Galactic Civilizations 3
IPsec - IKE Détails

IPsec - IKE Détails

Catégorie: Sécurité.
Posté par le 02/10/2011.
Dernière mise à jour le 02/10/2011.

<<Tutoriel précédent    Tutoriel suivant>>

Description

Cette partie vous expliquera en détails la phase d’échange de clés du protocole IKE. Celle-ci possède deux modes : le mode principal et le mode agressif.

Mode principal

IPsec Mode principal

  1. Crypto_suite : liste des algorithmes que A supporte.
  2. Crypto_suite_chosen : Algorithme choisis.
  3. YA : Echange Diffie-Hellman (permet de générer KAB).
  4. YB : Echange Diffie-Hellman (permet de générer KAB).
    Rem : Anonymous DH : pas d’identité, seulement l’adresse IP.
  5. KAB(A, proof I’m A) : Permet de vérifier l’intégrité de l’échange de A vers B.
  6. KAB(B, proof I’m B) : Permet de vérifier l’intégrité de l’échange de B vers A.

L’identité des parties est cachée lors du transfert des deux derniers messages car ceux-ci sont chiffrés avec la clé établie lors des deux messages précédents (3 et 4). Cette clé est calculée en parallèle à l’aide des valeurs de DH (YA et YB).

Des nonces sont utilisés lors de l’échange des valeurs de DH (utilisées dans le mode principal et dans le mode agressif). Ces dernières protègent contre une éventuelle attaque de rejeu. De plus, elles interviennent dans le calcul de la clé partagée par Diffie-Hellman. A partir de la clé obtenue, trois clés sont alors dérivées : deux seront utilisées pour chiffrer et authentifier les messages suivants (limité à IKE SA) et la troisième sera utilisée lors de la phase 2 pour dériver les clés SA IPSec. L’avantage des nonces est que l’on peut par la suite réutiliser les valeurs de DH avec des nouvelles nonces pour générer des clés différentes, et ce malgré des valeurs DH identiques.

Pour prouver son identité, l’émetteur prouve qu’il connait la clé associé à l’identité.  Ce qui peut être basé sur :

  • Un secret partagé
  • Une paire de clés privée/publiques

Typiquement on utilise un hash de la clé associée avec l’identité et de tous les messages précédents (afin de vérifier l’intégrité par la même occasion).

Mode agressif

IPsec Mode agressif

Le mode agressif n’utilise que trois messages.

  1. A, YA, Crypto_proposal : DH + algorithme proposé (à prendre ou à laisser).
  2. B, YB, proof I’m B : DH + preuve.
  3. proof I’m A : preuve.

Ici les identités ne sont pas masquées étant donné qu’une clé de session n’a pas encore été établie (pas chiffré). Après le message 3 si A reçoit un message de refus de B elle n’a aucun moyen de vérifier l’identité de celui-ci puisque aucune clé de session n’a encore été établie. La spécification d’IKE ne précise pas quoi faire dans ce cas, mais une bonne solution serait pour A de recontacter B en utilisant le mode principal.

Tu as aimé ce tutoriel ?
Aide nous à améliorer le site ! Deviens partenaire officiel ou suis nous sur facebook !

<<Tutoriel précédent    Tutoriel suivant>>

Commentaires[0]

Tu as aimé ce tutoriel ? Alors partage-le avec tes amis !
Partager sur Facebook Partager sur Twitter Partager sur Myspace Partager sur Stumbleupon Soumettre sur Reddit Partager sur Digg Ajouter à vos favoris Technorati Ajouter à vos favoris Live Ajouter à vos favoris Google Ajouter sur vos favoris Yahoo Voir le flux rss

Mots Clés: DH Diffie-Hellman IKE IPsec mode agressif mode principal Securite

Veve :
(11/04/2013 - 17:19:44)
il faut juste mettre "sudo" à la place de "su" pour exécuter la commande en root

Veve :
(11/04/2013 - 17:18:56)
Salut tu peux aller lire ce tutoriel: http://www.tutorielsenfolie.com/tutoriels-63-installation-configuration-opennebula.html Il fonctionne aussi sous ubuntu

safa.souissi4 :
(10/04/2013 - 20:58:13)
s'il vous plait c urgent :(

safa.souissi4 :
(10/04/2013 - 20:56:25)
bonsoir,je cherche un tutos pour installer opennebula.org sous ubuntu 12.

Veve :
(18/03/2013 - 20:07:49)
oui, j'essaye de voir d'ou viens le problème.

sonde :
(18/03/2013 - 13:29:57)
re merci (j apprend un peu plus) je crois que j ai trouver pourquoi je peu pas poster si il y a ligne code impossible de poster lol

Veve :
(17/03/2013 - 21:34:49)
Salut, j'espère que ça t'a aidé.

sonde :
(17/03/2013 - 09:59:02)
pour ton aide

sonde :
(17/03/2013 - 09:57:36)
slt Veve impossible de laisser com

sonde :
(17/03/2013 - 09:56:55)
??

Demi-dieu :
(15/03/2013 - 18:41:13)
salut ^^

sonde :
(13/03/2013 - 14:49:35)
un petit coucou

Tanamoureuse :
(29/09/2011 - 06:11:08)
Je t'aime

Faire un don

Ma Publicité ici


Faire un don