আমি এএসএ 8.0 তে আইপিসিপি ভিপিএন করছিলাম এবং আমি সে সম্পর্কে কিছুটা বুঝি। ইনিশিয়েটর তার আইএসএকেএমপি নীতিটি উত্তরদাতাকে প্রেরণ করে শুরু করে এবং প্রতিক্রিয়াকারী মিলে যাওয়া নীতিটি ফেরত পাঠায়। এর পরে, ডিফি-হেলম্যান কী বিনিময় করে এবং তারপরে উভয় প্রি-ভাগ করা কীটি অন্যটির কাছে প্রমাণীকরণের জন্য প্রেরণ করে।
এখন আমাদের দুটি চাবি রয়েছে:
প্রাক-ভাগ করা কীটি এনক্রিপ্ট করতে কোন কী ব্যবহার করা হয়?
উত্তর:
আপনি একটি দুর্দান্ত প্রশ্ন জিজ্ঞাসা করেছেন। প্রশ্নটি খুব সহজ বলে মনে হচ্ছে তবে বাস্তবে উত্তরটি কিছুটা জটিল। আমি এটি একটি সুসংগত পদ্ধতিতে উত্তর দেওয়ার জন্য যথাসাধ্য চেষ্টা করব। এছাড়াও, যেহেতু আপনি ISAKMP উল্লেখ করেছেন, আমি ধরে নিচ্ছি যে আপনি IKEv1 এ আগ্রহী। IKEv2 (ভাল, অনেক) এর জন্য জিনিসগুলি সামান্য পরিবর্তন হয়েছে, তবে আমি নীচের উত্তরগুলি কেবল IKEv1 এর সাথে সম্পর্কিত বলে উল্লেখ করতে চাই না।
প্রথম পর্বটি দুটি পৃথক মোডে সম্পাদন করা যেতে পারে: মেইন মোড এবং আগ্রাসী মোড। উভয় মোডে, প্রথম বার্তাটি সূচক দ্বারা প্রেরণ করা হয়, এবং দ্বিতীয় বার্তাটি উত্তরদাতা দ্বারা প্রেরণ করা হয়। এই উভয় বার্তার মধ্যে ক্রিপ্টোগ্রাফি বিশ্বে ননস হিসাবে পরিচিত যা অন্তর্ভুক্ত । একটি ননস মূল প্রজন্মের মধ্যে ব্যবহারের জন্য এলোমেলোভাবে উত্পন্ন সংখ্যা। (মেয়াদ n যখন _N_umber থেকে আসে _Once_ ব্যবহৃত) । সুতরাং, বার্তা 1 এবং বার্তা 2 পরে, উভয় পক্ষই একে অপরের নোনসগুলি চেনে।
ননসগুলি গোপন কী তৈরির জন্য একটি বীজ মান তৈরি করতে প্রাক-ভাগ-কি-এর সাথে একত্রিত হয়। আইকেই আরএফসি- এর আপেক্ষিক অংশটি এখানে:
For pre-shared keys: SKEYID = prf(pre-shared-key, Ni_b | Nr_b)
স্কাইআইডিড হ'ল বীজ মান যা পরে অতিরিক্ত গোপন কী তৈরি করতে ব্যবহৃত হবে। প্রি-শেয়ার্ড-কী এবং উভয় ননস মানগুলি (Ni_b হ'ল ইনিটিএটারের ননস, এবং এনআর_বি রেসপন্ডার্স ননস) পিআরএফ, বা প্যুচিডো র্যান্ডম ফাংশন ব্যবহার করে একত্রিত হয়। একটি পিআরএফ হ্যাশিং অ্যালগরিদমের মতো, ফলটি আপনার প্রয়োজন হিসাবে বিট হতে পারে।
এখন, আপনি যদি প্রাথমিকভাবে মেন মোডটি করছিলেন তবে 3 এবং 4 বার্তাগুলি ইনিয়েটিটার এবং রেসপন্ডার (যথাক্রমে) ডিফি-হেলম্যান পাবলিক কীগুলি ভাগ করে। তারা উভয়ই এই মানগুলি ডিফি-হেলম্যান ভাগ করে নেওয়ার গোপনীয়তা তৈরি করতে ব্যবহার করে । আপনি যদি আগ্রাসী মোডটি করছিলেন তবে এই ডিএইচ পাবলিক মানগুলি বার্তা 1 এবং বার্তা 2 (ননসেস সহ) এর অন্তর্ভুক্ত।
এরপরে বীজের মানটি ডিএইচ শেয়ারড সিক্রেট (এবং কয়েকটি অন্যান্য মান) এর সাথে তিনটি সেশন কী তৈরি করতে একত্রিত হয়: একটি অবনমিত কী, একটি প্রমাণীকরণ কী এবং একটি এনক্রিপশন কী। আরএফসি এটিকে এভাবে বলে:
মেইন মোড বা আগ্রাসী মোডের ফলাফল হ'ল প্রমাণীকৃত কীিং উপাদানগুলির তিনটি গ্রুপ:
SKEYID_d = prf(SKEYID, g^xy | CKY-I | CKY-R | 0) SKEYID_a = prf(SKEYID, SKEYID_d | g^xy | CKY-I | CKY-R | 1) SKEYID_e = prf(SKEYID, SKEYID_a | g^xy | CKY-I | CKY-R | 2)
SKEYID_d, _a এবং _e হ'ল উপরে বর্ণিত তিনটি সেশন কী। SKEYIDবীজ মান হয়। g^xyএটি ডিএইচ শেয়ারড সিক্রেট। CKY-Iএবং CKI-Rসূচক এবং প্রতিক্রিয়াশীল কুকিগুলি হ'ল এগুলি কেবল অতিরিক্ত এলোমেলোভাবে উত্পাদিত মান যা পরে এই নির্দিষ্ট ISAKMP এক্সচেঞ্জ এবং সুরক্ষা সমিতি সনাক্ত করতে ব্যবহৃত হয়। 0 1 2আক্ষরিক সংখ্যা 0, 1 এবং 2 হয় The পাইপ প্রতীকটি |সংমিশ্রণকে উপস্থাপন করে।
যাই হোক না কেন, এই সমস্ত মানগুলি একত্রে একটি PRF ব্যবহার করে একত্রিত হয় যা তিনটি সেশন কী তৈরি করে:
প্রমাণীকরণ কী এবং এনক্রিপশন কী আসন্ন দ্বিতীয় পর্যায়ের আলোচনার সুরক্ষিত / এনক্রিপ্ট করতে ব্যবহৃত হয়। মেইন মোডে, ফেজ 1 এর 5 এবং 6 বার্তাগুলিও এই কীগুলি দ্বারা সুরক্ষিত। তদুপরি, ভবিষ্যতে যে কোনও আইএসএকএমপি তথ্যবহুল এক্সচেঞ্জ (ডিপিডি, রেकी ইভেন্টস, বার্তা মুছুন ইত্যাদি) এছাড়াও এই দুটি কী দ্বারা সুরক্ষিত।
ডেরিভেটিভ কী আইপিস্কের কাছে হস্তান্তরিত হয় এবং আইপিস্ক এই কী থেকে নিজস্ব কীিং উপাদান তৈরি করে। যদি আপনি স্মরণ করেন, আইপিস্কে জন্মগতভাবে কোনও কী এক্সচেঞ্জ ব্যবস্থা অন্তর্ভুক্ত করা হয় না, সুতরাং গোপন কীগুলি অর্জন করার একমাত্র উপায় হ'ল তা হ'ল ম্যানুয়ালি সেট করা (যা প্রত্নতাত্ত্বিক, এবং সত্যিই আর কখনও করা হয় না), বা কোনও বাহ্যিক পরিষেবার উপর নির্ভর করতে কীকিং সামগ্রী সরবরাহ করুন যেমন ISAKMP এর মতো।
আরএফসি এর মত বলে:
এসকেইআইআইডি_ই হ'ল ইস্ক্যাম্প SA এর বার্তাগুলির গোপনীয়তা রক্ষার জন্য ব্যবহৃত চাবিজাতীয় উপাদান।
এসকেইআইডি_এ হ'ল ইস্ক্যাম্প SA এর বার্তাগুলি প্রমাণীকরণের জন্য ব্যবহৃত কী তৈরি উপাদান।
এসকেইআইআইডি_ডি হ'ল এস-এস-এম-পি-এম সুরক্ষা সংস্থাগুলির জন্য কীগুলি তৈরি করার জন্য ব্যবহৃত কীিং উপাদান।
যা যা বলা হয়েছিল, সেগুলি সহ আমরা আপনার প্রশ্নটি আবার উল্লেখ করতে পারি: প্রাক-ভাগ-কীটি সুরক্ষিত করতে কোন কী ব্যবহার করা হয়?
মেইন মোডে, প্রি-শেয়ার্ড-কী (পিএসকে) 5 এবং 6 বার্তাগুলিতে যাচাই করা হয়েছে এবং উপরে বর্ণিত বার্তা 5 এবং 6 টি সেশন কীগুলি দ্বারা সুরক্ষিত হয় ISAKMP উত্পন্ন, উপরে বর্ণিত।
আগ্রাসী মোডে, আলোচনার বার্তার কোনওটিই এনক্রিপ্ট করা হয় না। এবং পিএসকে 2 এবং 3 বার্তাগুলিতে যাচাই করা হয়েছে বিজ্ঞপ্তি, আমি উভয় ক্ষেত্রেই পিএসকে যাচাই করা হয়েছে এবং আমি কখনও বলিনি যে পিএসকে আদান-প্রদান হয় । স্পষ্টতই, যদি আগ্রাসী মোডে কোনও কিছুই এনক্রিপ্ট করা না থাকে এবং আপনি কেবল প্রবিহিত-কীটি কেবল এনক্রিপ্ট না করে তারের জুড়ে প্রেরণ করেন, তবে সেখানে বিশাল ব্যবধানের সুরক্ষা দুর্বলতা দেখা দিতে পারে।
আমাদের পক্ষে ভাগ্যবান, আইএসএইচএমপি-র লেখকরা ইতিমধ্যে এটি ভেবেছিলেন। এবং ফলস্বরূপ, তারা তারের জুড়ে আসলে ভাগ না করে প্রতিটি পক্ষের সঠিক পিএসকে রয়েছে তা যাচাই করার জন্য একটি বিশেষ পদ্ধতি তৈরি করেছে। দুটি পিয়ারকে যাচাই করার জন্য দুটি আইটেম ব্যবহার করা হয় যা তাদের উভয়েরই একই পিএসকে রয়েছে: পরিচয় পদ্ধতি এবং পরিচয় হ্যাশ ।
ভিপিএন পিয়াররা বিভিন্ন পদ্ধতিতে তাদের সনাক্ত করতে বেছে নিতে পারেন; সবচেয়ে সাধারণভাবে, পিয়ারগুলি কেবল তাদের উত্সের আইপি ঠিকানা ব্যবহার করবে। তবে তাদের কাছে এফকিউডিএন বা হোস্ট-নেম ব্যবহারের বিকল্প রয়েছে। এগুলির প্রত্যেকটি, নির্বাচিত পদ্ধতির সাথে সম্পর্কিত সম্পর্কযুক্ত মানটি হ'ল আইডেন্টিটি পদ্ধতিটি। সুতরাং উদাহরণস্বরূপ, যদি আমার আইপি 5.5.5.5 থাকে এবং আমি নিজেকে সনাক্ত করতে আমার আইপি ঠিকানাটি ব্যবহার করতে চাইতাম, তবে আমার আইডি পদ্ধতি কার্যকরভাবে [আইপি ঠিকানা, 5.5.5.5] হবে । (দ্রষ্টব্য: দুটি মান পুরো আইডি পদ্ধতিটি তৈরি করে)
পরিচয় হ্যাশ তৈরির জন্য আইডি পদ্ধতিটি পরে আমরা পূর্বে আলোচনা করা বীজের মান (এসকেইআইআইডি) এবং আরও কয়েকটি মান সহ একত্রিত হয় (একটি পিআরএফ ব্যবহার করে) । মনে রাখবেন, স্কাইইআইডি তৈরির ক্ষেত্রে প্রথমে যা ছিল পূর্ব-ভাগ-কি।
তারপরে আইডি পদ্ধতি এবং আইডি হ্যাশ তারের ওপারে প্রেরণ করা হয় এবং অন্য পক্ষ একই সূত্রটি ব্যবহার করে আইডি হ্যাশটিকে পুনরায় তৈরি করার চেষ্টা করে। যদি রিসিভার একই আইডি হ্যাশটিকে পুনরায় তৈরি করতে সক্ষম হয় তবে এটি প্রাপকের কাছে প্রমাণিত হয় যে প্রেরকের অবশ্যই সঠিক প্রাক-ভাগ-কি থাকতে হবে।
এটি এখানে আরএফসিতে বর্ণিত হয়েছে:
প্রোটোকলের আরম্ভকারীকে এক্সচেঞ্জের অনুমোদনের জন্য HASH_I উত্পন্ন করে এবং প্রতিক্রিয়াকারী HASH_R উত্পন্ন করে যেখানে:
HASH_I = prf(SKEYID, g^xi | g^xr | CKY-I | CKY-R | SAi_b | IDii_b ) HASH_R = prf(SKEYID, g^xr | g^xi | CKY-R | CKY-I | SAi_b | IDir_b )
আইডিআইআই এবং আইডির আইডি পদ্ধতি। এবং HASH_I এবং HASH_R হ'ল প্রবর্তক এবং প্রতিক্রিয়াশীল হ্যাশ। এই দুটিই প্রথম ধাপে ভাগ করা হয়েছে। আরএফসি থেকে:
পূর্ব-ভাগ করা কী প্রমাণীকরণ করার সময়, মেইন মোডটি নিম্নরূপে সংজ্ঞায়িত করা হয়:
Initiator Responder ---------- ----------- HDR, SA --> <-- HDR, SA HDR, KE, Ni --> <-- HDR, KE, Nr HDR*, IDii, HASH_I --> <-- HDR*, IDir, HASH_Rপ্রাক-ভাগ করা কী সহ আগ্রাসী মোডটি নীচে বর্ণিত:
Initiator Responder ----------- ----------- HDR, SA, KE, Ni, IDii --> <-- HDR, SA, KE, Nr, IDir, HASH_R HDR, HASH_I -->
এবং এখন, আমরা শেষ পর্যন্ত আপনার প্রশ্নের পুরোপুরি উত্তর দিতে পারি:
প্রি-শেয়ার্ড-কীটি নোনেসের সাথে একটি পিআরএফ এবং সংলাপে অন্য কারও কাছে পরিচিত অন্য মানগুলির একটি গোষ্ঠী ব্যবহার করে একত্রিত হয়। ফলাফলটি এমন একটি মান যা কেবলমাত্র দুটি পক্ষই পারস্পরিকভাবে অর্জন করতে পারে যদি উভয় পক্ষই একই মান - উরফ, একই প্রাক-ভাগ-কী দিয়ে শুরু করে। ফলাফলটি তারে ভাগ করে নেওয়া হয় যা দুটি পক্ষকে প্রাক-ভাগ-কি-এর সাথে কোনও তথ্য প্রকাশ না করেই পূর্ব-ভাগ-কীগুলির সাথে মিল রয়েছে তা যাচাই করতে দেয় allows
উপরে বর্ণিত "ফলস্বরূপ মান" এর বিনিময়কে এনক্রিপ্ট করে মেন মোড একধাপ আরও সুরক্ষিত হয়ে যায়, প্রাক-ভাগ-কী কী ছিল সে সম্পর্কে কোনও দরকারী তথ্য আহরণ করা আরও জটিল করে তোলে।
(মনে হয় আমি এই সংক্ষিপ্তভাবে উত্তর দিতে খারাপভাবে ব্যর্থ হয়েছি)
আপনার উত্তরটি আপনার প্রশ্নের মধ্যে রয়েছে: ডিফি-হেলম্যান এক্সচেঞ্জটি একটি সাধারণ কী (যেমন প্রাক ভাগ) নিরাপদে বিনিময় করতে একটি সাধারণ কী তৈরি করতে ব্যবহৃত হয়।
এটি দেখুন: /security/67953/unders বোঝ- ডিফি-হেলম্যান- কি- এক্সচেঞ্জ