Protocolo Internet Key Exchange

A cada negociação bem sucedida, os servidores da VPN regeneram as chaves que protegem uma ligação, tornando assim mais difícil que um elemento estranho capture informações da ligação.  Além disso, se utilizar "perfect forward secrecy", os elementos estranhos não poderão adivinhar chaves futuras com base em informações sobre chaves passadas.

O gestor de chave da VPN do OS/400 é a implementação da IBM do protocolo Internet Key Exchange (IKE).  O gestor de chaves suporta a negociação automática das associações de segurança (SAs), bem como a geração e atualização automática das chaves criptográficas.

Uma associação de segurança (SA) contém informações necessárias para utilizar os protocolos IPSec.  Por exemplo, uma SA identifica tipos de algoritmos, comprimentos e durações de chaves, partes participantes e modos de encapsulamento.

As chaves criptográficas, como o nome deixa entender, bloqueiam, ou protegem, as informações, até que estas atinjam o destino final em segurança.

Nota:A geração segura das chaves é o fator mais importante no estabelecimento de uma ligação segura e privada.  Se as chaves forem postas em risco, os seus esforços de autenticação e codificação, por muito intensos que sejam, tornam-se inúteis.

Fases da gestão de chaves
O gestor de chaves da VPN do OS/400 utiliza duas fases distintas na implementação das mesmas.  A fase 1 estabelece um segredo mestre a partir do qual as chaves criptográficas subjacentes derivam, de modo a proteger o tráfego dos dados do utilizador.  Esta situação acontece mesmo se ainda não existir proteção de segurança entre os dois extremos.  A VPN do OS/400 utiliza o modo de assinatura RSA ou as chaves pré-partilhadas para autenticar as negociações de fase 1, bem como para estabelecer as chaves que protegem as mensagens IKE que circulam durante as negociações de fase 2 subsequentes.

Uma chave pré-partilhada é uma cadeia não trivial com até 128 caracteres de comprimento.  Ambos os extremos de uma ligação devem acordar a chave pré-partilhada.  A vantagem da utilização de chaves pré-partilhadas reside na simplicidade das mesmas, e a desvantagem prende-se com o fato de a senha partilhada ter de ser distribuída de forma exterior à banda, por exemplo por telefone ou por correio registado, antes das negociações de IKE.  Deve assim tratar a chave pré-partilhada como se tratasse de uma senha.  A autenticação Assinatura RSA fornece mais segurança que as chaves pré-partilhadas, uma vez que este modo utiliza certificados digitais para fornecer autenticação.  Deve configurar os certificados digitais através da utilização do Digital Certificate Manager (5722-SS1 opção 34).  Além disso, algumas soluções da VPN necessitam da Assinatura RSA para interoperabilidade.  Por exemplo, a VPN do Windows 2000 utiliza Assinatura RSA como o método assumido de autenticação.  Por fim, a Assinatura RSA fornece mais escalabilidade que as chaves pré-partilhadas.  Os certificados utilizados devem ter origem em autoridades de certificação da confiança de ambos os servidores de chaves.

A fase 2, por outro lado, negoceia as associações de segurança e as chaves que protegem a verdadeira permuta de dados de aplicação.  Atenção, até este ponto, nenhuns dados de aplicação foram realmente enviados.  A fase 1 protege as mensagens do IKE da fase 2.

Assim que as negociações da fase 2 estiverem concluídas, a VPN estabelece uma ligação segura e dinâmica na rede e entre os extremos que definiu para a ligação.  Todos os dados enviados pela VPN são entregues com o grau de segurança e eficiência acordado pelos servidores de chave, durante os processos de negociação da fase 1 e da fase 2.

De modo geral, as negociações de fase 1 são efetuadas uma vez por dia, enquanto que as da fase 2 são atualizadas a cada 60 minutos ou a cada cinco minutos.  Velocidades de atualização mais rápidas aumentam a segurança dos dados, mas diminuem o rendimento do sistema.  Utilize durações de chave curtas para proteger os dados mais sensíveis.

Quando cria uma VPN dinâmica através da utilização da VPN do OS/400, deve definir uma política do IKE para permitir negociações de fase 1 e uma política de dados para reger negociações de fase 2.

Leituras sugeridas
Se quer obter mais informações sobre o protocolo Internet Key Exchange (IKE) e a gestão de chaves, deve rever os seguintes Request for Comments (RFC) da Internet Engineering Task Force (IETF):

  • RFC 2407, The Internet IP Security Domain of Interpretation for ISAKMP
  • RFC 2408, Internet Security Association and Key Management Protocol (ISAKMP)
  • RFC 2409, The Internet Key Exchange (IKE)

Pode visualizar estes RFCs na Internet, no seguinte site da Web: https://www.rfc-editor.org .

Crie um site grátis Webnode