IKEv2 on VPN-protokolla, jota käytetään VPN-yhteyksien suojaamiseen. Se on osa IPSec-protokollaperhettä(uusi ikkuna), ja siihen viitataan joskus (ja tarkkaan ottaen oikeammin) nimellä IKEv2/IPSec.

VPN-protokolla on ohjeiden tai sääntöjen joukko, joka määrittää, miten laitteenne ja VPN-palvelimen välinen yhteys muodostetaan.

Lue lisää siitä, miten VPN toimii

Protokolla määrittää, kuinka turvallinen ja nopea yhteys on. OpenVPN ja WireGuard® ovat vaihtoehtoisia VPN-protokollia, joita käytämme nykyään yksinomaan virallisissa Proton VPN -sovelluksissa (mukaan lukien WireGuardiin perustuva Stealth). Voitte kuitenkin edelleen määrittää Proton VPN:n käyttämään IKEv2-protokollaa ulkopuolisen tahon VPN-asiakasohjelmissa.

Lue lisää OpenVPN:stä

Lue lisää WireGuardista

IKEv2 on VPN-protokolla, jota tuetaan virallisesti kaikissa Apple-laitteissa (Mac-tietokoneissa, iPhoneissa ja iPadeissa), mutta tapa, jolla Apple toteuttaa VPN-yhteydet, on erittäin puutteellinen.

Mikä on IPSec?

Internet Protocol Security (IPSec) on joustava protokollaperhe, joka tarjoaa puitteet VPN-yhteyksien suojaamiseen. Ennen kaikkea se:

  • Määrittää avaimenvaihdon laitteenne ja VPN-palvelimen välillä. 
  • Tarjoaa tunnistautumisen tietopakettien lähteen todentamiseksi ja varmistaa, ettei niitä ole sormeiltu siirron aikana.
  • Salaa ja purkaa VPN-yhteyden kautta lähetetyn datan salauksen

Koska IPSec on pikemminkin viitekehys kuin itsenäinen kokonaisratkaisu, se tukee useita protokollia ja salaustandardeja näiden toimintojen suorittamiseksi.

Mikä on IKEv2?

IKEv2 on Internet Key Exchange (IKE) -protokollan toinen versio. Sen kehittivät alun perin Microsoft ja Cisco osaksi IPSec-protokollaperhettä, ja nykyään protokollasta on useita avoimen lähdekoodin versioita.

IKE-protokollaa käytetään luomaan suojausliitto(uusi ikkuna) (security association, SA) IPSecille, kun laitteenne muodostaa yhteyden VPN-palvelimeen. Se vastaa siis molempien osapuolten yhdessä sopimien avainten ja algoritmien neuvottelemisesta.

IKE perustuu Oakley-protokollaan(uusi ikkuna) ja Internet Security Association and Key Management Protocol(uusi ikkuna) (ISAKMP) -protokollaan. Se käyttää X.509-varmenteita(uusi ikkuna) tunnistautumiseen ja Diffie-Hellman-avaimenvaihtoa(uusi ikkuna) (DHE) avaimenvaihdon suojaamiseen.

Kun IPSeciä käytetään IKEv1-protokollan kanssa, siihen viitataan usein pelkästään nimellä IPSec. IKEv2 julkaistiin vuonna 2005, ja se parantaa IKEv1-versiota useilla tärkeillä tavoilla, kuten käyttämällä vähemmän kaistanleveyttä ja kykenemällä havaitsemaan, onko yhteys edelleen aktiivinen. Jos yhteys katkeaa, IKEv2 voi nopeasti muodostaa sen uudelleen.

Toinen parannus on sen tuki Mobility and Multihoming (MOBIKE) -protokollalle, jonka ansiosta IKEv2 voi vaihtaa verkkoja helposti. Esimerkiksi siirryttäessä yhteyspisteestä toiseen tai kodin Wi-Fi-yhteyden ja mobiiliyhteyden välillä.

IKEv2 sietää myös paremmin palvelunestohyökkäyksiä(uusi ikkuna) (DoS) kuin IKEv1, on tehokkaampi käyttämiensä kryptografisten mekanismien määrässä ja pystyy helposti ohittamaan NAT-palomuurit(uusi ikkuna).

Onko IKEv2/IPSec turvallinen?

Kryptografian asiantuntijoiden keskuudessa vallitsee yksimielisyys siitä, että IKEv2/IPSec on turvallinen VPN-protokolla.

Vuonna 2013 John Gilmore(uusi ikkuna), teknologia-asiantuntija ja Electronic Frontier Foundation -järjestön perustajajäsen, julkaisi raportin, jossa kerrottiin, kuinka IPSeciä heikennettiin tahallaan(uusi ikkuna) sen suunnitteluvaiheessa. Lisäksi Edward Snowdenin(uusi ikkuna) paljastukset Yhdysvaltain kansallisen turvallisuusviraston(uusi ikkuna) (NSA) Bullrun-ohjelmasta(uusi ikkuna) herättivät lisää epäilyksiä IPSecin turvallisuudesta.

Edward Snowdenin hankkima esityskalvo, joka osoittaa GCHQ:lla olevan määrittelemättömiä kykyjä IPSeciä vastaan

IPSecissä ei kuitenkaan ole tunnettuja heikkouksia, kun se toteutetaan IKEv2-protokollalla (Applen IKEv2-toteutus on ongelmallinen, mutta ongelma on Applessa, ei itse IKEv2/IPSec-protokollassa).

Loppuajatukset — IKEv2 vs. OpenVPN ja WireGuard

Vaikka IKEv2-protokollaa pidetään turvallisena, OpenVPN:ää pidetään vieläkin turvallisempana, ja sitä voidaan ajaa TCP-yhteyden yli sensuurin sietokyvyn parantamiseksi. WireGuardia pidetään yhtä turvallisena kuin OpenVPN:ää, mutta se on myös paljon nopeampi. Proton VPN:n toteutuksessa se voi myös toimia TCP-yhteyden yli.

Vaikka IKEv2-protokollassa ei siis ole mitään vikaa, on nykyään myös vähän syitä käyttää sitä OpenVPN:n tai (etenkin) WireGuardin sijaan.

IKEv2-protokollalla on edelleen laaja tuki, koska se on Apple-laitteissa virallisesti tuettu VPN-protokolla. Kuten kuitenkin jo mainitsimme, Applen IKEv2-toteutusta on parasta välttää.