Internet Key Exchange (IKE) adalah seperangkat protokol dukungan yang dibuat oleh Internet Engineering Task Force (IETF) dan digunakan dengan standar keamanan protokol Internet (IPSec) untuk menyediakan komunikasi yang aman antara dua perangkat, atau rekan, melalui jaringan. Sebagai protokol, IKE dapat digunakan di sejumlah aplikasi perangkat lunak. Salah satu contoh umum adalah menyiapkan jaringan pribadi virtual (VPN) yang aman. Meskipun standar pada hampir semua sistem operasi komputer modern dan peralatan jaringan, banyak dari apa yang dilakukan Internet Key Exchange tersembunyi dari pandangan rata-rata pengguna.
Protokol di IKE menetapkan apa yang disebut asosiasi keamanan (SA) antara dua atau lebih rekan melalui IPSec, yang diperlukan untuk komunikasi aman apa pun melalui IPSec. SA mendefinisikan algoritme kriptografi yang digunakan dalam komunikasi, kunci enkripsi, dan tanggal kedaluwarsanya; ini semua kemudian masuk ke database asosiasi keamanan masing-masing rekan (SAD). Sementara IPSec dapat mengonfigurasi SA-nya secara manual, Internet Key Exchange merundingkan dan menetapkan asosiasi keamanan di antara rekan-rekan secara otomatis, termasuk kemampuan untuk membuatnya sendiri.
Internet Key Exchange dikenal sebagai protokol hybrid. IKE menggunakan kerangka protokol yang dikenal sebagai Internet Security Association and Key Management Protocol (ISAKMP). ISAKMP memberi IKE kemampuan untuk membangun SA, dan melakukan tugas mendefinisikan format payload data dan memutuskan protokol pertukaran kunci yang akan digunakan. ISAKMP mampu menggunakan beberapa metode untuk bertukar kunci, tetapi implementasinya di IKE menggunakan aspek dua. Sebagian besar proses pertukaran kunci menggunakan metode OAKLEY Key Determination Protocol (OAKLEY), yang mendefinisikan berbagai mode, tetapi IKE juga menggunakan beberapa metode Mekanisme Pertukaran Kunci Sumber (SKEME), yang memungkinkan enkripsi kunci publik dan memiliki kemampuan untuk menyegarkan kunci dengan cepat.
Ketika rekan-rekan ingin berkomunikasi dengan aman, mereka mengirim apa yang disebut “lalu lintas menarik” satu sama lain. Lalu lintas yang menarik adalah pesan yang mematuhi kebijakan IPSec yang telah ditetapkan pada rekan-rekan. Salah satu contoh kebijakan ini ditemukan di firewall dan router disebut daftar akses. Daftar akses diberikan kebijakan kriptografi dimana pernyataan tertentu dalam kebijakan menentukan apakah data tertentu yang dikirim melalui koneksi harus dienkripsi atau tidak. Setelah rekan-rekan yang tertarik pada komunikasi aman telah mencocokkan kebijakan keamanan IPSec satu sama lain, proses Pertukaran Kunci Internet dimulai.
Proses IKE berlangsung secara bertahap. Banyak koneksi aman dimulai dalam keadaan tidak aman, jadi fase pertama merundingkan bagaimana kedua rekan akan melanjutkan proses komunikasi aman. IKE pertama-tama mengotentikasi identitas rekan-rekan dan kemudian mengamankan identitas mereka dengan menentukan algoritme keamanan mana yang akan digunakan oleh kedua rekan. Menggunakan protokol kriptografi kunci publik Diffie-Hellman, yang mampu membuat kunci yang cocok melalui jaringan yang tidak terlindungi, Internet Key Exchange membuat kunci sesi. IKE menyelesaikan Fase 1 dengan membuat koneksi aman, terowongan, antara rekan-rekan yang akan digunakan di Fase 2.
Ketika IKE memasuki Fase 2, rekan menggunakan IKE SA baru untuk menyiapkan protokol IPSec yang akan mereka gunakan selama sisa koneksi mereka. Header otentikasi (AH) dibuat yang akan memverifikasi bahwa pesan yang dikirim diterima utuh. Paket juga perlu dienkripsi, jadi IPSec kemudian menggunakan protokol keamanan enkapsulasi (ESP) untuk mengenkripsi paket, menjaganya tetap aman dari pengintaian. AH dihitung berdasarkan isi paket, dan paket dienkripsi, sehingga paket diamankan dari siapa pun yang mencoba mengganti paket dengan paket palsu atau membaca isi paket.
IKE juga menukar nonce kriptografis selama Fase 2. Nonce adalah angka atau string yang digunakan hanya sekali. Nonce tersebut kemudian digunakan oleh rekan jika perlu membuat kunci rahasia baru atau untuk mencegah penyerang menghasilkan SA palsu, mencegah apa yang disebut serangan replay.
Manfaat pendekatan multi-fase untuk IKE adalah bahwa dengan menggunakan SA Fase 1, salah satu rekan dapat memulai Fase 2 kapan saja untuk menegosiasikan ulang SA baru guna memastikan komunikasi tetap aman. Setelah Internet Key Exchange menyelesaikan fasenya, terowongan IPSec dibuat untuk pertukaran informasi. Paket yang dikirim melalui terowongan dienkripsi dan didekripsi sesuai dengan SA yang dibuat selama Fase 2. Setelah selesai, terowongan berakhir, dengan kedaluwarsa berdasarkan batas waktu yang ditentukan sebelumnya, atau setelah sejumlah data telah ditransfer. Tentu saja, negosiasi Fase 2 IKE tambahan dapat membuat terowongan tetap terbuka atau, sebagai alternatif, memulai negosiasi Fase 1 dan Fase 2 baru untuk membangun terowongan baru yang aman.