Internet Security Association and Key Management Protocol (ISAKMP)

Tapio Ylitalo
Tik-110.350 Tietokoneverkot Harjoitus 9
Tietoliikenne- ja multimedialaboratorio
Teknillinen korkeakoulu
Tapio.Ylitalo@hut.fi

Internet on maailmanlaajuinen tietoverkko, joka kasvaa räjähdysmäisesti. Internet mahdollistaa tavan etätyöhön, pankkipalveluihin, tietojen siirron jne. Internet mahdollistaa nopeamman tavan viestintään kuin perinteiset posti ja telepalvelut. Tämän ja World Wide Webin myötä kaupallinen merkitys on nopeasti kasvanut. Tämän vuoksi tietoturvallisuus on noussut avainkysymykseksi.

Internetin vahvimpia puolia on ollut sen avoimuus, mutta se heikoin puoli on ollut tietoturvallisuus. Tietoturvallisuus on ollut täysin käyttäjien hallinassa. Tatu Ylösen kehittämä SSH on yksi merkittävä ohjelmisto tietoturvallisuuden parantamiseksi. Myös Philip Zimmermanin PGP on erinomainen ohjelma henkilökohtaisen sähköpostin salaamiseen.

IETF:n (Internet Engineering Task Force) IPSEC (Internet Protocol Security) on työryhmä, joka kehittää menetelmiä tietoturvallisuuden parantamiseksi Intenetissä. IETF on määritellyt seuraavat kuusi turvapalvelua: Eheys, luottamuksellisuus, todennus, kiistämättömyys, pääsynvalvonta ja saatavuus.

IPv6:ssa avainten hallintaprotokolla on kytketty SA:n (Security Assosiation) kautta muihin turvamekanismeihin, jotka toteutetaan AH:n (Authentication Header) ja ESP:n (Encapsulating Security Payload) avulla [2].

Todennus otsikko (AH) tarjoaa todennuksen ja eheyden. Koteloitu turvakuorma (ESP) tarjoaa luottamuksellisuuden, sekä todennuksen ja eheyden, jos sopivia menetelmiä käytetään [1].

IPv6:den avainten hallintaprotokollaa ei olle vielä päätetty. On kuitenkin olemassa Intenet vedoksia (Internet Drafts), joissa ehdotetetaan menetelmiä avaimenhallintaprotokollaksi, joista myöhemmässä vaiheessa saattaa muodostua Internet standardi (Draft Standard RFC).

ISAKMP on siis suositus turvallisuuden tunne ja avaintenhallintaprotokollaksi. "ISAKMP ei ole sidottu mihinkään salausalgoritmiin, avaimen kehitystekniikkaan, tai turvamekanismiin. Tämä joustavuus on hyöty monesta syystä. Se tukee dynaamista viestintäympäristöjä. Riipumattomuus tietystä turvamekanismista ja algoritmista mahdollistaa siirtymisen parempiin turvamekanismeihin ja algoritmeihin. Turvamekanismien kehittyessä, nykyisten salausalgoritmien purkautuessa, uudet todennus ja avainten vaihtomekanismien löytyessä, ISAKMP sallii algoritmien ja mekanismien päivityksen ilman, että kokonaan uusi avaintenhallitaprotokolla pitäisi kehittää tai patchätä vanhaa [4]."

"ISAKMP:lla on perus vaatimuksen sen todennus ja avavainvaihto komponenteille. Nämä vaatimukset valvovat palvelun kieltoa, nauhoitusta, salakuuntelua ja yhtyden kaappausta. Tämä on tärkeää, sillä juuri tämän tyyppiset hyökkäykset uuhkaavat protokollia. Kokonainen turva-associaatio (SA) tuki, joka tarjoaa mekanismi ja algoritmi riippumattomuuden ja suojan protokollan uhille, ovat ISAKMP:n vahvuuksia [2]."

ISAKMP tarjoaa toimintakehyksen todennukselle ja avainten vaihdolle, mutta ei määrittele niitä. Oakley kuvaa avainten vaihtojen sarjan joita kutsutaan "modes" sekä määrittelee ne [4].

Vaikka IPv6:den avaintenhallintaprotokollaa ei olla päätetty, näyttää ISAKMP:stä ja Oakleystä tulevan vallitseva standardi. Reititin valmistaja Cisco Systems tarjoaa ratkaisuaa, jotka perustuvat edellä manittuihin protokolliin. Näihin voi tutustua Cisco Systemsin kotisivuilla [10]/[11].

ISAKMP ei ole ainoa ehdotus avaintenhallintaprotokollaksi. Yksi tälläinen on Simple Key-Management For Internet Protocols (SKIP)[3].

Keskutelu ryhmistä ei löytynyt asiaan liittyvää keskustelua, josta johtuen tällä sivulla ei olla esitetlty keskusteluryhmissä käytyä keskustelua.

Lähteet on arvosteltu asteikolla (1-5). Pisteet on merkattu *:llä. Pisteet merkitsevät lähteiden painoa-arvoa sivua tehdessä.

Lähteet

[1]
T. Aalto. IPv6 Authentication Header and Encapsulated Security Payload, Seminar Presentation, Helsinki University of Technology, May 1996, ****
[2]
M. Korhonen IPv6 Key Management, Seminar Presentation, Helsinki University of Techology, May 1996, *****
[3]
A. Aziz, T. Markson, H. Prafullchandra. Simple Key-Management For Internet Protocols (SKIP), Internet Draft, draft-ietf-ipsec-skip-07.txt, Aug 1996, **
[4]
D. Maughan, M. Schertler, M. ScheinerInternet Security Association and Key Management Protocol, Internet Draft, draft-ietf-ipsec-isakmp-07.txt, Feb 1997, *****
[5]
D. Harkins, D. Carrel The resolution of ISAKMP with Oakley, Internet Draft, draft-ietf-ipsec-isakmp-oakley-03.txt, Feb 1997, ***
[6]
Randall Atkinson. IPv6 Authentication Header, RFC 1826, Aug 1995, ***
[7]
Randall Atkinson. IPv6 Encapsulating Security Payload, RFC 1827, Aug 1995, ***
[8]
Randall Atkinson. Security Architectute for the Internet Protocol, Internet Draft, RFC 1825, Aug 1995, ***
[9]
IETF (Internet Engineering Task Forces), IETF, **
[10]
ISAKMP and Oakley Information, Cisco Systems, **
[11]
ISAKMP, ISAKMP, **

Lisätietoja

[12]
Internet Drafts, Internet Drafts, **
[13]
NIST/ITL/ANTD Intenetworking Techologies Group NIST/ITL/ANTD Intenetworking Techologies Group, ***
[14]
Cryptogarphic Protocols and Standards Cryptogarphic Protocols and Standards, ****
[15]
B. SommerfieldInline Keying within the ISAKMP Framework,Internet Draft, draft-etf-ipsec-inline-isakmp-01.txt, Mar 1997, ***
[16]
IP Security Working Group IP Security Working Group, ***
[17]
IP Security Protocol (ipsec), IP Security Protocol (ipsec), ***
[18]
SSH, SSH, *
[19]
PGP, PGP, *
[20]
J. Kohl, B. Neuman. The Kerberos Network Authentication Service (V5), RFC-1510, DDN Network Information Center, 10 Sep 1993, RFC 1510, ***
[21]
R. Rivest. The MD5 Message-Digest Algorithm, RFC 1321, Apr 1992, ***