II.7 ISAKMP (Internet Security Association and Key
Management Protocol)
Le protocoLe ISAKMP a pour rôLe La négociation,
L'étabLissement, La modification et La suppression des associations de
sécurité et de Leurs attributs. IL pose Les bases permettant de
construire divers protocoLes de gestion des cLefs (et pLus
généraLement des associations de sécurité).
IL comporte trois aspects principaux :
- IL définit une façon de procéder, en
deux étapes appeLées phase 1 et phase 2 : dans La
première, un certain nombre de paramètres de
sécurité propres à Isakmp sont mis en pLace, afin
d'étabLir entre Les deux tiers un canaL protégé ; dans un
second temps, ce canaL est utiLisé pour négocier Les associations
de sécurité pour Les mécanismes de sécurité
que L'on souhaite utiLiser (AH et ESP par exempLe).
- IL définit des formats de messages, par
L'intermédiaire de bLocs ayant chacun un rôLe précis et
permettant de former des messages cLairs.
- IL présente un certain nombre d'échanges
types, composés de teLs messages, qui permettant des négociations
présentant des propriétés différentes : protection
ou non de L'identité, perfect forward secrecy, etc.
II.8 IKE (Internet Key Exchange)
IKE utiLise ISAKMP pour construire un protocoLe pratique. IL
comprend quatre modes :
· Le mode principaL (Main mode)
· Le mode agressif (Aggressive Mode)
· Le mode rapide (Quick Mode)
· Le mode nouveau groupe (New Groupe Mode)
Main Mode et Aggressive Mode sont utiLisés durant La
phase 1, Quick Mode est un échange de phase 2. New Group Mode est un peu
à part : Ce n'est ni un échange de phase 1, ni un échange
de phase 2, mais iL ne peut avoir Lieu qu'une fois qu'une SA Isakmp est
étabLie ; iL sert à se mettre d'accord sur un nouveau groupe pour
de futurs échanges Diffie-HeLLman.
a) 1ère Phase : Main Mode et Aggressive Mode
Les attributs suivants sont utiLisés par IKE et
négociés durant La première phase: un aLgorithme de
chiffrement, une fonction de hachage, une méthode d'authentification et
un groupe pour Diffie-HeLLman. Trois cLefs sont
Page | 41
générées à L'issue de La
1ère phase: une pour Le chiffrement, une pour
L'authentification et une pour La dérivation d'autres
cLefs. Ces cLefs dépendent des cookies, des aLéas
échangés et des vaLeurs pubLiques Diffie-HeLLman ou du secret
partagé préaLabLe. Leur caLcuL fait intervenir La fonction de
hachage choisie pour La SA Isakmp et dépend du mode d'authentification
choisi.
b) 2ème Phase: Quick Mode
Les messages échangés durant La phase 2 sont
protégés en authenticité et en confidentiaLité
grâce aux éLéments négociés durant La
1ère phase. L'authenticité des messages est assurée par
L'ajout d'un bLoc Hash après L'entête Isakmp et La
confidentiaLité est assurée par Le chiffrement de L'ensembLe des
bLocs du message. Quick Mode est utiLisé pour La négociation de
SA pour des protocoLes de sécurité donnés comme IPSec.
Chaque négociation aboutit en fait à deux SA, une dans chaque
sens de La communication.
PLus précisément, nous pouvons dire que Les
échanges composant ce mode ont Les rôLes suivant :
· Négocier un ensembLe de paramètres IPSec
(paquets de SA)
· Échanger des nombres aLéatoires,
utiLisés pour générer une nouveLLe cLef qui dérive
du secret généré en phase 1 avec Le protocoLe
Diffie-HeLLman. De façon optionneLLe, iL est possibLe d'avoir recours
à un nouveL échange Diffie-HeLLman, afin d'accéder
à La propriété de Perfect Forward Secrecy, qui n'est pas
fournie si on se contente de générer une nouveLLe cLef à
partir de L'ancienne et des aLéas.
· OptionneLLement, identifier Le trafic que ce paquet de
SA protégera, au moyen de séLecteurs (bLocs optionneLs IDi et IDr
; en Leur absence, Les adresses IP des interLocuteurs sont
utiLisées).
| 
