Lo scambio di chiavi Internet (IKE) è un insieme di protocolli di supporto creati dalla Task Force (IETF) di Internet Engineering e utilizzati con gli standard di sicurezza Internet Protocol Security (IPSEC) per fornire comunicazioni sicure tra due dispositivi o peer, su una rete.Come protocollo, IKE può essere utilizzato in una serie di applicazioni software.Un esempio comune è la creazione di una rete privata virtuale sicura (VPN).Sebbene standard praticamente su tutti i moderni sistemi operativi per computer e apparecchiature di networking, gran parte di ciò che fa lo scambio di chiavi Internet è nascosto dalla vista dell'utente medio.

I protocolli in Ike stabiliscono quella che viene chiamata un'associazione di sicurezza (SA) tra due o piùPeer su IPSEC, che è necessario per qualsiasi comunicazione sicura tramite IPSEC.La SA definisce l'algoritmo crittografico utilizzato nella comunicazione, nelle chiavi di crittografia e nelle loro date di scadenza;Tutto questo va quindi nel database dell'associazione di sicurezza dei peer (SAD).Mentre IPSEC può avere la sua SA configurata manualmente, lo scambio di chiavi Internet negozia e stabilisce automaticamente le associazioni di sicurezza tra i pari, inclusa la capacità di crearne una propria.

Lo scambio di chiavi Internet è noto come protocollo ibrido.IKE utilizza un framework di protocollo noto come Internet Security Association e Key Management Protocol (ISAKMP).ISAKMP fornisce a Ike la capacità di stabilire la SA e svolge i lavori di definizione del formato del payload di dati e decisione sul protocollo di scambio chiave che verrà utilizzato.ISAKMP è in grado di utilizzare diversi metodi per lo scambio di chiavi, ma la sua implementazione in IKE utilizza aspetti di due.La maggior parte del processo di scambio chiave utilizza il metodo Oakley (Oakley Key Detercidertion Protocol), che definisce le varie modalità, ma IKE utilizza anche parte del metodo SKEME del meccanismo di Exchange Key (SKEME), che consente la crittografia delle chiavi pubbliche e ha la capacità diAggiorna rapidamente le chiavi.

Quando i colleghi desiderano comunicare in modo sicuro, inviano ciò che si chiama traffico interessante l'uno con l'altro.Il traffico interessante sono i messaggi che aderiscono a una politica IPsec che è stata stabilita sui coetanei.Un esempio di questa politica trovata in firewall e router è chiamato elenco di accesso.All'elenco di accesso viene fornita una politica di crittografia attraverso la quale determinate dichiarazioni all'interno della politica determinano se i dati specifici inviati sulla connessione debbano essere crittografati o meno.Una volta che i coetanei interessati alla comunicazione sicuri hanno abbinato una politica di sicurezza IPSEC tra loro, inizia il processo di scambio di chiave Internet.

Il processo IKE si svolge in fasi.Molte connessioni sicure iniziano in uno stato non garantito, quindi la prima fase negozia come i due colleghi continueranno il processo di comunicazione sicura.Ike prima autentica l'identità dei coetanei e quindi protegge le loro identità determinando quali algoritmi di sicurezza utilizzeranno entrambi i pari.Utilizzando il protocollo di crittografia a chiave pubblica Diffie-Hellman, che è in grado di creare chiavi di corrispondenza tramite una rete non protetta, lo scambio di chiave Internet crea chiavi di sessione.IKE termina la fase 1 creando una connessione sicura, un tunnel, tra i coetanei che verranno utilizzati nella fase 2.

Quando Ike entra nella fase 2, i pari usano il nuovo IKE SA per la configurazione dei protocolli IPSEC che useranno durante ilresto della loro connessione.Viene stabilita un'intestazione di autenticazione (AH) che verificherà che i messaggi inviati siano ricevuti intatti.I pacchetti devono anche essere crittografati, quindi IPSEC utilizza quindi il Protocollo di sicurezza incapsulante (ESP) per crittografare i pacchetti, mantenendoli al sicuro dagli occhi indiscreti.L'AH è calcolato in base al contenuto del pacchetto e il pacchetto viene crittografato, quindi i pacchetti sono fissati da chiunque stia tentando di sostituire i pacchetti con quelli falsi o leggere il contenuto di un pacchetto.

Ike scambia anche i non PE crittografici durante la fase 2. Un nonce è un numero o una stringa che viene utilizzato una sola volta.Il nonce èquindi utilizzato da un peer se è necessario creare una nuova chiave segreta o per impedire a un utente malintenzionato di generare SAS falsi, impedendo a ciò che è chiamato un attacco di replay.

I benefici di un approccio multi-fase per IKE sono che utilizzando la fase 1SA, entrambi i pari possono avviare una fase 2 in qualsiasi momento per rinegoziare una nuova SA per garantire che la comunicazione rimanga sicura.Dopo che lo scambio di chiave Internet completa le sue fasi, viene creato un tunnel IPSEC per lo scambio di informazioni.I pacchetti inviati tramite il tunnel vengono crittografati e decrittografati secondo il SAS stabilito durante la Fase 2. Al termine, il tunnel termina, scadendo in base a un limite di tempo predeterminato o dopo che una certa quantità di dati è stata trasferita.Naturalmente, ulteriori negoziati IKE di Fase 2 possono mantenere il tunnel aperto o, in alternativa, avviare una nuova negoziazione di fase 1 e fase 2 per stabilire un nuovo tunnel sicuro.