Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
6.3. KEYMANAGEMENT-PROTOKOLLE<br />
Protokollphasen: Phase II – Quick Mode<br />
In der zweiten Phase werden SAs für andere Protokolle (z.B. IPSec) etabliert. Die dazu verwendete<br />
Betriebsart heißt Quick Mode. Die Etablierung erfolgt bereits unter dem Schutz der <strong>in</strong> Phase e<strong>in</strong>s vere<strong>in</strong>barten<br />
ISAKMP SA. Der Quick Mode wird an den Nachrichten-IDs im ISAKMP Header erkannt.<br />
Im wesentlichen besteht der Quick Mode aus der Verhandlung e<strong>in</strong>er SA für e<strong>in</strong> Protokoll, sowie den<br />
Austausch von Zufallszahlen, um neues Schlüsselmaterial bereitzustellen und Wiederholungsangriffe<br />
(replay attacks) zu erkennen. Die Etablierung der SA erfolgt <strong>in</strong> drei Nachrichten. In der ersten Nachricht<br />
übermittelt der Initiator e<strong>in</strong>en Vorschlag über die zu verwendenen kryptographischen Verfahren<br />
(SA) und gegebenenfalls das Schlüsselmaterial zur Ableitung von Sitzungsschlüsseln. Die zweite<br />
Nachricht enthält die von dem Empfänger ausgewählten Verfahren und gegebenenfalls das Schlüsselmaterial<br />
zur Ableitung von Sitzungsschlüsseln. Die dritte Nachricht authentisiert die vorherigen<br />
Nachrichten.<br />
In itia tor<br />
Responde r<br />
HDR# HASH(1) , SA, Ni, [KE ], [ID_ i, ID_r]<br />
HDR# , HASH(3)<br />
HDR# , HASH(2), SA, Nr, [KE ], [ID_ i, ID_r]<br />
# = ve rsch lüsse lt<br />
Abbildung 6.3: Quick Mode<br />
Weiterh<strong>in</strong> gibt es <strong>in</strong> IKE noch Betriebsarten, die ke<strong>in</strong>er Phase genau zuzuordnen s<strong>in</strong>d. Diese werden<br />
hier jedoch nicht besprochen.<br />
Zusammenfassung<br />
IKE ist e<strong>in</strong> Keymanagementprotokoll auf der Anwendungsebene, welches Protokollen auf anderen<br />
Ebenen den Dienst zur Etablierung von SAs bereitstellt. Dafür werden zwei Verhandlungsphasen genutzt.<br />
In Phase I erfolgt die Etablierung e<strong>in</strong>er ISAKMP SA, mit der die Etablierung der SAs anderer<br />
Protokolle <strong>in</strong> Phase II geschützt wird. Der Austausch von Schlüsselmaterial während der Phasen erfolgt<br />
<strong>in</strong> unterschiedlichen Betriebsarten mit dem Diffie Hellman Verfahren. In Phase I kann zwischen<br />
Ma<strong>in</strong> und Aggressive Mode gewählt werden. Die Authentisierung erfolgt mit digitalen Signaturen,<br />
vorher ausgetauschten öffentlichen Schlüsseln oder privaten Schlüsseln. Phase II stellt den Quick<br />
Mode zur Etablierung der SAs anderer Protokolle bereit. Die Authentisierung erfolgt durch die <strong>in</strong><br />
Phase I etablierte ISAKMP SA. IKE bricht mit dem Entwurfspr<strong>in</strong>zip, nach dem jede Protokollschicht<br />
SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong> 95