04IPsec와 IKEIPsec와 IKE

대칭 암호화에서는 양쪽이 같은 키로 암·복호화 합니다. 그런데 그 키를 안전하게 나눠 갖는 것이 문제입니다. IKE(Internet Key Exchange) 의 목표는 양쪽이 키를 직접 주고받지 않고도 똑같은 대칭 키를 독립적으로 만들어 내는 것입니다.

비결이 Diffie-Hellman(DH) 입니다. 한쪽의 개인 키와 다른 쪽의 공개 키로 "공유 비밀(shared secret)"을 만들 어, IPsec 대칭 키를 이로부터 파생합니다 — 그래서 대칭 키가 실제로 전송되는 일이 전혀 없 습니다. IKE는 이렇게 양쪽을 인증하고 암호화·무결성 방법에 합의해 터널을 세우며, 그 결과물이 SA(Security Association) 입니다.

IKE는 두 phase 로 이뤄지고, 첫 단계가 둘째 단계의 토대를 놓습니다.

IKE Phase I 에서는 피어가 인증(인증서 또는 사전 공유 비밀)하고, Diffie-Hellman 키를 만들 며, Phase II를 위한 방법에 합의합니다. DH 키 생성은 느리고 무겁지만, 그 결과물인 IKE SA 가 Phase II의 키·방법 합의가 됩니다.

IKE Phase II(Quick Mode)는 Phase I에서 합의한 키·방법으로 암호화 된 채 진행되어, IPsec 키를 만드는 자재를 교환 합니다. 그 결과물이 IPsec SA 이고, 이 키·방법에 따라 실제 대량 데이터가 암호화되어 터널을 흐릅 니다.

IKEv2 는 Simplified 모드 VPN 커뮤니티에서 지원 되며, VPN Community 객체의 Encryption 에서 설정합니다(기본은 IKEv1). IPv6 트래픽에는 항상 IKEv2가 자동으로 쓰이고, 암호화 방법 설정은 IPv4에만 적용됩니다.

협상에서 두 파라미터가 정해집니다 — 암호화 알고리즘(AES-128·AES-256 등) 과 해시(무결성) 알고리즘 입니다. Phase 1(IKE SA)과 Phase 2(IPsec SA) 각각에 대해 정하며, VPN Community 객체의 Encryption 설정에서 조정합니다. 더 강력한 양자 내성 키 교환은 Quantum Safe Key Exchange에서, 인증서 기반 인증은 PKI에서 다룹니다.