1) ¿Qué es la gestión de claves? ¿Por qué gestión de claves?

Una clave de administración de claves es un código o número secreto que lee, modifica o verifica datos protegidos. Las claves se combinan con algoritmos (un proceso matemático) para proteger los datos. Windows XP maneja automáticamente la generación de claves y aplica los siguientes atributos de clave para una máxima protección:

Claves regeneradas dinámicamente

La política IPSec utiliza un método llamado recodificación dinámica de claves para controlar la frecuencia con la que se generan claves nuevas. generado durante las comunicaciones. La comunicación se envía en fragmentos, y cada fragmento de datos está protegido por una clave diferente. Esto evita que un atacante que ya haya obtenido parte de la comunicación y la clave de sesión correspondiente obtenga el resto de la comunicación. Este servicio de negociación de seguridad de solicitud y administración automática de claves se proporciona mediante "Intercambio de claves de Internet (IKE)" como se define en RFC 2409.

Las políticas IPSec le permiten controlar la frecuencia con la que se generan nuevas claves. Si no se configura ningún valor, la clave se regenerará automáticamente en el intervalo predeterminado.

Longitud de la clave

Cada bit adicional en la longitud de la clave duplica el número de claves posibles, lo que aumenta la dificultad de descifrar la clave. Las políticas IPSec proporcionan varios algoritmos que permiten el uso de claves de longitud corta o larga.

Generación de material de claves: Algoritmo Diffie-Hellman

Para lograr una comunicación segura, dos ordenadores deben poder obtener la misma * * * clave compartida (clave de sesión) sin tener que Enviar o filtrar claves a través de la red.

El algoritmo Diffie-Hellman (DH) aparece antes del cifrado Rivest-Shamir-Adleman (RSA) y puede proporcionar un mejor rendimiento. Este es uno de los algoritmos de intercambio de claves más antiguos y seguros. Ambas partes pueden intercambiar información clave públicamente y Windows XP protege aún más esta información mediante firmas de funciones hash. Ninguna de las partes intercambia claves reales, pero después de intercambiar el material de claves, cada parte puede generar la misma clave compartida.

El material de clave DH intercambiado por ambas partes puede basarse en material de clave de 768 bits o 1024 bits, es decir, grupo DH. La seguridad proporcionada por el grupo DH es comparable a la seguridad proporcionada por las claves calculadas a partir del intercambio DH. Los grupos DH que proporcionan una gran seguridad se utilizan junto con claves de gran longitud, lo que aumenta la dificultad computacional al intentar determinar la clave.

IPSec utiliza el algoritmo DH para proporcionar material clave para todas las demás claves de cifrado. DH no proporciona autenticación. En la implementación de Windows XP IPSec, la autenticación se realiza después del intercambio DH para evitar ataques de intermediario.