++++KAME

- sind die userland tools mit denen man dem kernel die ipsec konfiguration reinspuelt

++++Key Tausch Verfahren

• statische keys austauschen, wie bei gpg (unflexibel, aufwendig, bloed bei vielen rechnern)
• preshared keys, es wird ein (secret)passphrase bekannt gegeben, durch den die partner pro verbindung neue keys generieren (problem der geheimhaltung, verteilung)
• diffie hellmann, keys werden pro session neu generiert (ohne vorheriges gemeinsames geheimnis!) (sehr flexibel, fuer viele roadwarrior gedacht)
• per zertifizierungsstelle ...

++++Diffie-Hellmann Group                höhere Gruppe, bessere Security                z.B.                        Group 1 (768-bit)                        Group 2 (1024-bit)                        Group 5 (1536-bit)                -> pfs_group

++++Perfect Forward Secrecy                besagt, dass aus einem bekannt gewordenen Schlüssel, kein                anderer abgeleitet werden kann. ISAKMP/Oakley bieten dies.

++++Diffie/Hellmann

Das DH-Verfahren dient der Aushandlung eines "Private Keys", über eine unsichere Verbindung. Am Ende der Verhandlung haben Alice und Bob den gleichen (Secret)Schlüssel. Niemand der die Verbindung mitgehört hat kann diesen konstruieren.

1. Schritt        Einer unserer Kommunikationspartner denkt sich eine hohe Primzahl P, und        eine kleinere Zahl z aus und teilt sie dem anderen mit.

2. Schritt        Alice und Bob denken sich eine geheime Zahl aus, Alice nimmt a, Bob        nimmt b. Daraus berechnet jeder folgendes:                Alice                        Xa = z^a mod P                Bob                        Xb = z^b mod P 3. Schritt        X und Y tauschen die beiden aus, so dass beide berechnen können:                Alice                        K = Xb^a                Bob                        K = Xa^b

       Die Schlüssel sind identisch weil gilt:                (z^b mod P)^a = (z^a mod P)^b = z^(ab) mod P

       K ist der neue geheime Schluessel