adplus-dvertising

Internet Key Exchange (IKE)

Internet Key Exchange (IKE)

Internet Key Exchange (IKE) est une norme de protocole de gestion de clés utilisée conjointement avec le protocole standard IPSec (Internet Protocol Security). Il assure la sécurité des négociations des réseaux privés virtuels (VPN) et de l'accès réseau à des hôtes aléatoires. Il peut également être décrit comme une méthode d'échange de clés pour le cryptage et l'authentification sur un support non sécurisé, tel qu'Internet.

IKE est un protocole hybride basé sur :

  •  ISAKMP (RFC2408) : les protocoles d'association de sécurité Internet et de gestion de clés sont utilisés pour la négociation et l'établissement d'associations de sécurité. Ce protocole établit une connexion sécurisée entre deux homologues IPSec.
  •  Oakley (RFC2412) : ce protocole est utilisé pour l'accord ou l'échange de clés. Oakley définit le mécanisme utilisé pour l'échange de clés sur une session IKE. L'algorithme par défaut pour l'échange de clés utilisé par ce protocole est l'algorithme Diffie-Hellman.
  •  SKEME : Ce protocole est une autre version pour l'échange de clés.

IKE améliore IPsec en fournissant des fonctionnalités supplémentaires ainsi qu'une certaine flexibilité. IPsec peut toutefois être configuré sans IKE.

IKE présente de nombreux avantages. Il élimine le besoin de spécifier manuellement tous les paramètres de sécurité IPSec sur les deux pairs. Il permet à l'utilisateur de spécifier une durée de vie particulière pour l'association de sécurité IPsec (SA). De plus, le cryptage peut être modifié pendant les sessions IPsec. De plus, il autorise l'autorité de certification. Enfin, il permet l'authentification dynamique des pairs.

L'IKE fonctionne en deux étapes. La première étape établit un canal de communication authentifié entre les pairs, en utilisant des algorithmes tels que l'échange de clés Diffie-Hellman, qui génère une clé partagée pour crypter davantage les communications IKE. Le canal de communication formé à la suite de l'algorithme est un canal bidirectionnel. L'authentification du canal est réalisée en utilisant une clé partagée, des signatures ou un cryptage à clé publique.

Il existe deux modes de fonctionnement pour la première étape : le mode principal, qui est utilisé pour protéger l'identité des pairs, et le mode agressif, qui est utilisé lorsque la sécurité de l'identité des pairs n'est pas un problème important.

Au cours de la deuxième étape, les pairs utilisent le canal de communication sécurisé pour mettre en place des négociations de sécurité au nom d'autres services comme IPSec. Ces procédures de négociation donnent lieu à deux canaux unidirectionnels dont l'un est entrant et l'autre sortant. Le mode de fonctionnement de la deuxième étape est le mode rapide.

IKE propose trois méthodes différentes pour l'authentification des paires :

  •  Authentification à l'aide d'un secret pré-partagé,
  •  Authentification à l'aide de nonces cryptés RSA et
  •  Authentification à l'aide de signatures RSA.

IKE utilise les fonctions HMAC pour garantir l'intégrité d'une session IKE. Lorsqu'une durée de vie de session IKE expire, un nouvel échange Diffie-Hellman est effectué et la SA IKE est rétablie.

Partager ce cours avec tes amis :
Rédigé par ESSADDOUKI Mostafa
ESSADDOUKI
The education of the 21st century opens up opportunities to not merely teach, but to coach, mentor, nurture and inspire.