Ассоциация интернет-безопасности и протокол управления ключами

Протокол ассоциации безопасности Интернета и протокол управления ключами ( ISAKMP ) — это протокол, определенный в RFC 2408 для установления ассоциации безопасности (SA) и криптографических ключей в среде Интернета. ISAKMP предоставляет только основу для аутентификации и обмена ключами и предназначен для независимости от обмена ключами; такие протоколы, как Интернет-обмен ключами (IKE) и Kerberized Интернет-согласование ключей (KINK), предоставляют аутентифицированный ключевой материал для использования с ISAKMP. Например: IKE описывает протокол, использующий часть Oakley и часть SKEME в сочетании с ISAKMP для получения аутентифицированного ключевого материала для использования с ISAKMP и для других ассоциаций безопасности, таких как AH и ESP, для IETF IPsec DOI. ^[1]

Обзор

ISAKMP определяет процедуры аутентификации взаимодействующего узла, создания и управления ассоциациями безопасности , методы генерации ключей и смягчения угроз (например, атак типа «отказ в обслуживании» и повторного воспроизведения). В качестве основы, ^[1] ISAKMP обычно использует IKE для обмена ключами, хотя были реализованы и другие методы, такие как Kerberized Интернет-согласование ключей . С использованием этого протокола формируется предварительная SA; позже делается новая манипуляция.

ISAKMP определяет процедуры и форматы пакетов для установления, согласования, изменения и удаления ассоциаций безопасности. SA содержат всю информацию, необходимую для выполнения различных служб сетевой безопасности, таких как службы уровня IP (например, аутентификация заголовка и инкапсуляция полезной нагрузки), службы транспортного или прикладного уровня или самозащита трафика согласования. ISAKMP определяет полезные данные для обмена данными генерации ключей и аутентификации. Эти форматы обеспечивают согласованную основу для передачи ключей и данных аутентификации, независимую от метода генерации ключей, алгоритма шифрования и механизма аутентификации.

ISAKMP отличается от протоколов обмена ключами тем, что позволяет четко отделить детали управления ассоциациями безопасности (и управления ключами) от деталей обмена ключами. Может существовать множество различных протоколов обмена ключами, каждый из которых имеет разные свойства безопасности. Однако необходима общая структура для согласования формата атрибутов SA, а также для согласования, изменения и удаления SA. ISAKMP служит этой общей основой.

ISAKMP может быть реализован по любому транспортному протоколу. Все реализации должны включать возможность отправки и получения для ISAKMP с использованием UDP на порту 500.

Выполнение

OpenBSD впервые реализовала ISAKMP в 1998 году с помощью своего программного обеспечения isakmpd(8) .

Эту функцию выполняет служба служб IPsec в Microsoft Windows .

Проект KAME реализует ISAKMP для Linux и большинства других BSD с открытым исходным кодом .

Современные маршрутизаторы Cisco реализуют ISAKMP для согласования VPN.

Уязвимости

Утекшие презентации АНБ , опубликованные Der Spiegel, показывают, что ISAKMP неизвестным образом используется для расшифровки трафика IPSec, как и IKE . ^[2] Исследователи, обнаружившие атаку Logjam , заявляют, что взлом 1024-битной группы Диффи-Хеллмана приведет к поломке 66% VPN-серверов, 18% из миллиона крупнейших доменов HTTPS и 26% SSH-серверов, что соответствует утечкам, согласно данным исследователи. ^[3]

См. также

Ссылки

^ Перейти обратно: ^а ^б «1. Аннотация». Интернет-обмен ключами (IKE) . дои : 10.17487/RFC2409 . РФК 2409 .
^ Полевые возможности: Обзор конструкции сквозной VPN SPIN9 (PDF) , АНБ через «Der Spiegel», стр. 5
^ Адриан, Дэвид; Бхаргаван, Картикеян; Дурумерик, Закир; Годри, Пьеррик; Грин, Мэтью; Халдерман, Дж. Алекс; Хенингер, Надя ; Спринголл, Дрю; Томе, Эммануэль; Валента, Люк; ВандерСлот, Бенджамин; Вустроу, Эрик; Занелла-Бегелен, Сантьяго; Циммерманн, Пол (октябрь 2015 г.). Несовершенная прямая секретность: как Диффи-Хеллман терпит неудачу на практике (PDF) . 22-я конференция ACM по компьютерной и коммуникационной безопасности (CCS '15). Денвер . Проверено 15 июня 2016 г.

Внешние ссылки

RFC 2408 — Ассоциация интернет-безопасности и протокол управления ключами
RFC 2407 — Домен IP-безопасности Интернета для интерпретации ISAKMP

[rfc2409_sec1-1] Перейти обратно: ^а ^б «1. Аннотация». Интернет-обмен ключами (IKE) . дои : 10.17487/RFC2409 . РФК 2409 .

[2] Полевые возможности: Обзор конструкции сквозной VPN SPIN9 (PDF) , АНБ через «Der Spiegel», стр. 5

[3] Адриан, Дэвид; Бхаргаван, Картикеян; Дурумерик, Закир; Годри, Пьеррик; Грин, Мэтью; Халдерман, Дж. Алекс; Хенингер, Надя ; Спринголл, Дрю; Томе, Эммануэль; Валента, Люк; ВандерСлот, Бенджамин; Вустроу, Эрик; Занелла-Бегелен, Сантьяго; Циммерманн, Пол (октябрь 2015 г.). Несовершенная прямая секретность: как Диффи-Хеллман терпит неудачу на практике (PDF) . 22-я конференция ACM по компьютерной и коммуникационной безопасности (CCS '15). Денвер . Проверено 15 июня 2016 г.

[1]

[2]

[3]