Définition - Que signifie Internet Key Exchange (IKE)?
Internet Key Exchange (IKE) est une norme de protocole de gestion de clés utilisée conjointement avec le protocole standard IPSec (Internet Protocol Security). Il assure la sécurité des négociations des réseaux privés virtuels (VPN) et l'accès au réseau à des hôtes aléatoires. Il peut également être décrit comme une méthode d'échange de clés pour le cryptage et l'authentification sur un support non sécurisé, tel qu'Internet.
IKE est un protocole hybride basé sur:
- ISAKMP (RFC2408): les protocoles d'association de sécurité Internet et de gestion de clés sont utilisés pour la négociation et l'établissement d'associations de sécurité. Ce protocole établit une connexion sécurisée entre deux homologues IPSec.
- Oakley (RFC2412): ce protocole est utilisé pour l'accord de clé ou l'échange de clé. Oakley définit le mécanisme utilisé pour l'échange de clés sur une session IKE. L'algorithme par défaut pour l'échange de clés utilisé par ce protocole est l'algorithme Diffie-Hellman.
- SKEME: Ce protocole est une autre version pour l'échange de clés.
IKE améliore IPsec en fournissant des fonctionnalités supplémentaires ainsi que de la flexibilité. Cependant, IPsec peut être configuré sans IKE.
L'IKE présente de nombreux avantages. Il élimine le besoin de spécifier manuellement tous les paramètres de sécurité IPSec sur les deux homologues. Il permet à l'utilisateur de spécifier une durée de vie particulière pour l'association de sécurité IPsec. De plus, le cryptage peut être modifié pendant les sessions IPsec. De plus, il autorise l'autorité de certification. Enfin, il permet une authentification dynamique des pairs.
Definir Tech explique l'échange de clés Internet (IKE)
L'IKE fonctionne en deux étapes. La première étape établit un canal de communication authentifié entre les pairs, en utilisant des algorithmes comme l'échange de clés Diffie-Hellman, qui génère une clé partagée pour crypter davantage les communications IKE. Le canal de communication formé à la suite de l'algorithme est un canal bidirectionnel. L'authentification du canal est obtenue en utilisant une clé partagée, des signatures ou un cryptage à clé publique.
Il existe deux modes de fonctionnement pour la première étape: le mode principal, qui est utilisé pour protéger l'identité des pairs, et le mode agressif, qui est utilisé lorsque la sécurité de l'identité des pairs n'est pas un problème important. Au cours de la deuxième étape, les pairs utilisent le canal de communication sécurisé pour mettre en place des négociations de sécurité pour le compte d'autres services comme IPSec. Ces procédures de négociation donnent lieu à deux canaux unidirectionnels dont l'un est entrant et l'autre sortant. Le mode de fonctionnement de la deuxième étape est le mode rapide.
IKE fournit trois méthodes différentes pour l'authentification par les pairs: l'authentification à l'aide d'un secret pré-partagé, l'authentification à l'aide de nonces cryptés RSA et l'authentification à l'aide de signatures RSA. IKE utilise les fonctions HMAC pour garantir l'intégrité d'une session IKE. Lorsqu'une durée de vie de session IKE expire, un nouvel échange Diffie-Hellman est effectué et la SA IKE est rétablie.