IKE, protocole informatique : définition et présentation détaillée

L'Internet Key Exchange (IKE) est un protocole en deux phases, utilisé pour sécuriser les informations partagées dans IPsec.

Qu'est-ce que le protocole IKE ?

Le protocole IKE (Internet Key Exchange) a pour mission de sécuriser une connexion. Avant qu’une transmission IPsec soit réalisable, IKE se charge d’authentifier les deux parties tentant de se connecter au réseau informatique sécurisé, en échangeant des clés partagées. Cette méthode admet deux types d’identification : par Pre-Shared Key (PSK ou secret partagé) ou par la contribution de certificat. Utilisant alors la méthode du chiffrement symétrique, des clés de session sont engendrées. Ces deux protocoles d’identification se différencient pourtant. Avec le PSK, un utilisateur peut réfuter être à l’origine des requêtes envoyées. Alors qu’avec l’emploi d’un certificat signé par un tiers (nommé Autorité de Certification), la non-répudiation est assurée.

Comment fonctionne le protocole IKE ?

L’Internet Key Exchange fonctionne en deux phases.

La phase une est le mode principal, ou Main Mode. Pendant ce premier cycle, IKE, souhaitant s’authentifier auprès d’entités homologues, utilise des dispositifs de chiffrement de clés publiques. Il en découle alors une association de sécurité (Security Association, SA) ISAKMP (Internet Security Association and Key Management Protocol). Une SA ISAKMP est un moyen sécurisé sur lequel IKE se procure les numéros de clés des datagrammes IP. À l’inverse des SA IPsec, les SA ISAKMP sont bidirectionnelles. Une seule association de sécurité est donc nécessaire.

Pour qu’IKE génère les numéros de clé lors de cette première phase, une configuration est possible. Cela peut concerner des paramètres généraux (comme la dénomination des certificats de clés publiques), la méthode d’authentification, l’activation ou non du mode de confidentialité de transmission parfaite (PFS), les interfaces concernées, ou encore les protocoles de sécurité et leurs algorithmes.

Les deux procédés d’authentification emploient respectivement les clés pré-partagées et les certificats de clés publiques. Ces derniers peuvent être auto-signés ou réalisés par l’Autorité de Certification (AC) d’un fournisseur de clés publiques (PKI). Les plus connus étant beTrusted, Entrust, GeoTrust, RSA Security ou encore Verisign.

La phase deux est nommée mode rapide, ou Quick Mode. Lors de ce second cycle, l’Internet Key Exchange engendre et dirige les SA IPsec entre les systèmes qui l’exécutent. Pendant la première phase, un canal sécurisé a été engendré, IKE l’utilise donc pour protéger la circulation des numéros de clés. À partir d’un générateur de nombres aléatoires et à l’aide du périphérique/dev/random, IKE génère les clés. La fréquence d’actualisation des clés peut aussi être paramétrée. Le fichier de configuration ipsecinit.conf de la stratégie IPsec rend accessibles les numéros de clé aux algorithmes spécifiques.

Traduction

Exemple :

J'échange des informations à distance de manière sereine depuis que le protocole IKE a été mis en place.

I can exchange information remotely with more peace of mind since the IKE protocol has been implemented.