Security auf dem Network Layer

ISAKMP Phase 2

Der Aggressive Mode verkürzt die Phase 1 auf nur drei Nachrichtentransfers. Der Initiator schickt im ersten Paket neben dem vorgeschlagenen Verfahren auch gleich seinen öffentlichen Diffie-Hellman-Schlüssel mit. Dem Responder bleibt nichts anderes übrig, als das Angebot anzunehmen oder zu verwerfen.

Auf der Grundlage der gesicherten Kommunikation zur Übermittlung von ISAKMP-Nachrichten können nun Initiator und Responder in Phase 2 beginnen, beliebig viele SAs für IPsec-Verbindungen einzurichten. Dazu tauschen sie im so genannten Quick Mode Exchange drei Nachrichten, die sie allesamt mit dem in Phase 1 generierten Schlüssel SKEYID_e chiffrieren. Außerdem versehen sie die Nachrichten mit einer kryptographischen Prüfsumme, in deren Berechnung SKEYID_a eingeht.

Im ersten Schritt schlägt der Initiator wieder mögliche Algorithmen zur Einrichtung einer oder mehrerer SAs sowie deren Verwendungszweck vor. Die Gegenstelle trifft eine Auswahl und übermittelt diese mit der zweiten Nachricht. Neben Main-, Aggressive- und Quick-Mode definiert IKE noch zwei weitere Exchanges:

• Der Informational Exchange dient zum Übermitteln von Status- und Fehlerinformationen sowie Löschen von SAs.

• Mit dem New Group Exchange kann ein neuer Diffie-Hellman-Modus für die ISAKMP-SA ausgehandelt werden.