2.5.4 Nonce
Setiap pesan IKE_SA_INIT pesan awal negosiasi SA mengandung sebuah nonce, Nonce merupakan suatu data yang memiliki nilai tertentu dan
digunakan untuk sekali pakai. Nonce digunakan sebagai salah satu input dalam fungsi kriptografi. Pesan IKE lainnya seperti CREATE_CHILD_SA request dan
CREATE_CHILD_SA response juga mengandung nilai nonce. Penggunaan nonce dilakukan untuk meningkatkan kekuatan pseudo-random bits dari kunci Diffie-
Hellman. Nonce yang digunakan dalam IKEv2 harus secara acak dipilih, dan harus
berukuran paling tidak 128 bytes, dan harus berukuran paling tidak setengah dari ukuran kunci yang dinegosiasikan pseudo-random functionprf atau pseudo-
random function adalah salah satu algoritma kriptografi yang dinegosiasikan dalam proses negosiasi IKE.
2.5.5 Penggunaan Alamat dan Port
IKEv2 berjalan diatas port UDP 500 dan 4500, dan secara implisit mengasosiasikan ESP menggunakan alamat IP yang sama. Tetapi suatu penerapan
IKE harus pula bisa menerima request bahkan jika source port adalah bukan 500 atau 4500, dan juga harus bisa merespon sesuai dengan alamat dan nomor port
yang diterima dari request. Alamat IP dan port pada outer headerheader terluar tidak secara
kriptografi terlindungi dikarenakan bahwa IKEv2 didesain untuk bekerja bahkan melalui Network Address TranslationNAT.
30
2.5.6 Pembuatan Material Kunci
Terdapat empat algoritma kriptografi yang dinegosiasikan dalam negosiasi IKE_SA yaitu algoritma enkripsi, algoritma perlindungan integritas, grup Diffie-
Hellman, dan pseudo-random functionprf. Prf digunakan dalam konstruksi material kunci untuk semua algoritma kriptografi yang digunakan baik dalam
IKE_SA maupun CHILD_SA.
2.5.7 Penanganan Error
Terdapat beberapa macam error yang dapat muncul selama pemrosesan IKE. Penanganan error dilakukan sesuai dengan kondisi-kondisi tertentu. Jika
suatu request diterima dalam format yang salah atau tidak sesuai dengan policy yang adamisalnya tidak ada algoritma enkripsi yang cocok, maka respon harus
mengandung pesan berupa notify yang mengindikasikan error. Jika error muncul diluar konteks IKE requestmisalnya pesan yang diterima adalah pesan ESP tetapi
tidak ada SPI yang sesuai, maka node IKE sebaiknya menginisiasi suatu pertukaran informasi dengan menggunakan notify payload yang menjelaskan
tentang masalah tersebut. Terdapat tipe error lainnya yang mesti ditangani oleh suatu implementasi
IKE. Respon penanganan error tersebut bisa berupa ketetapan maupun standar RFC 4306.
2.5.8 Format Header IKEv2
IKE messagespesan-pesan IKE pada implementasi protokol IKEv2 menggunakan port UDP 500 danatau 4500. Setiap paket UDP berisi satu pesan
IKE. Jika pesan dikirim menggunakan port UDP 500, maka IKE message adalah persis sesudah header UDP. Sedangkan jika dikirim dengan port UDP 4500, maka
31
IKE message didahului oleh empat oktet32 bit bernilai nol. Empat oktet bernilai nol ini bukan merupakan bagian dari dari IKE message dan tidak termasuk dalam
length field atau checksum. Setiap IKE message dimulai dengan IKE header diikuti dengan IKE payload sesuai dengan identifikasi field Next Payload pada
header IKE atau payload sebelumnya. Format header IKEv2 dapat dilihat pada gambat berikut.
Gambar 2.13 Format Header IKEv2 Penjelasan ringkas untuk field dalam header IKEv2 adalah sebagai berikut.
• Initiator’s SPI8 oktet – Nilai yang dipilih intiator untuk
mengidentifikasi secara unik suatu SA IKE. •
Responder’s SPI8 oktet – Nilai yang dipilih responder untuk mengidentifikasi secara unik suatu SA IKE.
• Next Payload 1 oktet – Mengindikasikan tipe payload yang ada
setelah header. •
Major Version 4 bits – Mengindikasikan versi mayor dari protokol IKE. Field ini bernilai 2 pada implementasi IKEv2.
• Minor Version 4 bits – Mengindikasikan versi minor dari protokol
IKE. Field ini bernilai 0 pada implementasi IKEv2 berdasar RFC 4306. •
Exchange Type 1 octet – Mengindikasikan tipe exchangepertukaran yang dipergunakan.
Tabel 2.1 Tipe Exchange pada pertukaran IKEv2 Tipe Pertukaran
Nilai RESERVED
0-33
32
IKE_SA_INIT 34
IKE_AUTH 35
CREATE_CHILD_SA 36
INFORMATIONAL 37
RESERVED TO IANA 38-239
Reserved for private use 240-255
• Flags 1 octet – Mengindikasikan opsi-opsi yang diset untuk pesan.
• Message ID 4 octets – Message IDMessage Identifier digunakan
untuk mengendalikan retransmisi paket-paekt yang hilang dan untuk mencucokkan reqeust dan response.
• Length 4 octets – Panjang dari total message header + payload
dalam satuan oktet.
2.5.9 Tipe Payload IKEv2