Authentification
Les VPN IPsec prennent en charge l'authentification. En cas de relations professionnelles établies sur de longues distances, il est nécessaire de connaître l'identité de la personne qui est à l'autre extrémité du téléphone, de l'e-mail ou du télécopieur. Il en est de même pour les réseaux privés virtuels. Le périphérique situé à l'autre extrémité du tunnel VPN doit être authentifié avant que le chemin de communication ne puisse être considéré comme étant sécurisé, comme le montre la figure. Il existe deux méthodes d’authentification des homologues :
- PSK : clé secrète devant être partagée entre les deux parties par le biais d'un canal sécurisé avant son utilisation. Les clés prépartagées (PSK) utilisent des algorithmes cryptographiques à clé symétrique. Une clé PSK est entrée manuellement dans tous les homologues et sert à les authentifier. À chaque extrémité, la clé PSK est associée à d’autres informations pour constituer la clé d’authentification.
- Signatures RSA : des certificats numériques sont échangés pour l'authentification des homologues. Le périphérique local calcule un hachage et le chiffre avec sa clé privée. Le hachage chiffré, ou signature numérique, est attaché au message et transmis à l'extrémité distante. À l’extrémité distante, le hachage chiffré est déchiffré à l’aide de la clé publique du périphérique local. Si le hachage déchiffré correspond au hachage recalculé, la signature est authentique.
Le protocole IPsec utilise la technologie RSA (cryptographie à clé publique) pour l'authentification dans le cadre d'IKE. La méthode de signature RSA utilise la configuration d'une signature numérique au cours de laquelle chaque périphérique signe numériquement un ensemble de données, puis envoie celles-ci à l'autre partie. Les signatures RSA utilisent une autorité de certification pour générer un certificat numérique d'identité unique, qui est attribué à chaque homologue à des fins d'authentification. Le certificat numérique d'identité fonctionne de manière similaire à une clé prépartagée (PSK), mais il offre une sécurité bien supérieure. Chaque initiateur et répondeur d'une session IKE utilisant des signatures RSA envoie sa propre valeur d'ID, son certificat numérique d'identité ainsi qu'une valeur de signature RSA composée de plusieurs valeurs IKE, toutes ces données étant chiffrées à l'aide d'une méthode de chiffrement IKE négociée (par exemple AES).
La technologie DSA (Digital Signature Algorithm) est une autre option d'authentification.