++++KAME

- sind die userland tools mit denen man dem kernel die ipsec konfiguration reinspuelt

++++Key Tausch Verfahren
 * statische keys austauschen, wie bei gpg (unflexibel, aufwendig, bloed bei vielen rechnern)
 * preshared keys, es wird ein (secret)passphrase bekannt gegeben, durch den die partner pro verbindung neue keys generieren (problem der geheimhaltung, verteilung)
 * diffie hellmann, keys werden pro session neu generiert (ohne vorheriges gemeinsames geheimnis!) (sehr flexibel, fuer viele roadwarrior gedacht)
 * per zertifizierungsstelle ...


++++Diffie-Hellmann Group
`               höhere Gruppe, bessere Security`
`               z.B.`
`                       Group 1 (768-bit)`
`                       Group 2 (1024-bit)`
`                       Group 5 (1536-bit)`
`               -> pfs_group`

++++Perfect Forward Secrecy
`               besagt, dass aus einem bekannt gewordenen Schlüssel, kein`
`               anderer abgeleitet werden kann. ISAKMP/Oakley bieten dies.`


++++Diffie/Hellmann

Das DH-Verfahren dient der Aushandlung eines "Private Keys", über eine unsichere Verbindung.
Am Ende der Verhandlung haben Alice und Bob den gleichen (Secret)Schlüssel. Niemand der
die Verbindung mitgehört hat kann diesen konstruieren.

1. Schritt
`       Einer unserer Kommunikationspartner denkt sich eine hohe Primzahl P, und`
`       eine kleinere Zahl z aus und teilt sie dem anderen mit.`

2. Schritt
`       Alice und Bob denken sich eine geheime Zahl aus, Alice nimmt a, Bob`
`       nimmt b. Daraus berechnet jeder folgendes:`
`               Alice`
`                       Xa = z^a mod P`
`               Bob`
`                       Xb = z^b mod P`
3. Schritt
`       X und Y tauschen die beiden aus, so dass beide berechnen können:`
`               Alice`
`                       K = Xb^a`
`               Bob`
`                       K = Xa^b`

`       Die Schlüssel sind identisch weil gilt:`
`               (z^b mod P)^a = (z^a mod P)^b = z^(ab) mod P`

`       K ist der neue geheime Schluessel`