и протокол Diffie-Hellman.

      Протокол обмена ключами, который включает в себя генерацию ключей и аутентификацию ключей. Часто называют аутентифицированный обмен ключами.

      Протокол обмена ключами, который включает в себя генерацию ключей и транспорт ключей. Протокол назван в честь трех создателей, Rivest, Shamir и Adleman.

      Идеальная секретность вперед

      Применяется только к аутентифицированному обмену ключами. PFS гарантирует, что долгосрочный секретный материал для ключей не ставит под угрозу секретность обмененных ключей от предыдущих сообщений.

      В PFS ключ, который используется для защиты передачи данных, не используется для получения дополнительных ключей. Кроме того, источник ключа, который используется для защиты передачи данных, никогда не используется для получения дополнительных ключей.

      Метод установления ключей для фазы 2 безопасным образом. Этот протокол аналогичен методу обмена ключами Диффи-Хеллмана. Подобно Diffie-Hellman, Exchange Key Group Group включает в себя генерацию ключей и аутентификацию ключей. Метод Oakley используется для согласования PFS.

      Айк фаза 1 обмен

      Обмен фазы 1 известен как Основной режим. На обмене фазы 1 IKE использует методы шифрования открытого ключа для аутентификации со стороны сверстников IKE Entines. Результатом является Ассоциация безопасности интернет -безопасности и протокол управления ключами (ISAKMP) (SA). ISAKMP SA является безопасным каналом для IKE, чтобы договориться о материалах Keying для Datagrams IP. В отличие от IPSEC SAS, SAS ISAKMP являются двунаправленными, поэтому необходима только одна ассоциация безопасности.

      Как IKE обсуждает материал Keying в обмене фазы 1 настраивается. Айк читает информацию о конфигурации из файла/etc/inet/ike/config. Информация о конфигурации включает следующее:

      • Глобальные параметры, такие как имена сертификатов открытого ключа
      • Используется ли идеальная секретность вперед (PFS)
      • Интерфейсы, которые затронуты
      • Протоколы безопасности и их алгоритмы
      • Метод аутентификации

      Два метода аутентификации – предварительные ключи и сертификаты открытых ключей. Сертификаты общедоступного ключа могут быть самопоглажными. Или сертификаты могут быть выпущены Сертифицированным органом (CA) из организации инфраструктуры общедоступного ключа (PKI). Организации включают в себя обреченные, доверие, геотрост, безопасность RSA и VeriSign.

      Айк фаза 2 обмен

      Обмен фазы 2 известен как Быстрый режим. На обмене фазы 2 Айк создает и управляет IPSec SAS между системами, которые управляют Dake Daemon. Айк использует безопасный канал, который был создан в обмене фазы 1 для защиты передачи материала Keying. Демон IKE создает клавиши из генератора случайных чисел с использованием /Dev /Random Device. Демон обновляет клавиши с настраиваемой скоростью. Материал Keying доступен для алгоритмов, которые указаны в файле конфигурации для политики IPSec, IpseCinit.конфликт .

      • Предыдущий: Управление ключами с IKE
      • Следующий: Выбор конфигурации IKE