Le démon IKEv1 in.iked négocie les clés et authentifie IPsec de façon sécurisée. IKEv1 fournit une confidentialité persistante parfaite (PFS). En mode PFS, les clés qui protègent la transmission des données ne sont pas utilisées pour générer des clés complémentaires. De même, les amorces utilisées pour créer des clés de transmission de données ne sont pas réutilisées. Reportez-vous à la page de manuel in.iked(1M).
Le protocole IKEv1 comporte deux phases. Oracle Solaris prend en charge l'échange Main Mode de phase 1. Négocie les paramètres acceptables Main Mode (mode principal) de change pour créer une association de sécurité (SA) ISAKMP entre les deux pairs. Cette SA ISAKMP utilise un chiffrement asymétrique pour échanger son matériel de clé et authentifier ses homologues à l'aide d'une clé prépartagée ou d'un certificat de clé publique. Contrairement aux SA IPsec, les SA ISAKMP sont bidirectionnelles. Il n'est donc pas nécessaire de disposer de plus d'une association de sécurité.
La manière dont IKEv1 négocie les AS ISAKAMP dans l'échange de phase 1 est configurable. IKEv1 lit les informations de configuration dans le fichier /etc/inet/ike/config. Ces informations incluent :
Des paramètres généraux tels que le nom des certificats de clés publiques
Nécessité ou non de la confidentialité persistante parfaite (PFS)
IKE homologues cette du système
La phase 1 les algorithmes qui protègent les échanges
la méthode d'authentification.
Les deux méthodes d'authentification utilisent respectivement les clés prépartagées et les certificats de clés publiques. Les certificats de clés publiques peuvent être autosignés ou émis par une autorité de certification (AC).
Pour plus d'informations, reportez-vous à la page de manuel ike.config(4).
La phase 2 est connue sous le nom de Quick Mode (mode rapide). L'échange Quick Mode (mode rapide) négocie les algorithmes IPsec et les numéros de clés nécessaires pour créer des SA IPsec. Cet échange est protégé (chiffré) par le SA ISAKMP négocié au cours de la phase 1.
Les algorithmes et les protocoles de sécurité pour l'échange Quick Mode proviennent du fichier de stratégie IPsec, /etc/inet/ipsecinit.conf.
Les SA IPsec sont à nouveau générés lorsqu'ils expirent. La durée de vie de l'AS est définie par le démon in.iked lors de la création de l'AS IPsec. Cette valeur est configurable.
Pour plus d'informations, reportez-vous aux pages de manuel ipsecconf(1M) et in.iked(1M).