IKEv2 ist ein VPN-Protokoll, das zur Absicherung von VPN-Verbindungen verwendet wird. Als Teil der IPSec-Protokollfamilie(neues Fenster) wird es manchmal (und streng genommen korrekterweise) als IKEv2/IPSec bezeichnet.
Ein VPN-Protokoll ist eine Reihe von Anweisungen oder Regeln, die bestimmen, wie die Verbindung zwischen deinem Gerät und dem VPN-Server hergestellt wird.
Erfahre mehr darüber, wie ein VPN funktioniert
Das Protokoll bestimmt, wie sicher und schnell eine Verbindung ist. OpenVPN und WireGuard® sind alternative VPN-Protokolle, die wir inzwischen ausschließlich in offiziellen Proton VPN-Apps verwenden (plus Stealth, das auf WireGuard basiert). Du kannst Proton VPN jedoch weiterhin mit IKEv2 auf VPN-Clients von Drittanbietern einrichten.
IKEv2 ist das VPN-Protokoll, das offiziell auf allen Apple-Geräten (Mac-Computern, iPhones und iPads) unterstützt wird, aber die Art und Weise, wie Apple VPN-Verbindungen implementiert, ist äußerst fehlerhaft.
Was ist IPSec?
Internet Protocol Security (IPSec) ist eine flexible Protokollfamilie, die einen Rahmen für die Absicherung von VPN-Verbindungen bietet. Entscheidend ist, dass sie:
- Richtet den Schlüsselaustausch zwischen deinem Gerät und dem VPN-Server ein.
- Bietet Authentifizierung, um die Quelle von Datenpaketen zu verifizieren und sicherzustellen, dass sie während der Übertragung nicht manipuliert wurden.
- Verschlüsselt und entschlüsselt Daten, die über die VPN-Verbindung gesendet werden
Da IPSec eher ein Framework als eine eigenständige Komplettlösung ist, unterstützt es mehrere Protokolle und Verschlüsselungsstandards zur Ausführung dieser Funktionen.
Was ist IKEv2?
IKEv2 ist die zweite Version des Internet Key Exchange (IKE)-Protokolls. Ursprünglich von Microsoft und Cisco als Teil der IPSec-Suite entwickelt, gibt es heute viele Open-Source-Versionen des Protokolls.
IKE wird verwendet, um eine Sicherheitsassoziation(neues Fenster) (SA) für IPSec einzurichten, wenn dein Gerät und der VPN-Server verbunden werden. Das heißt, es ist für das Aushandeln einer Reihe von einvernehmlich vereinbarten Schlüsseln und Algorithmen verantwortlich, die von beiden Parteien verwendet werden.
IKE basiert auf dem Oakley-Protokoll(neues Fenster) und dem Internet Security Association and Key Management Protocol(neues Fenster) (ISAKMP). Es verwendet X.509-Zertifikate(neues Fenster) für die Authentifizierung und einen Diffie-Hellman-Schlüsselaustausch(neues Fenster) (DHE) zur Absicherung des Schlüsselaustauschs.
Wenn IPSec mit IKEv1 verwendet wird, wird es oft einfach als IPSec bezeichnet. IKEv2 wurde 2005 veröffentlicht und verbessert IKEv1 in mehreren wesentlichen Punkten. Es verbraucht beispielsweise weniger Bandbreite und kann erkennen, ob eine Verbindung noch aktiv ist. Wenn dies nicht der Fall ist, kann IKEv2 eine getrennte Verbindung schnell wiederherstellen.
Eine weitere Verbesserung ist die Unterstützung des Mobility and Multihoming (MOBIKE)-Protokolls, mit dem IKEv2 problemlos das Netzwerk wechseln kann. Zum Beispiel beim Wechsel zwischen Hotspots oder zwischen dem Heim-WLAN und mobilen Verbindungen.
IKEv2 ist außerdem resistenter gegen Denial-of-Service-Angriffe(neues Fenster) (DoS) als IKEv1, ist effizienter in Bezug auf die Anzahl der verwendeten kryptografischen Mechanismen und kann problemlos NAT-Firewalls durchqueren(neues Fenster).
Ist IKEv2/IPSec sicher?
Der Konsens unter Kryptografie-Experten ist, dass IKEv2/IPSec ein sicheres VPN-Protokoll ist.
Im Jahr 2013 veröffentlichte John Gilmore(neues Fenster), ein Technologieexperte und Gründungsmitglied der Electronic Frontier Foundation, ein Whitepaper, in dem er darlegte, wie IPSec während seiner Entwicklungsphase absichtlich geschwächt wurde(neues Fenster). Zudem ließen die von Edward Snowden(neues Fenster) erlangten Enthüllungen über das Bullrun-Programm(neues Fenster) der US-National Security Agency(neues Fenster) (NSA) weitere Zweifel an der Sicherheit von IPSec aufkommen.

IPSec weist jedoch keine bekannten Schwachstellen auf, wenn es mit IKEv2 implementiert wird (Apples Implementierung von IKEv2 ist problematisch, aber das Problem liegt bei Apple, nicht bei IKEv2/IPSec selbst).
Fazit — IKEv2 vs. OpenVPN und WireGuard
Obwohl IKEv2 als sicher gilt, wird OpenVPN als noch sicherer eingestuft und kann über TCP betrieben werden, um eine höhere Zensurresistenz zu gewährleisten. WireGuard gilt als ebenso sicher wie OpenVPN, ist aber auch viel schneller. Bei der Implementierung von Proton VPN kann es zudem über TCP laufen.
Auch wenn an IKEv2 nichts auszusetzen ist, gibt es heutzutage kaum noch einen Grund, es gegenüber OpenVPN oder (insbesondere) WireGuard vorzuziehen.
IKEv2 wird weiterhin weithin unterstützt, da es das offiziell unterstützte VPN-Protokoll auf Apple-Geräten ist. Aber wie bereits erwähnt, sollte man die Implementierung von IKEv2 durch Apple lieber meiden.






