Cryptography Reference
In-Depth Information
In der Phase 1 im
Main Mode
handelt der Initiator, der die IPSec-Verbindung aufbauen will,
mit dem Responder (Antwortenden) eine ISAKMP-SA (Security Association) aus. Eine SA
zwischen Kommunikationspartnern beinhaltet:
Identifikation der Kommunikationspartner z.B. mit IP-Adressen oder mit X.509-
Zertifikaten
Festlegung der eingesetzten Kryptoalgorithmen
Quell- und Zieladresse im (IP)-Netz für die IPsec-Verbindung
Zeitspanne, in der eine erneute Authentifizierung erforderlich wird und in der IPSec-
Schlüssel zu erneuern sind.
Initiator
Responder
Header, Vorschlag von
Algorithmen für die SA
Header, Algorithmen-Auswahl
Phase 1
Header, DH-PubParam ,
Nonce, optional Zertifikatsanfrage
Initiator
Initiator
Header, DH-PubParam ,
RND, optional Zertifikatsanfrage
Responder
Responder
Header, Identity ,
optional Zertifikat ,
Hash oder Signature
Initiator
Initiator
Abb. 6-9: ISAKMP im „Main
Mode“
Phase 2
Phase 2,
zwei Authentsierungsmöglich-
keiten:
Preshared Key oder
PKI.
Header, Identity
optional Zertifikat
Responder
Responder
Hash oder Signature
In Phase 1 werden Parameter, wie die Lebensdauer und die Authentisierungsmethoden für eine
IPSec-Verbindung ausgehandelt. Authentisierung und Schlüsselaustausch werden bei
ISAKMP im Main Mode zusätzlich über Diffie-Hellmann abgesichert (siehe im folgenden
Schritt 3 und 4, sowie Kap. 4.3). Dieser „IKE-Handshake“ umfasst folgende, in Abb. 6-9 dar-
gestellte Schritte:
