Ассоциация интернет-безопасности и протокол управления ключами - Internet Security Association and Key Management Protocol
Ассоциация интернет-безопасности и протокол управления ключами (ИСАКМП) - протокол, определяемый RFC 2408 для создания Ассоциация безопасности (SA) и криптографические ключи в среде Интернета. ISAKMP предоставляет только основу для аутентификации и обмена ключами и разработан так, чтобы не зависеть от обмена ключами; протоколы, такие как Обмен ключами в Интернете (IKE) и Керберизованное Интернет-согласование ключей (KINK) предоставляет материал для аутентификации ключей для использования с ISAKMP. Например: IKE описывает протокол, использующий часть Oakley и часть SKEME в сочетании с ISAKMP для получения аутентифицированного ключевого материала для использования с ISAKMP, а также для других ассоциаций безопасности, таких как AH и ESP для IETF IPsec DOI.[1]
Обзор
ISAKMP определяет процедуры для аутентификации взаимодействующего партнера, создания и управления Ассоциации безопасности, генерация ключей методы и смягчение угроз (например, отказ в обслуживании и повторные атаки). В качестве основы[1] ISAKMP обычно использует АЙК для обмена ключами, хотя были реализованы и другие методы, такие как Керберизованное Интернет-согласование ключей. Предварительная SA формируется с использованием этого протокола; позже выполняется новый ввод.
ISAKMP определяет процедуры и форматы пакетов для установления, согласования, изменения и удаления ассоциаций безопасности. SA содержат всю информацию, необходимую для выполнения различных служб сетевой безопасности, таких как службы уровня IP (например, аутентификация заголовка и инкапсуляция полезной нагрузки), службы транспортного или прикладного уровня или самозащита согласованного трафика. ISAKMP определяет полезные данные для обмена данными генерации ключей и аутентификации. Эти форматы обеспечивают согласованную структуру для передачи ключей и данных аутентификации, которая не зависит от метода генерации ключей, алгоритма шифрования и механизма аутентификации.
ISAKMP отличается от протоколы обмена ключами чтобы четко отделить детали управления ассоциациями безопасности (и управления ключами) от деталей обмена ключами. Может быть много разных протоколов обмена ключами, каждый с разными свойствами безопасности. Однако общая структура требуется для согласования формата атрибутов SA и для согласования, изменения и удаления SA. ISAKMP служит этой общей структурой.
ISAKMP может быть реализован по любому транспортному протоколу. Все реализации должны включать возможность отправки и получения для ISAKMP с использованием UDP в порту 500.
Реализация
OpenBSD впервые внедрил ISAKMP в 1998 г. isakmpd (8) программного обеспечения.
В IPsec Услуги Сервис в Майкрософт Виндоус обрабатывает эту функцию.
В КАМЕ проект реализует ISAKMP для Linux и большинства других программ с открытым исходным кодом BSD.
Современный Cisco маршрутизаторы реализуют ISAKMP для согласования VPN.
Уязвимости
Утечка АНБ презентации, выпущенные Der Spiegel ' указывают, что ISAKMP используется неизвестным образом для дешифрования трафика IPSec, как и АЙК.[2] Исследователи, открывшие Тупиковая атака заявить, что нарушение 1024-битного Группа Диффи – Хеллмана приведет к поломке 66% серверов VPN, 18% из миллиона доменов HTTPS и 26% серверов SSH, что, по мнению исследователей, согласуется с утечками.[3]
Смотрите также
использованная литература
- ^ а б В Обмен ключами в Интернете (АЙК), RFC 2409, §1 Аннотация
- ^ Полевые возможности: обзор дизайна сквозного VPN SPIN9 (PDF), АНБ через «Шпигель», стр. 5
- ^ Адриан, Дэвид; Бхаргаван, Картикеян; Дурумерик, Закир; Годри, Пьеррик; Грин, Мэтью; Халдерман, Дж. Алекс; Хенингер, Надя; Спринголл, Дрю; Томе, Эммануэль; Валента, Люк; VanderSloot, Бенджамин; Вустров, Эрик; Занелла-Бегелен, Сантьяго; Циммерманн, Пауль (октябрь 2015 г.). Несовершенная прямая секретность: как Диффи-Хеллман терпит неудачу на практике (PDF). 22-я конференция ACM по компьютерной и коммуникационной безопасности (CCS ’15). Денвер. Получено 15 июн 2016.