Před výměnou zabezpečených dat je třeba mezi oběma počítači uzavřít smlouvu. V této smlouvě, nazvané přidružení zabezpečení (SA), se obě strany dohodnou, jak způsob vyměňování a ochrany informací.

Klíč je tajný kód nebo číslo, které je požadováno pro čtení, úpravy nebo ověřování zabezpečených dat. Klíče se používají ve spojení s algoritmy (matematický proces) zabezpečení dat. IPsec obsahuje dvě fáze nebo režimy využívající klíče. Hlavní režim se uplatňuje první a generuje sdílený hlavní klíč, který mohou obě strany používat pro bezpečnou výměnu informací o klíčích. Rychlý režim používá hlavní klíč pro zabezpečení vytvoření jednoho nebo více klíčů relace, které se používají pro integritu nebo šifrování dat.

Systém Windows generuje klíče automaticky a implementuje následující vlastnosti sestavování klíčů pro maximalizaci ochrany:

Důležité informace

Modul snap-in Zásady zabezpečení lze použít k vytvoření zásad IPsec, které mohou být použity pro počítače, kde je spuštěn systém Windows Vista a pozdější verze systému Windows, avšak tento modul snap-in nevyužívá nových bezpečnostních algoritmů a dalších nových funkcí dostupných v pozdějších verzích systému Windows. Pokud chcete vytvořit zásady IPsec pro tyto počítače, použijte modul snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením. Modul snap-in Služba Brána firewall systému Windows s pokročilým zabezpečením neumožňuje vytvoření zásad pro použití ve dřívějších verzích systému Windows.

Dynamické opakované vytváření klíčů

IPsec používá metodu, které se říká dynamické opakované vytváření klíčů, která určuje, jak často se během komunikace vytváří nový klíč. Komunikace se odesílá v blocích a každý blok dat je zabezpečen jiným klíčem. To zabrání útočníkovi, který získal část komunikace a příslušné klíče relace, aby získal i zbytek komunikace. Toto vyjednávání zabezpečení a automatická správa klíčů jsou poskytovány službou Vyjednávání výměny klíčů po Internetu (IKE), jak je definována v RFC 2409.

IPsec umožňuje řídit jak často je nový klíč generován. Pokud nejsou nakonfigurovány žádné hodnoty, klíče se generují automaticky v přednastavených intervalech.

Délky platnosti klíčů

Kdykoliv se délka klíče zvýší o jeden bit, počet možných klíčů se zdvojnásobí, což činí určení klíče exponenciálně obtížnějším. IPsec nabízí řadu algoritmů pro krátké nebo dlouhé klíče.

Generování materiálu klíče: Algoritmus Diffie-Hellman

Pro zajištění zabezpečené komunikace musejí být dva počítače schopny získat stejný sdílený klíč (rychlý režim nebo klíč relace), aniž by tento klíč zaslaly po síti, a tak ohrožovaly tajemství, které sdílejí.

Algoritmus Diffie-Hellman (DH) je jeden z nejstarších a nejbezpečnějších algoritmů používaných pro výměnu klíčů. Obě strany veřejně vymění informace o klíčích, které systém Windows dále ochrání podpisem funkce hash. Žádná ze stran nikdy nevymění s druhou skutečný klíč, avšak po výměně informací o klíčích jsou obě strany schopny vygenerovat stejný sdílený klíč.

Materiál klíčů DH vyměňovaný mezi stranami může být založen na 768, 1024 nebo 2048 bitech materiálu klíče, kterým se říká skupiny DH. Síla skupiny DH je přiměřená síle klíče vypočítaného na základě výměny DH. Silné skupiny DH ve spojení s delšími klíči zvyšují stupeň obtížnosti určení tohoto klíče.

Poznámka

V dialogu Algoritmy zabezpečení IKE odpovídá 768 bitů nastavení úrovně zabezpečení Nízká (1) a 1024 bitů nastavení úrovně zabezpečení Střední (2).

IPsec používá algoritmus DH pro poskytování materiálu klíčů pro všechny ostatní šifrovací klíče. DH neumožňuje ověřování. Implementace IPsec systémem Microsoft Windows ověřuje totožnost po provedení výměny DH, čímž poskytuje ochranu proti útokům někoho, kdy by do komunikace vstoupil.

Ochrana klíče

Následující vlastnosti posilují čísla základního seznamu (materiál klíče) a sílu hlavního klíče a klíče relace.

Životnost klíče

Životnost klíče určuje kdy, a nikoliv jak se bude generovat nový klíč. Tato vlastnost, označovaná také jako dynamické opakované generování klíčů, umožňuje vytvoření nového klíče po uplynutí určeného časového intervalu. Například pokud komunikace trvá 10 000 sekund a vy určíte životnost klíče na 1 000 sekund, bude pro dokončení přenosu generováno 10 klíčů. To zajistí, že i když útočník dokáže určit jeden klíč relace a dešifrovat část komunikace, nedokáže dešifrovat celou komunikaci. Životnost klíče lze určit jak pro hlavní klíč, tak pro klíče relace. Kdykoliv je dosaženo konce životnosti klíče, je také znovu vyjednáno přidružení zabezpečení. Kromě toho je klíč obnoven nebo vygenerován nový. Množství dat zpracované jedním klíčem by nemělo překročit 100 MB.

Limit obnovy klíče relace

Limit obnovy klíče relace v rychlém režimu se používá proto, že opakované generování klíče relace z jednoho materiálu v rychlém režimu může kompromitovat sdílené tajemství DH.

Například Alice pošle z počítače A zprávu Bobovi na počítač B a pak pošle Bobovi jinou zprávu o několik minut později. Protože existuje nedávno zavedené přidružení zabezpečení, může se opakovaně použít stejný materiál klíče relace. Pokud chcete omezit počet případů, kdy to nastane, nestavte limit obnovy klíče relace na nižší hodnotu.

Pokud aktivujete PFS hlavního klíče, limit obnovy klíče relace v rychlém režimu se neuplatní. Nastavení limitu obnovy klíče relace na 1 se rovná aktivaci PFS hlavního klíče. Pokud jsou určeny jak životnost hlavního klíče v hlavním režimu, tak limit obnovy klíče relace v rychlém režimu, dříve dosažený limit způsobí další změny klíčů. Standardně zásada IPsec limit obnovy klíče relace nestanoví.

Skupiny Diffie-Hellman

Skupiny DH se používají pro určení délky čísel základního seznamu (materiál klíče) pro výměnu DH. Síla klíče odvozeného na základě výměny DH závisí částečně na síle skupiny DH, na které jsou čísla základního seznamu založena.

Každá skupina DH určuje délku materiálu klíče, který bude použit. Skupina 1 chrání 768 bitů materiálu klíče; skupina 2 chrání 1024 bitů; a skupina 3 chrání 2048 bitů. Pokud použijete větší skupinu, výsledný klíč určený na základě výměny DH je delší a útočník jej obtížně určuje.

IKE vyjedná, která skupina bude použita, na základě nastavení, která určíte v dialogu Algoritmy zabezpečení IKE, což zajistí, že nenastanou chyby vyjednávání, které by byly důsledkem nesprávně přiřazených skupin DH oběma komunikujícími počítači.

Pokud je aktivován klíč relace PFS, vyjedná se nový klíč DH v prvním vyjednávání přidružení zabezpečení rychlého režimu. Tento nový klíč ruší závislost klíče relace na výměně DH, která byla provedena pro hlavní klíč.

Pokud iniciátor používá klíč relace PFS, příjemce musí také používat tento klíč relace PFS. Avšak pokud iniciátor komunikace nepoužívá klíč relace PFS, a přijemce ano, vyjednávání se nepodaří.

Skupina DH je stejná pro vyjednávání hlavního režimu i rychlého režimu přidružení zabezpečení. Pokud je aktivován klíč relace PFS, pak i když je nastavena skupina DH jako součást vyjednávání hlavního režimu přidružení zabezpečení, ovlivňuje tento klíč jakoukoliv opakovanou generaci klíčů během relace v rychlém režimu.

Dokonalé utajení přeposílání

Na rozdíl od životnosti klíčů určuje PFS nikoliv kdy, ale jak bude generován nový klíč. PFS konkrétně zajistí, že odhalení jednoho klíče umožní přístup pouze k datům, která jsou tímto klíčem chráněna, a nikoliv k celé komunikaci. Aby toho bylo dosaženo, PFS zajistí, že klíč používaný k ochraně přenosu v kterémkoliv z obou režimů nelze použít pro generování dalších klíčů. Navíc pokud byl použitý klíč odvozen z konkrétního materiálu klíče, nelze tento materiál již použít pro generování jiných klíčů.

Hlavní klíč PFS v hlavním režimu vyžaduje opakované ověření a je výrazně vázán na prostředky. Pokud je aktivní, IKE musí opakovaně ověřit totožnost a zvýšit dozor nad kontrolou domény, pokud je pro ověřování používán ověřovací protokol Kerberos V5. To vyžaduje nové vyjednání hlavního režimu pro každé vyjednávání rychlého režimu, které nastane.

Klíč relace PFS v rychlém režimu lze použít bez opakovaného ověření a tento klíč není tak závislý na prostředcích. Klíč relace PFS má za následek výměnu DH pro generování nového materiálu klíčů. Vyžaduje pouze čtyři zprávy a žádné ověřování.

PFS nemusí být aktivován na obou komunikujících počítačích, protože není součástí vyjednávání přidružení zabezpečení. Pokud příjemce vyžaduje PFS a přidružení zabezpečení rychlého režimu odesílatele komunikace vypršelo, je zpráva odesílatele prostě odmítnuta a je vyžadováno nové vyjednávání. Odesílatel způsobí vypršení přidružení zabezpečení hlavního režimu a opakuje vyjednávání. PFS lze nastavit individuálně jak pro hlavní klíč (hlavní režim), tak pro klíče relace (rychlý režim).

Výměna klíčů

Před umožněním výměny zabezpečených dat musí být navázán kontakt mezi oběma počítači. V této smlouvě (přidružení zabezpečení) se obě strany dohodnou, způsob výměny a ochrany informací.

Pro vytvoření tohoto kontaktu mezi dvěma počítači zavedla pracovní skupina Internet Engineering Task Force (IETF) metodu IKE pro přidružení zabezpečení a řešení výměny klíčů, které:

  • Centralizuje řízení přidružení zabezpečení a snižuje dobu připojení.

  • Generuje a spravuje sdílené, utajené klíče, které se používají pro zabezpečení informací.

Tento proces nejen chrání komunikaci mezi oběma počítači, ale také chrání vzdálené počítače, které vyžadují zabezpečený přístup k podnikové síti. Navíc tento proces funguje vždy, když je vyjednávání pro počítač konečného příjemce dat prováděno prostřednictvím zabezpečovací brány.

Definice přidružení zabezpečení

Přidružení zabezpečení je kombinace vyjednaného klíče, bezpečnostního protokolu a indexu parametrů zabezpečení (SPI), které společně definují zabezpečení používané pro ochranu komunikace mezi odesílatelem a příjemcem. SPI je jedinečná identifikující hodnota přidružení zabezpečení, která se používá pro rozlišení mezi více přidružení zabezpečení, které existují na přijímajícím počítači. Více přidružení zabezpečení může existovat tehdy, pokud počítač zabezpečeným způsobem komunikuje současně s více počítači. To je běžné v situaci, kdy je počítač souborový server nebo vzdálený server, který slouží více klientům. V této situaci používá přijímající počítač SPI pro určení, které přidružení zabezpečení použít pro zpracování příchozích paketů.

Hlavní režim přidružení zabezpečení

Pro zajištění úspěšné a bezpečné komunikace provádí IKE dvoufázovou operaci. Důvěrnost a ověření jsou v každé z obou fází zajištěny použitím šifrovacích a ověřovacích algoritmů, které jsou domluveny mezi oběma počítači v rámci vyjednávání zabezpečení. Pokud jsou povinnosti takto rozděleny do dvou fází, lze tvorbu klíče dokončit velmi rychle.

Během první fáze se mezi oběma počítači vytvoří zabezpečený, ověřený komunikační kanál. Tomu se říká hlavní režim přidružení zabezpečení. IKE během této výměny automaticky poskytne ochranu totožnosti.

Následující kroky popisují vyjednávání hlavního režimu.

  1. Vyjednávání zásady V rámci hlavního režimu přidružení zabezpečení jsou vyjednány tyto čtyři povinné parametry:

    • Šifrovací algoritmus (DES nebo 3DES).

    • Hash algoritmus (MD5 nebo SHA1).

    • Metoda ověření (ověřovací protokol Kerberos V5, certifikát nebo předem sdílené ověřování klíčů).

    • Skupina Diffie-Hellman (DH), která bude používána pro základní materiál klíčů (768 bitů pro Nízké zabezpečení (skupina 1), 1024 bitů pro Střední zabezpečení (skupina 2) nebo 2048 bitů pro Vysoké zabezpečení (skupina 3).

    • Pokud se pro ověřování používají certifikáty nebo předem sdílené klíče, je chráněna totožnost počítače. Avšak pokud se používá ověřovací protokol Kerberos V5, je totožnost počítače dešifrována, dokud během ověření nenastane zašifrování datových částí celé totožnosti.

  2. Výměna DH (nebo veřejné hodnoty). Skutečné klíče se nevyměňují nikdy. Vyměňují se pouze informace požadované algoritmem určení klíče DH pro generování sdíleného tajného klíče. Po této výměně vytvoří služba IKE na každém z obou počítačů hlavní klíč, který se používá pro ochranu ověřování.

  3. Ověřování. Počítače se pokusí ověřit výměnu klíče DH. Bez tohoto ověření je komunikace zranitelná pro útoky někoho, kdo by do komunikace vstoupil. Bez úspěšného ověření nemůže komunikace pokračovat. Hlavní klíč společně s algoritmy a metodami vyjednávání se používá pro ověření totožnosti. Všechny datové části totožnosti (včetně typu totožnosti, portu a protokolu) jsou podrobeny algoritmu hash a zašifrovány pomocí klíčů generovaných výměnou DH v druhém kroku. Datové části totožnosti, bez ohledu na použitou metodu ověření, jsou chráněny jak před úpravami, tak před interpretací.

    Odesílatel předloží příjemci nabídku na potenciální přidružení zabezpečení. Příjemce nemůže tuto nabídku upravovat. Pokud by nabídka byla změněna, odesílatel odmítne zprávu příjemce. Příjemce zašle odpověď, která buď nabídku přijme, nebo navrhne alternativy.

    Zprávy zasílané během této fáze jsou vybaveny cyklem automatického opakování, které je provedeno pětkrát. Pokud druhá strana zareaguje dříve, než tento cyklus automatického opakování skončí, nastane standardní vyjednávání přidružení zabezpečení. Pokud to zásada IPsec umožní, začne po krátké pauze nezabezpečená komunikace. Toto chování je označováno jako návrat k nezašifrované komunikaci. I když se komunikace vrátí k nezašifrované, bude vyjednávání zabezpečené komunikace každých pět minut opakováno.

    Počet výměn, které se mohou uskutečnit, není omezen. Počet stanovených přidružení zabezpečení je omezen pouze systémovými zdroji.

Rychlý režim přidružení zabezpečení

V této fázi jsou přidružení zabezpečení vyjednány jménem ovladače zabezpečení IP.

Následující kroky popisují vyjednávání rychlého režimu.

  1. Nastane vyjednávání zásady. Počítače IPsec vymění následující požadavky na zabezpečení datového přenosu:

    • Protokol IPsec (AH nebo ESP)

    • Algoritmus hash pro integritu a ověření (MD5 nebo SHA1)

    • Algoritmus pro šifrování, pokud je požadováno (DES nebo 3DES)

    Je dosaženo společné dohody a zavedeno SA. Jedno přidružení zabezpečení pro příchozí komunikaci a druhé pro odchozí komunikaci.

  2. Materiál klíčů relace je obnoven nebo vyměněn. IKE obnoví materiál klíčů a pro integritu paketu, ověření a šifrování (pokud je vyjednáno) jsou vygenerovány nové sdílené klíče. Pokud jsou požadovány nové klíče, musí být provedena nová výměna DH (jak je popsána ve vyjednávání hlavního režimu), nebo se použije obnovený původní klíč DH.

  3. Přidružení zabezpečení a klíče, společně se SPI, jsou předány ovladači zabezpečení IP. Vyjednávání v rychlém režimu nastavení zabezpečení a materiálu pro tvorbu klíčů (pro účely zabezpečení dat) jsou chráněny hlavním režimem přidružení zabezpečení. Zatímco první fáze poskytuje ochranu totožnosti, druhá fáze rychlého režimu poskytuje ochranu obnovou materiálu klíčů před odesláním dat. IKE může zajistit datové části pro výměnu klíče pro další výměnu DH, pokud je požadována změna klíčů - tj. je aktivována PFS hlavního klíče. Jinak IKE obnoví materiál klíčů z výměny DH provedené v hlavním režimu.

    Rychlý režim vytvoří dvojici přidružení zabezpečení s vlastním SPI a klíčem. Jedno přidružení zabezpečení se používá pro příchozí komunikaci a druhé pro odchozí komunikaci.

    Algoritmus opakovaných pokusů odeslání zprávy je podobný procesu popsanému u vyjednávání hlavního režimu. Avšak pokud tento proces skončí z jakéhokoliv důvodu během druhého nebo dalšího vyjednávání ve stejném přidružení zabezpečení hlavního režimu, bude proveden pokus o opětovné vyjednání přidružení zabezpečení hlavního režimu. Pokud bude přijata zpráva pro tuto fázi bez stanovení přidružení zabezpečení hlavního režimu, bude odmítnuta.

    Použití stejného přidružení zabezpečení hlavního režimu pro více vyjednávání přidružení zabezpečení rychlého režimu proces urychluje. Pokud přidružení zabezpečení hlavního režimu nevyprší, nejsou požadována opakovaná vyjednávání a ověřování. Počet povolených vyjednávání přidružení zabezpečení rychlého režimu je určen nastavením zásady IPsec.

    Poznámka

    Pokud by bylo generování nových klíčů ze stejného přidružení zabezpečení hlavního režimu provedeno mnohokrát, mohl by se sdílený tajný klíč stát zranitelnějším pro útok známého nezašifrovaného textu. Útok známého nezašifrovaného textu je útok narušitele, při které se narušitel snaží určit šifrovací klíč ze zašifrovaných dat na základě známého nezašifrovaného textu.

Životnost přidružení zabezpečení

Přidružení zabezpečení hlavního režimu je uloženo v místní mezipaměti, aby bylo umožněno více vyjednávání přidružení zabezpečení rychlého režimu (pokud není aktivován hlavní klíč PFS). Pokud je dosaženo konce doby života hlavního klíče nebo klíče relace, přidružení zabezpečení je znovu vyjednáno. Kromě toho je klíč obnoven nebo vygenerován nový.

Pokud vyprší přednastavená doba přidružení zabezpečení hlavního režimu nebo je dosaženo konce doby života hlavního klíče nebo klíče relace, příjemci dat je zaslána zpráva o vymazání klíče. Tato zpráva IKE sděluje příjemci dat, že má způsobit ukončení platnosti přidružení zabezpečení hlavního režimu. Pak již nelze z ukončeného přidružení zabezpečení hlavního režimu vytvořit další přidružení zabezpečení rychlého režimu. IKE nezpůsobuje vypršení platnosti přidružení zabezpečení rychlého režimu, protože jen ovladač IPsec obsahuje údaj o počtu sekund nebo bajtů, které mají uplynout, než skončí životnost klíče.

Pokud použijete velmi odlišnou životnost pro hlavní klíč a klíče relace, použijte varování. Například nastavení životnosti hlavního klíče v hlavní režimu na osm hodin a životnosti klíčů relace v rychlém režimu na dvě hodiny by mohlo ponechat přidružení zabezpečení rychlého režimu v platnosti po dobu téměř dvou hodin po vypršení platnosti přidružení zabezpečení hlavního režimu. To nastane, pokud je přidružení zabezpečení rychlého režimu vygenerováno bezprostředně před vypršením přidružení zabezpečení hlavního režimu.