Next: 3 Connessioni gateway-to-gateway: la Up: 5 L'instaurazione della connessione Previous: 1 Il DNS sicuro: Indice Indice analitico
, mentre utilizzando un server centrale la
complessità è
.
È attualmente allo studio all'IETF il protocollo KINK (Kerberized Internet Negotiation of Keys) ([23] e [15]), che utilizza Kerberos [24] per costruire e gestire delle security association per IPsec. KINK è un protocollo centralizzato di gestione delle chiavi e può quindi essere utilizzato al posto di IKE, ma è importante notare che non è in grado di sostituire completamente (cioè in ogni situazione) IKE, il quale permette a due interlocutori qualsiasi di autenticarsi vicendevolmente senza l'intervento di una terza parte. È progettato per essere più veloce e leggero rispetto ad IKE, sia per il numero di messaggi scambiati sia per il carico computazionale (riducendo al minimo le onerose operazioni di crittografia asimmetrica), e permette una gestione centralizzata delle politiche di sicurezza.
KINK utilizza i dati forniti da Kerberos per effettuare uno scambio simile alla fase 2 di IKE, in modo da negoziare una security association in soli due o tre messaggi, mentre non prevede nulla di analogo ad uno scambio IKE fase 1. Ha una struttura simile ad ISAKMP (che anzi in parte utilizza) nel prevedere un insieme di payload con diverse funzioni che vengono poi combinati per costruire i messaggi del protocollo. KINK non richiede alcuna modifica né ad IPsec né ad IKE; attualmente non esistono sue implementazioni, se non a scopi sperimentali connessi alla sua definizione.
©2001 Davide Cerri