IKEv2 is een VPN-protocol dat wordt gebruikt om VPN-verbindingen te beveiligen. Als onderdeel van de IPSec-protocolsuite(nieuw venster) wordt er soms (en strikt genomen correcter) naar verwezen als IKEv2/IPSec.

Een VPN-protocol is een reeks instructies of regels die bepalen hoe de verbinding tussen uw apparaat en de VPN-server tot stand wordt gebracht.

Meer informatie over hoe een VPN werkt

Het protocol bepaalt hoe veilig en snel een verbinding is. OpenVPN en WireGuard® zijn alternatieve VPN-protocollen die we nu uitsluitend gebruiken in de officiële Proton VPN-apps (plus Stealth, dat is gebaseerd op WireGuard). U kunt Proton VPN echter nog steeds instellen met IKEv2 op VPN-clients van derden.

Meer informatie over OpenVPN

Meer informatie over WireGuard

IKEv2 is het VPN-protocol dat officieel wordt ondersteund op alle Apple-apparaten (Mac-computers, iPhones en iPads), maar de manier waarop Apple VPN-verbindingen implementeert, is ernstig gebrekkig.

Wat is IPSec?

Internet Protocol Security (IPSec) is een flexibele protocolsuite die een raamwerk biedt voor het beveiligen van VPN-verbindingen. Cruciaal is dat het:

  • De sleuteluitwisseling tot stand brengt tussen uw apparaat en de VPN-server. 
  • Verificatie biedt om de bron van datapakketten te controleren en te garanderen dat er tijdens het transport niet onrechtmatig mee is bewerkt.
  • Gegevens die over de VPN-verbinding worden verzonden, versleutelt en ontsleutelt

Als een raamwerk in plaats van een complete oplossing op zich, ondersteunt IPSec meerdere protocollen en versleutelingsstandaarden om deze functies uit te voeren.

Wat is IKEv2?

IKEv2 is de tweede iteratie van het Internet Key Exchange (IKE)-protocol. Oorspronkelijk ontwikkeld door Microsoft en Cisco als onderdeel van de IPSec-suite, zijn er nu veel open-sourceversies van het protocol.

IKE wordt gebruikt om een beveiligingsassociatie(nieuw venster) (SA) voor IPSec in te stellen bij het verbinden van uw apparaat en de VPN-server. Dat wil zeggen dat het verantwoordelijk is voor het onderhandelen over een set onderling overeengekomen sleutels en algoritmen die door beide partijen moeten worden gebruikt.

IKE is gebouwd op het Oakley-protocol(nieuw venster) en het Internet Security Association and Key Management Protocol(nieuw venster) (ISAKMP). Het maakt gebruik van X.509-certificaten(nieuw venster) voor verificatie en een Diffie-Hellman-uitwisseling(nieuw venster) (DHE) om de sleuteluitwisseling te beveiligen.

Wanneer IPSec met IKEv1 wordt gebruikt, wordt er vaak simpelweg naar verwezen als IPSec. IKEv2 werd uitgebracht in 2005 en verbetert IKEv1 op verschillende belangrijke manieren, waaronder het gebruik van minder bandbreedte en het kunnen detecteren of een verbinding nog actief is. Als dat niet het geval is, kan IKEv2 snel een verbroken verbinding herstellen.

Een andere verbetering is de ondersteuning voor het Mobility and Multihoming (MOBIKE)-protocol, waarmee IKEv2 eenvoudig van netwerk kan wisselen. Bijvoorbeeld bij het verplaatsen tussen hotspots of tussen wifi thuis en mobiele verbindingen.

IKEv2 is ook beter bestand tegen denial of service(nieuw venster) (DoS)-aanvallen dan IKEv1, is efficiënter wat betreft het aantal cryptografische mechanismen dat het gebruikt, en kan gemakkelijk door NAT-firewalls navigeren(nieuw venster).

Is IKEv2/IPSec veilig?

De consensus onder cryptografische experts is dat IKEv2/IPSec een veilig VPN-protocol is.

In 2013 publiceerde John Gilmore(nieuw venster), een technologiespecialist en medeoprichter van de Electronic Frontier Foundation, een whitepaper waarin werd geschetst hoe IPSec opzettelijk werd verzwakt(nieuw venster) tijdens de ontwerpfase. Bovendien wekten onthullingen van Edward Snowden(nieuw venster) over het Bullrun-programma(nieuw venster) van de Amerikaanse National Security Agency(nieuw venster) (NSA) verdere twijfel over de veiligheid van IPSec.

Dia verkregen door Edward Snowden die toont dat GCHQ ongespecificeerde mogelijkheden heeft tegen IPSec

IPSec heeft echter geen bekende zwakheden wanneer het wordt geïmplementeerd met IKEv2 (de implementatie van IKEv2 door Apple is problematisch, maar het probleem ligt bij Apple, niet bij IKEv2/IPSec zelf).

Laatste overwegingen — IKEv2 vs. OpenVPN en WireGuard

Hoewel IKEv2 als veilig wordt beschouwd, wordt OpenVPN als nog veiliger beschouwd en kan het via TCP worden uitgevoerd voor een grotere weerstand tegen censuur. WireGuard wordt als even veilig beschouwd als OpenVPN, maar is ook veel sneller. Onder de implementatie van Proton VPN kan het ook via TCP worden uitgevoerd.

Dus hoewel er niets mis is met IKEv2, is er tegenwoordig ook weinig reden om het te verkiezen boven OpenVPN of (vooral) WireGuard.

IKEv2 wordt nog steeds breed ondersteund omdat het het VPN-protocol is dat officieel wordt ondersteund op Apple-apparaten. Maar zoals we al hebben vermeld, kan de implementatie van IKEv2 door Apple het beste worden vermeden.