Automatic keying

Hier bestimmt der Pluto Daemon den Schlüssel mithilfe des IPSec Key Exchange Protokolls (IKE).
Verbindungen werden automatisch periodisch mit neuen Schlüsseln versehen (rekeyed). Automatic keying ist sicherer, da der Schlüssel periodisch also jede Stunde bzw. nach einigen Minuten ausgetauscht werden kann, ohne die Verbindung zu unterbrechen. Hat ein Angreifer root Rechte erlangt, so reicht es beim manual keying aus die Datei /etc/ipsec.conf zu lesen um alle verschlüsselten Nachrichten entschlüsseln zu können. Beim automatic keying enthält die Datei /etc/ipsec.secrets keine Schlüssel sondern nur ein Geheimnis, um den authentifizierten Schlüsselaustausch zu bewerkstelligen. Diese Eigenschaft vom automatischen Schlüsselaustausch ist auch unter dem Namen Perfect Forward Secrecy (PFS) bekannt. Besitzt eine unberechtigte Person jedoch das Geheimnis, kann ein aktiver Angriff (man-in-the-middle Attack) gestartet werden. Auch dieses Geheimnis sollte somit geschützt sein.