Intercambio de claves por Internet

Fiabilidad

¿Qué significa intercambio de claves de Internet?

El intercambio de claves de Internet (IKE) es un protocolo estándar de gestión de claves que se utiliza junto con el protocolo estándar de seguridad del protocolo de Internet (IPSec).

Proporciona seguridad para las negociaciones de redes privadas virtuales (VPN) y el acceso a la red de hosts aleatorios. También puede describirse como un método de intercambio de claves para el cifrado y la autenticación a través de un medio no seguro, como Internet.

IKE es un protocolo híbrido basado en:

  • ISAKMP (RFC2408): Los protocolos de asociación de seguridad de Internet y de gestión de claves se utilizan para la negociación y el establecimiento de asociaciones de seguridad. Este protocolo establece una conexión segura entre dos pares IPSec.
  • Oakley (RFC2412): Este protocolo se utiliza para el acuerdo o intercambio de claves. Oakley define el mecanismo que se utiliza para el intercambio de claves en una sesión IKE. El algoritmo por defecto para el intercambio de claves utilizado por este protocolo es el algoritmo Diffie-Hellman.
  • SKEME: Este protocolo es otra versión para el intercambio de claves.

IKE mejora IPsec proporcionando características adicionales junto con flexibilidad. Sin embargo, IPsec puede configurarse sin IKE.

IKE tiene muchas ventajas. Elimina la necesidad de especificar manualmente todos los parámetros de seguridad IPSec en ambos peers. Permite al usuario especificar un tiempo de vida determinado para la asociación de seguridad IPsec.

Además, el cifrado se puede cambiar durante las sesiones IPsec. Además, permite la autoridad de certificación. Por último, permite la autenticación dinámica de los peers.

Definición de intercambio de claves por Internet

IKE funciona en dos pasos. El primer paso establece un canal de comunicación autenticado entre los pares, mediante el uso de algoritmos como el intercambio de claves Diffie-Hellman, que genera una clave compartida para cifrar aún más las comunicaciones IKE.

El canal de comunicación formado como resultado del algoritmo es un canal bidireccional. La autenticación del canal se consigue utilizando una clave compartida, firmas o cifrado de clave pública.

Existen dos modos de funcionamiento para el primer paso: el modo principal, que se utiliza para proteger la identidad de los pares, y el modo agresivo, que se utiliza cuando la seguridad de la identidad de los pares no es una cuestión importante.

Durante el segundo paso, los pares utilizan el canal de comunicación seguro para establecer negociaciones de seguridad en nombre de otros servicios como IPSec. Estos procedimientos de negociación dan lugar a dos canales unidireccionales de los cuales uno es entrante y el otro saliente. El modo de funcionamiento del segundo paso es el modo rápido.

IKE proporciona tres métodos diferentes para la autenticación entre pares: autenticación mediante un secreto precompartido, autenticación mediante nonces encriptados RSA y autenticación mediante firmas RSA.

IKE utiliza las funciones HMAC para garantizar la integridad de una sesión IKE. Cuando expira el tiempo de vida de una sesión IKE, se realiza un nuevo intercambio Diffie-Hellman y se restablece la SA IKE.

Temas relacionados

Margaret Rouse
Senior Editor
Margaret Rouse
Experta en tecnología

Margaret Rouse es una galardonada escritora técnica y profesora conocida por su habilidad para explicar temas técnicos complejos a una audiencia de negocios no técnica. Durante los últimos veinte años, sus explicaciones han aparecido en sitios web de TechTarget y ha sido citada como autoridad en artículos del New York Times, Time Magazine, USA Today, ZDNet, PC Magazine y Discovery Magazine. La idea de diversión de Margaret es ayudar a profesionales de TI y negocios a aprender a hablar los idiomas altamente especializados de cada uno. Si tienes una sugerencia para una nueva definición o cómo mejorar una explicación técnica,…