4.5. Gestion des SA et des clés
Toutes les implémentations IPsec DOIVENT prendre en charge la gestion manuelle et automatisée des SA et des clés cryptographiques. Les protocoles IPsec, AH et ESP, sont largement indépendants des techniques de gestion des SA associées, bien que les techniques impliquées affectent certains des services de sécurité offerts par les protocoles.
Impact sur les services de sécurité
Par exemple, le service anti-rejeu optionnel disponible pour AH et ESP nécessite une gestion automatisée des SA. De plus, la granularité de la distribution des clés utilisée avec IPsec détermine la granularité de l'authentification fournie. En général, l'authentification de l'origine des données dans AH et ESP est limitée par la mesure dans laquelle les secrets utilisés avec l'algorithme d'intégrité (ou avec un protocole de gestion de clés qui crée de tels secrets) sont partagés entre plusieurs sources possibles.
Le texte suivant décrit les exigences minimales pour les deux types de gestion des SA.
4.5.1. Techniques manuelles
La forme la plus simple de gestion est la gestion manuelle, dans laquelle une personne configure manuellement chaque système avec le matériel de clé et les données de gestion des SA pertinentes pour une communication sécurisée avec d'autres systèmes. Les techniques manuelles sont pratiques dans des environnements petits et statiques, mais elles ne passent pas bien à l'échelle.
Exemple de cas d'usage: Une entreprise pourrait créer un réseau privé virtuel (VPN) utilisant IPsec dans des passerelles de sécurité sur plusieurs sites. Si le nombre de sites est faible et puisque tous les sites relèvent d'un seul domaine administratif, cela pourrait être un contexte réalisable pour les techniques de gestion manuelle. Dans ce cas, la passerelle de sécurité pourrait protéger sélectivement le trafic vers et depuis d'autres sites au sein de l'organisation en utilisant une clé configurée manuellement, tout en ne protégeant pas le trafic vers d'autres destinations.
Il pourrait également être approprié lorsque seules certaines communications doivent être sécurisées. Un argument similaire pourrait s'appliquer à l'utilisation d'IPsec entièrement au sein d'une organisation pour un petit nombre d'hôtes et/ou de passerelles. Les techniques de gestion manuelle emploient souvent des clés symétriques configurées de manière statique, bien que d'autres options existent également.
4.5.2. Gestion automatisée des SA et des clés
Le déploiement généralisé et l'utilisation d'IPsec nécessitent un protocole de gestion des SA automatisé, évolutif et conforme aux normes Internet. Un tel support est nécessaire pour faciliter l'utilisation des fonctionnalités anti-rejeu d'AH et ESP, et pour permettre la création à la demande de SA, par exemple pour le chiffrement orienté utilisateur et session. (Notez que la notion de "re-keying" d'une SA implique en fait la création d'une nouvelle SA avec un nouveau SPI, un processus qui implique généralement l'utilisation d'un protocole de gestion automatisée des SA/clés.)
Protocole par défaut: Le protocole de gestion automatisée des clés par défaut sélectionné pour une utilisation avec IPsec est IKEv2 [Kau05]. Ce document suppose la disponibilité de certaines fonctions du protocole de gestion des clés qui ne sont pas prises en charge par IKEv1. D'autres protocoles de gestion automatisée des SA PEUVENT être utilisés.
Plusieurs clés par SA
Lorsqu'un protocole de gestion automatisée des SA/clés est utilisé, la sortie de ce protocole est utilisée pour générer plusieurs clés pour une seule SA. Cela se produit également parce que des clés distinctes sont utilisées pour chacune des deux SA créées par IKE. Si l'intégrité et la confidentialité sont toutes deux utilisées, alors un minimum de quatre clés est requis. De plus, certains algorithmes cryptographiques peuvent nécessiter plusieurs clés, par exemple 3DES.
Le système de gestion des clés peut fournir une chaîne de bits distincte pour chaque clé nécessaire à la SA, ou il peut générer une seule chaîne de bits à partir de laquelle toutes les clés sont extraites.