Jeder Aufbau einer SA erfolgt in mehreren Schritten (bei dynamischen Internet-Verbindungen erfolgen diese Schritte, nachdem die öffentliche IP-Adresse übertragen wurde):
- Per ISAKMP sendet der Initiator an die Gegenstelle eine Meldung im Klartext mit der Aufforderung zum Aufbau einer SA und Vorschlägen (Proposals) für die Sicherheitsparameter dieser SA.
- Die Gegenstelle antwortet mit der Annahme eines Vorschlags.
- Beide Geräte erzeugen nun Zahlenpaare (bestehend aus öffentlichem und privatem Zahlenwert) für das Diffie-Hellman-Verfahren.
- In zwei weiteren Mitteilungen tauschen beide Geräte ihre öffentlichen Zahlenwerte für Diffie-Hellman aus.
- Beide Seiten erzeugen aus übertragenem Zahlenmaterial (nach dem Diffie-Hellman-Verfahren) und Shared Secret einen gemeinsamen geheimen Schlüssel, mit dem die weitere Kommunikation verschlüsselt wird. Außerdem authentifizieren sich beide Seiten gegenseitig anhand von Hash-Codes ihres gemeinsamen Shared Secrets. Die sogenannte Phase 1 des SA-Aufbaus ist damit beendet.
- Phase 2 basiert auf der verschlüsselten und authentifizierten Verbindung, die in Phase 1 aufgebaut wurde. In Phase 2 werden die Sitzungsschlüssel für die Authentifizierung und die symmetrische Verschlüsselung des eigentlichen Datentransfers erzeugt und übertragen.
Anmerkung: Für die Verschlüsselung
des eigentlichen Datentransfers werden symmetrische Verfahren eingesetzt.
Asymmetrische Verfahren (auch bekannt als Public-Key-Verschlüsselung)
sind zwar sicherer, da keine geheimen Schlüssel übertragen werden müssen.
Zugleich erfordern sie aber aufwändige Berechnungen und sind daher deutlich
langsamer als symmetrische Verfahren. In der Praxis wird Public-Key-Verschlüsselung
meist nur für den Austausch von Schlüsselmaterial eingesetzt. Die eigentliche
Datenverschlüsselung erfolgt anschließend mit schnellen symmetrischen
Verfahren.