|
Glossar
A Abhören Unter Abhören versteht man das Mithören bzw. -lesen oder Aufzeichnen von Nachrichten, die über einen unsicheren Kanal ausgetauscht werden. Abhörgesetz Synonym für das G-10-Gesetz. Das G-10-Gesetz ist das Gesetz zum Artikel 10 des Grundgesetzes. Es regelt die Bedingungen für die heimliche Überwachung des Briefverkehrs und das Abhören des Telefonverkehrs. Access Conditions Masterfile (MF), Dedicated File (DE) und Elementary File (EF) werden durch Access Conditions geschützt, die den Zugriff auf die Karte regeln. adaptive chosen plaintext attack Klartextangriff mit Anpassung des gewählten Klartextes. Adleman, Leonard M. Leonard Adleman ist Professor für Computer Science an der University of Southern California in Los Angeles. Er war unter anderem an der Entwicklung von RSA beteiligt. RSA ist ein nach seinen Entwicklern R. Rivest, A. Shamir und L. Adleman entwickeltes asymmetrisches Verschlüsselungsverfahren. Adware Als Adware bezeichnet man (üblicherweise kostenlose und funktionell uneingeschränkte) Software, die dem Benutzer zusätzlich zur eigentlichen Funktionalität Werbebanner oder Werbe-Pop-ups zeigt. Diese Werbeeinblendungen lassen sich normalerweise nicht abschalten und sind meist immer sichtbar. Durch Vermarktung dieser Werbeflächen wird die Entwicklung der Software finanziert. Oft gibt es auch eine Option, gegen Bezahlung eine werbefreie Vollversion zu erhalten. Strittig ist, ob Adware automatisch als Spyware zu bezeichnen ist. Zwar wird von manchen werbefinanzierten Programmen nur wenig Information preisgegeben, alleine die Verbindungsdaten erlauben jedoch bereits vielfältige Rückschlüsse über Nutzungsverhalten und sind aus Datenschutzgründen problematisch AES Abkürzung für "Advanced Encryption Standard". Der AES ist der neue US-amerikanische Verschlüsselungsstandard. Aus 15 Kandidaten wurde das Verschlüsselungsverfahren Rijndahl ausgewählt, die Nachfolge des DES (Data Encryption Standard) anzutreten. Rijndahl ist ein Blockverschlüsselungsverfahren, das von Joan Daemen und Vincent Rijmen entwickelt wurde. Es arbeitet mit variablen Block- und Schlüssellängen. Akkreditierung (accreditation) Verfahren, das ein IT-System zum Betrieb in einer speziellen Umgebung freigibt. Alias Alternativname. Angriff mit Aufzeichnungswiederholung Methode der Kryptanalyse, die darauf beruht, Transaktionen mitzuschneiden und später erneut ablaufen zu lassen. Anonymität Im Bereich der Kommunikation wird unter Anonymität der Versand von E-Mail-Nachrichten oder die Übermittlung von Beiträgen an eine Newsgroup verstanden, ohne dass die Identität des Absenders bekannt wird. Gewöhnlich wird die E-Mail-Adresse des Absenders automatisch in den Kopf der Nachricht eingefügt, der von der Clientsoftware erzeugt wird. Um die Anonymität zu gewahren, muss die Nachricht an einen anonymen Remailer gesendet werden. Damit Rückantworten ermöglicht werden, setzt der anonyme Remailer eine Ersatzrückadresse ein. Aus dieser Adresse geht der reale Name des Absenders nicht hervor. ANSI Abkürzung für "American National Standards Institute". Unabhängiger, nicht profitorientierter Verband, der sich aus US-amerikanischen Unternehmens- und Industriegruppen zusammensetzt und 1918 zur Entwicklung von Handels- und Kommunikationsstandards gegründet wurde. ANSI ist die US-amerikanische Vertretung der ISO (International Standards Organization) und hat Empfehlungen für Programmiersprachen wie z. B. für FORTRAN, C oder COBOL entwickelt. Die Webseite des ANSI ist unter folgender Adresse erreichbar: www.ansi.org Applikation (application) Einsatz eines IT-Systems zur Erfüllung von Aufgaben, die in einem eingegrenzten fachlichen Bereich liegen und durch gemeinsame Merkmale ausgezeichnet sind. Application Program Data Unit (APDU) Dateneinheit, die zwischen Anwendungsprogrammen ausgetauscht wird. Hier: Kommandos an Chipkarten, Antworten von Chipkarten. ARPANET Ein großes Weitbereichsnetz, das in den 1960er-Jahren von der ARPA (Advanced Research Projects Agency), einer Behörde des US-amerikanischen Verteidigungsministeriums (U.S. Department of Defense), eingerichtet wurde. Die ARPA wurde in den 1970er-Jahren in DARPA umbenannt für "Defense Advanced Research Projects Agency". Die Intention für das ARPANET lag darin, einen freien Informationsaustausch zwischen Universitäten und Forschungseinrichtungen zu ermöglichen, aber auch das Militär verwendete das Netz zur Kommunikation. In den1980er-Jahren wurde das ARPANET von der militärischen Nutzung befreit, indem ein separates militärisches Netzwerk, das MILNET, errichtet wurde. Aus dem ARPANET entstand später das Internet. ASCII Abkürzung für "American Standard Code for Information Interchange", zu deutsch "amerikanischer Standardcode zum Informationsaustausch". Dabei handelt es sich um ein Codierungsschema, das jedem Zeichen aus einem Zeichensatz eine eindeutige Nummer zuordnet. Zur Codierung werden 7 oder 8 Bits verwendet, wodurch bis zu 256 Zeichen (Buchstaben, Ziffern, Satzzeichen, Steuerzeichen und andere Symbole) dargestellt werden können. ASCII wurde 1968 mit der Intention entwickelt, Datenübertragungen zwischen divergierenden Hardware- und Softwaresystemen zu standardisieren. ASCII ist in den meisten Minicomputern und in allen Personal Computern eingebaut. Asymmetrische Verfahren Asymmetrische Verfahren (oder Public Key) Verschlüsselungsverfahren benutzen im Gegensatz zu symmetrischen Verfahren zwei verschiedene Schlüssel zum Ent- und Verschlüsseln, wobei sich der eine nicht aus dem anderen ermitteln läßt. Authentifizierung Verfahren zur Überprüfung der Identität des Anwenders. Kann in einfacher Version mittels Passwort erfolgen. Komplexere Methoden verwenden mehrere Faktoren (etwa Chipkarte plus PIN) oder biometrische Merkmale Authentizität (authenticity) Eigenschaft, die sicherstellt, dass die von einem Subjekt oder einer Ressource behauptete Identität zutrifft. Authentizität betrifft Benutzer, Prozesse, Systeme und Informationen. Authentisierung (authentication) Nachweis der angegebenen Identität. B Backdoor Als Backdoor (auch Trapdoor, selten Hintertür) bezeichnet man einen (oft vom Autor eingebauten) Teil eines Computerprogrammes, der es Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer (oder einem Computerprogramm) zu erlangen. Eine Variante besteht darin, in einem System fest vorgegebene, nur dem Ersteller des Systems bekannte Passwörter oder andere versteckte Funktionen, die ein Login ohne die sonst übliche Authentifizierung ermöglichen, einzubauen. Bekanntes Beispiel hierfür ist wohl das von Award Software über mehrere Jahre vergebene BIOS-Universalpasswort lkwpeter. Publikumswirksam demonstriert wurde der Einsatz einer Hintertür auch im Kinofilm Jurassic Park. Als ein Vorteil quelloffener Software wird deshalb von der Open-Source-Bewegung oft angeführt, dass der Quelltext eines potenziell schädlichen Programms nach derartigen Hintertüren leicht von jedem selbst durchsucht werden könnte. Im Gegensatz dazu seien proprietäre Anwendungen nicht für jedermann einsehbar. Auch findet der Begriff Backdoor auch Anwendung als Bezeichnung für z. B. durch Trojaner nachträglich installierte Programmpakete, die Benutzern über das Internet Zugriff auf Computersysteme gewähren. Hierzu zählen z. B. Programme wie Sub Seven und Back Orifice. Bedrohung (threat) Möglicher Anlass für ein unerwünschtes Ereignis, das zu einem Schaden des Systems oder der Organisation führen kann bedrohtes Objekt. BDSG Abkürzung für "Bundesdatenschutzgesetz". Biometrie Verfahren zur Überprüfung der Identität des Anwenders anhand von Körpermerkmalen wie Iris, Fingerabdruck oder Gesichtsform. Blockverschlüsselung Bei der Blockchiffrierung wird der Klartext in Blöcke fester Länge unterteilt, die einzeln chiffriert werden. Blowfish Der Blowfish- bzw. Kugelfischalgorithmus ist ein von Bruce Schneier entwickeltes Verfahren zur Blockverschlüsselung. BND Abkürzung für "Bundesnachrichtendienst". Weitere Informationen finden Sie auf der Homepage des Bundesnachrichtendienstes. Bots, Botnets Unter einem Bot (abgekürzt vom Begriff robot abgeleitet) versteht man ein Computerprogramm, das weitgehend autonom ständig gleichen, sich wiederholenden Aufgaben nachgeht. Es handelt sich dabei meist um ein eher simples, aber effektives Programm. Gebräuchlich ist die Bezeichnung auch für quasi-selbständige Programme im Bereich der Künstlichen Intelligenz. Beispiele für Bots sind die Webcrawler von Internet-Suchmaschinen, die selbsttätig Webseiten besuchen, wobei sie den vorhandenen Links folgen und dabei ggf. den Inhalt der Seiten auswerten. „Gutartige“ Bots halten sich dabei an die Robot Exclusion Standards, mit denen Serverbetreiber das Botverhalten kontrollieren können. „Bösartige“ Bots werden zum Sammeln von E-Mail-Adressen für Spamzwecke, für das massenhafte unautorisierte Kopieren von Webinhalten bis hin zum systematischen Ausspionieren von Softwarelücken von Servern mit dem Ziel des Hackens von Servern eingesetzt. Maßnahmen gegen das unerwünschte Spidern von Websites basieren häufig auf dem Einsatz von sog. Honeypots zur automatischen Erkennung und einer darauf folgenden IP-basierten Aussperrung. Kommunizieren Bots untereinander in einem fernsteuerbaren Netzwerk, so spricht man von einem Botnet. Dabei infiziert in der Regel ein Angreifer zahlreiche Rechner mit einem Bot, der sich dann zu einem IRC-Server verbindet, einen bestimmten Channel betritt und dort auf Befehle des Botnet-Besitzers wartet, wie beispielsweise das Starten eines DDoS-Angriffs oder das Versenden von Spam. In Computerspielen werden computergesteuerte Akteure, die im Mehrspielermodus die Rollen von eigentlich menschlichen Spielern übernehmen, ebenfalls als Bots bezeichnet. Dies ist allerdings genreabhängig. Bei Rollenspielen bzw. wenn computergesteuerte Figuren eine Person verkörpern, spricht man beispielsweise von Nicht-Spieler-Charakteren (kurz NPCs genannt). Als Aimbot wird in Actionspielen jedoch nicht ein computersimulierter Spieler, sondern eine durch ein externes Programm bewerkstelligte Zielhilfe bezeichnet (siehe Cheat). Im IRC werden Bots zur Kontrolle und zum Offenhalten von Channels genutzt. Brute-Force-Angriff (engl. brute force attack) Unter einem Brute-Force-Angriff versteht man die Methode der Kryptanalyse, alle möglichen Schlüssel oder Passwörter auszuprobieren. BSI Abkürzung für "Bundesamt für Sicherheit in der Informationstechnik". Weitere Informationen finden Sie auf der Homepage des BSI. www.bsi.de Buffer Overflow Pufferüberläufe (engl. buffer overflow) gehören zu den häufigsten Sicherheitslücken in aktueller Software, die sich u. a. über das Internet ausnutzen lassen. Im Wesentlichen werden bei einem Pufferüberlauf durch Fehler im Programm zu große Datenmengen in einen dafür zu kleinen Speicherbereich geschrieben, wodurch dem Ziel-Speicherbereich nachfolgende Informationen im Speicher überschrieben werden. Das kann zu einem Absturz des betreffenden Programms, zur Verfälschung von Anwendungsdaten oder zur Beschädigung von Datenstrukturen der Laufzeitumgebung des Programms führen. Durch letzteres kann die Rücksprungadresse eines Unterprogramms mit beliebigen Daten überschrieben werden, wodurch dann auch in von einem Angreifer übersandten Daten übermittelter Maschinencode mit den Privilegien des für den Pufferüberlauf anfälligen Prozesses ausgeführt werden kann. Dieser Code hat in der Regel das Ziel, dem Angreifer einen komfortableren Zugang zum System zu verschaffen, damit dieser das System dann für seine Zwecke verwenden kann. Pufferüberläufe in verbreiteter Server- und Clientsoftware werden auch von Internetwürmern ausgenutzt. Besonders begehrtes Ziel ist bei Unix-Systemen der Root-Zugang, der dem Angreifer sämtliche Zugriffsrechte verleiht. Das bedeutet aber nicht, wie oft missverstanden, dass ein Pufferüberlauf, der „nur“ zu den Privilegien eines „normalen“ Benutzers führt, ungefährlich ist. Das Erreichen des begehrten Root-Zugangs ist oft viel einfacher, wenn man bereits Benutzerrechte hat. Angriffe mit Pufferüberläufen sind ein wichtiges Thema in der Computersicherheit und Netzwerksicherheit. Sie können nicht nur über jegliche Art von Netzwerken, sondern auch lokal auf dem System versucht werden. Behoben werden sie in der Regel nur durch kurzfristig gelieferte Fehlerkorrekturen (Patches) der Hersteller. Neben Nachlässigkeiten bei der Programmierung werden Pufferüberläufe vor allem durch auf der Von-Neumann-Architektur basierende Computersysteme ermöglicht, gemäß welcher Daten und Programm im gleichen Speicher liegen. Durch diese Hardwarenähe sind sie auch nur unter assemblierten oder kompilierten Programmiersprachen ein Problem. Interpretierte Sprachen sind, abgesehen von Fehlern im Interpreter, in der Regel nicht anfällig, da die Speicherbereiche für Daten immer unter vollständiger Kontrolle des Interpreters sind. Bundesnetzagentur Sie überwacht die Einhaltung des Signaturgesetzes und erteilt die Genehmigung für Zertifizierungsstellen. C Certification Authority (CA) Eine Certification Authority (Zertifizierungsstelle) ist eine vertrauenswürdige Institution, die öffentliche Schlüssel beglaubigt, also Zertifikate ausstellt. Dazu werden die darin enthaltenen Informationen, insbesondere die Identität des Schlüsselinhabers, überprüft. Certification Practice Statement (CPS) Das CPS ist ein Dokument, in dem die Vorgehensweise bei Zertifizierungen und die Anforderungen an Instanzen der Zertifizierungshierarchie festgelegt sind. Certificate Revocation List (CRL) CRL ist eine signierte Datei, in die alle vor Ablauf ihrer Gültigkeit widerrufenen Zertifikate aufgenommen werden. Allgemein ist der Unterzeichner solcher Listen die Instanz, welche selbst diese Zertifikate herausgibt und signiert. Es besteht die Möglichkeit, diese Listen durch andere Instanzen unterschreiben zu lassen. Listen dieser Art werden als "Indirect CRLs" bezeichnet. Die Verteilung der Listen erfolgt periodisch innerhalb vorgegebener Zeitintervalle. Innerhalb des CRL-Sperrmanagements können unterschiedliche Verteilungsmethoden zur Anwendung kommen. Clientzertifikat Clientzertifikate sind Zertifikate, die auf Anwenderseite z. B. im Browser zum Einsatz kommen. Sie dienen z. B. dazu, dass der Anwender sich bei Zugriff auf einen Webserver ausweisen kann. Zusätzlich können mithilfe dieser Zertifikate E-Mails und andere Dokumente verschlüsselt und signiert werden. Comma Separated Values (CSV) zu deutsch "kommabegrenzte Werte". Erweiterung für Textdateien, in denen eine Datenbank in Tabellenform gespeichert ist. Wie der Name andeutet, sind die einzelnen Datenfelder durch Kommata getrennt. Common Criteria (CC) Internationaler Standard zur Prüfung und Bewertung der Sicherheit von Informationstechnik. Der Common Criteria Standard wurde als ISO-Standard 15408 veröffentlicht. Er ist eine Weiterentwicklung der ITSEC (Information Technology Security Evaluation Criteria). Computer Emergency Response Team (CERT) CERT steht für Computer Emergency Response Team. Hierbei handelt es sich um Organisationen, die sich mit Computersicherheit befassen, Warnungen vor Sicherheitslücken herausgeben und Lösungsansätze bieten. Der Informationsfluss erfolgt dabei meistens über Mailinglisten. Dort werden sicherheitskritische Themen erörtert und aktuelle Warnungen ausgegeben. Nach Auftreten des ersten Computerwurms Morris-Wurm wurde das erste CERT am Software Engineering Institute an der Carnegie Mellon University im November 1988 gegründet. Das Software Engineering Institute wird durch öffentliche Mittel des US-Verteidigungsministeriums (Department of Defense) finanziert. Mittlerweile existieren mehrere CERTs in verschiedenen Ländern. In Deutschland hat sich neben dem CERT der Universität Stuttgart und dem CERT des Deutschen Fortschungsnetzes auch das Mcert etabliert. Dies richtet sich vor allem an klein- und mittelständische Unternehmen und wurde von dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) in Zusammenarbeit mit dem Bundesministerium des Innern und dem Bundesministerium für Wirtschaft und Arbeit gegründet. Aufgaben rund um die Computersicherheit in den Institutionen der Bundesrepublik Deutschland übernimmt seit dem 1. September 2001 das eigens hierfür gegründete CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik - BSI. Das BSI bietet darüberhinaus mit dem "Bürger-CERT" auch einen entsprechenden Dienst für Privatpersonen an. Cryptographic Token Interface (Cryptoki) Schnittstelle zum Austausch kryptografischer Daten. Cryptoki wird in PKCS#11 spezifiziert. Cryptographic Service Provider (CSP) Ein Softwaremodul, welches kryptografische Operationen durchführt. Die CSP-Schnittstelle ist die Windows-Standardschnittstelle zu Chipkarten mit kryptografischem Coprozessor. D Data Encryption Standard (DES) Der DES-Algorithmus wurde als offizieller Standard für die US-Regierung (siehe FIPS 46) im Jahr 1976 bestätigt und wird seither international vielfach eingesetzt. Seine Entstehungsgeschichte hat wegen der Beteiligung der NSA am Design des Algorithmus immer wieder Anlass zu Spekulationen über seine Sicherheit gegeben. Heute wird DES aufgrund der verwendeten Schlüssellänge von nur 56 Bits für viele Anwendungen als nicht ausreichend sicher erachtet. Die Schlüssellänge kann durch Mehrfachanwendung des DES jedoch leicht vergrößert werden. Als Triple-DES, TDES oder 3DES wird der DES weiterhin am häufigsten, zum Beispiel von Banken in Chipkartenanwendungen, eingesetzt, obwohl der TDES als offizieller Standard für die USA durch den Advanced Encryption Standard (AES) abgelöst wurde. DES3 Synonym für Triple-DES (Triple-Data Encryption Standard). DES3 ist eine Erweiterung des DES-Algorithmus. Dabei wird der DES-Algorithmus dreimal hintereinander ausgeführt, entweder mit zwei oder mit drei verschiedenen Schlüsseln, was einer effektiven Schlüssellänge von 112 Bit bzw. 168 Bit entspricht. Dedicated File (DF) Ein Dedicated File ist ein Verzeichnis im Dateisystem einer Chipkarte gemäß ISO 7816-4. Denial-of-Service (DoS)-Attacke Als Denial of Service (DoS, etwa Dienstverweigerung) bezeichnet man einen Angriff auf einen Host (Server) mit dem Ziel, einen oder mehrere seiner Dienste arbeitsunfähig zu machen. In der Regel geschieht dies durch Überlastung. Erfolgt der Angriff koordiniert von einer größeren Anzahl anderer Systeme aus, so spricht man von Verteilte Dienstblockade bzw. DDoS (Distributed Denial of Service). Normalerweise werden solche Angriffe nicht per Hand, sondern mit Backdoor-Programmen oder Ähnlichem durchgeführt, welche sich von alleine auf anderen Rechnern im Netzwerk verbreiten und dadurch dem Angreifer weitere Wirte zum Ausführen seiner Angriffe bringen. Diffie-Hellman-Algorithmus Hierbei handelt es sich um ein im Jahr 1976 veröffentlichtes Verfahren zum Austausch von Schlüsseln von Whitfield Diffie und Martin E. Hellman. Der Diffie-Hellman-Schlüsselaustausch beschreibt eine Möglichkeit, kryptografische Schlüssel sicher über unsichere Kanäle auszuhandeln. Das Verfahren dient nicht zum Austausch eines vorher erzeugten Schlüssels, sondern ermöglicht den Kommunikationspartnern, auf Basis der ausgetauschten Informationen denselben Schlüssel zu generieren. Der Diffie-Hellman-Schlüsselaustausch ist kein Verschlüsselungsverfahren. Digitaler Fingerabdruck Der digitale Fingerabdruck eines elektronischen Dokuments ergibt sich durch Anwendung einer Einweg-Hash-Funktion auf dieses Dokument. Digitales Zertifikat Ein digitales Zertifikat ist ein von einer vertrauenswürdigen Instanz digital signierter öffentlicher Schlüssel, damit dieser als authentisch anerkannt werden kann. Es enthält Informationen über den Namen des Zertifikatsinhabers, dessen öffentlichen Schlüssel, eine Seriennummer, eine Gültigkeitsdauer und den Namen der Zertifizierungsstelle. Diese Daten sind in der Regel mit dem privaten Schlüssel der Zertifizierungsstelle signiert und können daher mit dem öffentlichen Schlüssel der Zertifizierungsstelle überprüft werden. Digital Signature Algorithm (DSA) Hierbei handelt es sich um einen Algorithmus, der beim DSS (Digital Signature Standard) verwendet wird. Digital Signature Standard (DSS) DSS ist ein Standard für digitale Signaturen. Er wurde im Jahr 1991 vom National Institute of Standards and Technology (NIST) veröffentlicht. Der DSS wurde von der US-Regierung patentiert, darf aber frei verwendet werden. DIR (directory) DIR bezeichnet den Verzeichnisdienst, der die öffentlichen Schlüssel in aktueller Form vorhält und damit eine Feststellung zur Authentizität des Absenders zuläßt. Directory Access Protocol (DAP) Protokoll zur Regelung des Zugriffs auf X.500-Verzeichnisse. Distinguished Name (DN) Namensschema, mit dem Personen weltweit eindeutig benannt werden können. Durch diese Benennung soll gewährleistet werden, dass niemals ein Zertifikat für unterschiedliche Personen auf den gleichen Namen ausgestellt wird. Für die Eindeutigkeit des Zertifikats sind zusätzlich noch der Name des Zertifikatsausstellers (d. h. der Zertifizierungsstelle) und die Seriennummer entscheidend. Alle Teilnehmer der PKI benötigen solche eindeutigen Namen. DNS-Spoofing DNS-Spoofing bezeichnet einen Man-In-The-Middle-Angriff , bei dem es einem Angreifer gelingt die Zuordnung zwischen einem Rechnernamen und der zugehörigen IP-Adresse zu fälschen. Dadurch kann der Angreifer zwei Kommunikationspartnern die Identität des jeweils anderen vortäuschen und somit die Datenpakete beider Partner empfangen. E E-Commerce Abkürzung für "Electronic Commerce" bzw. "elektronischer Handel". Electronic Data Interchange (EDI) Plattformübergreifender Austausch von Geschäftsdaten über elektronische Medien. Um die Kompatibilität zu gewährleisten, wurde der EDIFACT-Standard eingeführt. Electronic Data Interchange For Administration, Commerce and Transport (EDIFACT) Weltweit gültiger, branchenübergreifender Standard für den Austausch von Geschäftsinformationen über elektronische Medien (EDI), der von der UNO aufgestellt wurde. Electrically Erasable Programmable Read Only Memory (EEPROM) EEPROM ist ein nichtflüchtiger, elektronischer Speicher einer Chipkarte, der die Anwendungsdaten und gegebenenfalls die Betriebssystemerweiterungen beinhaltet. Die Speicherzellen können in der Regel mindestens 100.000-mal gelöscht und neu beschrieben werden. Als nichtflüchtiger Speicher bezeichnet man einen Speicher, dessen gespeicherte Informationen erhalten bleiben, auch während der Computer nicht in Betrieb ist bzw. mit Strom versorgt wird. Elementary File (EF) Datei im Filesystem einer Chipkarte gemäß ISO 7816-4, die die Nutzdaten enthält. Je nach Betriebssystemimplementierung können die Elementary Files auch Schlüssel und PINs enthalten. Der Zugriff auf Elementary Files wird durch Access Conditions geregelt. Elektronische Signatur Elektronische Daten, die anderen elektronischen Daten beigefügt oder mit diesen logisch verknüpft werden und die der Authentifizierung, also der Feststellung der Identität des Signierenden, dienen unter Verwendung kryptographischer Verfahren. Elliptische-Kurven-Kryptografie (EKK) Hierbei handelt es sich um eine kryptografische Methode, die auf Operationen mit elliptischen Kurven beruht. Die gängigen asymmetrischen Verschlüsselungsverfahren sind sehr rechenaufwendig. Dieses Problem soll durch die EKK-Verschlüsselung gelöst werden. Sie ermöglicht es, bei einer geringeren Schlüssellänge von z. B. 160 Bit genauso sicher wie bei anderen asymmetrischen Verfahren mit 1024 Bit zu verschlüsseln. Somit ist diese Methode schneller. EKK eignet sich vor allem dann, wenn die Speicher- oder Rechenkapazität begrenzt ist. Endpoint Security Schlagwort, das von Herstellern wie Microsoft und Cisco geprägt wurde und unter anderem den Schutz einzelner Clients sowie das Einhalten bestimmter Sicherheitsvorgaben auf diesen zum Ziel hat. Entschlüsselung (decryption) Als Entschlüsselung bezeichnet man die Transformation des Geheimtextes in den Klartext. Die unbefugte Entschlüsselung wird auch als Brechen des Codes bezeichnet. Evaluation (evaluation) Prüfung und Bewertung eines IT-Systems oder eines ITProduktes anhand definierter Evaluationskriterien (z. B. ITSEC, Common Criteria) Exploit Ein Exploit (englisch to exploit - ausnutzen) ist ein Computerprogramm oder Script, welches spezifische Schwächen beziehungsweise Fehlfunktionen eines anderen Computerprogramms zur Erlangung von Privilegien oder in Absicht einer DoS-Attacke ausnutzt. F Faktorisierung Synonym für Primfaktorzerlegung, d. h. Zerlegung einer natürlichen Zahl in Primfaktoren. Um die Primfaktorzerlegung einer Zahl zu berechnen, stehen mehrere Faktorisierungsverfahren zur Verfügung. Diese berechnen nichttriviale Teiler ganzer Zahlen. Diese Aufgabenstellung ist als Faktorisierungsproblem für ganze Zahlen bekannt und kann mit den bekannten Methoden praktisch nicht effizient berechnet werden. Faktorisierungsproblem Als Faktorisierungsproblem bezeichnet man die Aufgabe, zu einer gegebenen Zahl alle Primfaktoren zu ermitteln. Ist beispielsweise die Zahl 91 gegeben, so sucht man eine Zahl wie 7, die 91 teilt. Die Sicherheit verschiedener kryptologischer Verfahren, beispielsweise des RSA-Verfahrens, beruht auf der Schwierigkeit, das Faktorisierungsproblem für große Zahlen zu lösen. Bis heute ist kein Faktorisierungsverfahren bekannt, das nichttriviale Teiler und damit die Primfaktorzerlegung einer Zahl effizient berechnet. Das bedeutet, dass ein enormer Rechenaufwand notwendig ist, um eine Zahl mit mehreren Hundert Stellen zu faktorisieren. FBZ Abkürzung für "Fehlbedienzähler". Zähler in der Chipkarte, der die fehlerhaften PIN-Eingaben zählt. Der Zähler wird von der Karte geführt und kann nur unter Voraussetzungen, die der Kartenherausgeber definiert, zurückgesetzt werden. Federal Information Processing Standard (FIPS) Kennzeichnung für alle vom NIST (National Institute of Standards and Technology) herausgegebenen Normen. Fingerabdruck (engl. fingerprint) Als Fingerabdruck bezeichnet man einen Auszug des öffentlichen Schlüssels, der zur Prüfung seiner Korrektheit verwendet werden kann. Das Ergebnis der Anwendung einer Hash-Funktion auf ein Dokument wird als Fingerabdruck des Dokuments bezeichnet. Financial Transaction Services (FinTS) FinTS ist ein vom Zentralen Kreditausschuss (ZKA) verabschiedeter Standard für das Onlinebanking und die Weiterentwicklung von HBCI (Homebanking Computer Interface). FinTS definiert Übertragungsprotokolle, Nachrichtenformate und Sicherheitsverfahren. www.hbci-zka.de Firewall Eine Firewall (von engl. firewall „die Brandwand“), auch Netzwerk-, Gateway- oder Hardware-Firewall genannt, ist eine Netzwerk-Sicherheitskomponente in der Computertechnik, die Datenverbindungen anhand eines definierten Regelwerks erlaubt oder verbietet. Das Ziel einer Firewall ist, den Datenverkehr zwischen Netzwerksegmenten mit verschiedenen Vertrauens-Stufen abzusichern. Ein typischer Einsatzzweck ist es, den Übergang zwischen einem lokalen Netzwerk (LAN) (hohes Vertrauen) und dem Internet (kein Vertrauen) zu kontrollieren. Eine Firewall besteht aus Soft- und Hardwarekomponenten. Hardwarekomponenten einer Firewall sind Rechner mit Netzwerkschnittstellen wie Router oder Hosts; Softwarekomponenten sind beispielsweise Paketfilter oder Proxyserver. Die entscheidende Abgrenzung zur Personal Firewall ist, dass die Schutzsoftware nicht auf dem zu schützenden System selber arbeitet, sondern auf einer eigenen Maschine davor. Siehe auch Personal Firewall, Abgrenzung zur Hardware-Firewall. Für die Konfiguration einer Firewall sollte der Administrator fundierte Kenntnisse über Netzwerkprotokolle, Routing, Netzwerk- und Informationssicherheit besitzen. Bereits kleine Fehler können die Schutzwirkung einer Firewall zunichte machen. In größeren Organisationen ist es üblich vor der Installation ein Firewall-Konzept auszuarbeiten, das die eigene Sicherheitsrichtlinie umsetzt.[1] G G-10-Gesetz Das G-10-Gesetz ist das Gesetz zum Artikel 10 des Grundgesetzes. Es regelt die Bedingungen für die heimliche Überwachung des Briefverkehrs und das Abhören des Telefonverkehrs. Gates, Bill Erfinder des Internet und Initiator einer Sicherheitsinitiative bei Microsoft, die unter dem Schlagwort "Trustworthy Computing" bekannt wurde. Geburtstagsangriff Kryptanalytischer Angriff, der das sogenannte Geburtstagsparadox nutzt: Die Wahrscheinlichkeit, dass in einer Gruppe von 23 Personen zwei oder mehr am gleichen Tag Geburtstag haben, ist größer als 50%. Bei 50 Personen liegt die Chance sogar bei 97%. H Handshake-Protokoll Protokoll zur Generierung von Parametern am Beginn einer Sitzung. Hashfunktion Auch Hash-Algorithmus genannt. Die Hash-Funktion ist eine Funktion zur Berechnung einer kryptografischen Prüfsumme fester Länge, die als Hash-Wert bezeichnet wird. Es soll möglichst unwahrscheinlich sein, aus dem Hash-Wert die Eingabe berechnen oder mehrere mögliche Eingaben zu dem gleichen Hash-Wert finden zu können. Hashwert Ergebnis der Hashfunktion. Eine Zeichenkette fester Länge, die aus Daten beliebiger Länge berechnet wird. Dieser auch "Fingerabdruck" genannte Wert, kann ein Dokument eindeutig identifizieren. Hashed Message Authentification Code (HMAC) HMAC ist eine Prüfsumme zur Sicherstellung der Integrität von Daten, die auf einer Hash-Funktion basiert. Homebanking Computer Interface (HBCI) HBCI ist ein vom Zentralen Kreditausschuss (ZKA) verabschiedeter Standard für das Onlinebanking. HBCI definiert Übertragungsprotokolle, Nachrichtenformate und Sicherheitsverfahren. Die Weiterentwicklung von HBCI wird als FinTS (Financial Transaction Services) bezeichnet. www.hbci-zka.de Honeypot, -net Als ein Honigtopf oder auch englisch Honeypot wird ein Dienst bezeichnet, der die Aufgabe hat, Angriffe auf ein Netzwerk zu protokollieren. Dieser Dienst kann ein Programm sein, das einen oder mehrere Dienste zur Verfügung stellt, oder ein Server. Honigtöpfe dienen so der Überwachung eines Netzwerkes. Die Grundidee ist, in einem Netzwerk einen oder mehrere Honeypots zu installieren, die dem legitimen Netznutzer unbekannt sind und daher niemals angesprochen werden. Ein Angreifer, der nicht zwischen echten Servern/Programmen und Honeypots unterscheiden kann und routinemäßig alle Netzkomponenten auf Schwachstellen untersucht, wird früher oder später die von einem Honeypot angebotenen Dienste in Anspruch nehmen und dabei von dem Honeypot protokolliert werden. Die bloße Tatsache, dass irgendjemand versucht, mit einem Honeypot zu kommunizieren, wird als potentieller Angriff betrachtet. Mit Hilfe eines Honeypot-Programmes werden Netzwerkdienste (Mail-Server, Datei-Server, etc.) eines einzelnen Rechners oder sogar ein vollständiges Netzwerk simuliert. Erfolgt ein unberechtigter Zugriff auf einen derartigen virtuellen Dienst, werden alle ausgeführten Aktionen protokolliert und gegebenenfalls ein Alarm ausgelöst. Hypertext Transfer Protocol Secure (HTTPS) HTTPS ist ein URL-Schema, das eine zusätzliche Schicht zwischen HTTP und TCP definiert. Es dient zur Verschlüsselung und zur Authentifizierung der Kommunikation zwischen Webserver und Browser. Syntaktisch ist HTTPS identisch mit dem Schema für HTTP. Die Verschlüsselung der Daten geschieht mittels SSL/TLS. Der Standardport für HTTPS-Verbindungen ist 443. Hierbei findet unter Verwendung des SSL-Handshake-Protokolls zunächst eine geschützte Identifikation und Authentifizierung der Kommunikationspartner statt. Anschließend wird mit Hilfe asymmetrischer Verschlüsselung oder des Diffie-Hellman-Schlüsselaustauschs ein gemeinsamer symmetrischer Sitzungsschlüssel ausgetauscht. Dieser wird schließlich zur Verschlüsselung der Nutzdaten verwendet, um abhörsichere Kommunikation zu gewährleisten. Die größte Schwachstelle von HTTPS ist die Abhängigkeit von signierten Zertifikaten. Ohne ein signiertes Zertifikat ist das Verfahren verwundbar gegenüber dem sogenannten Man-In-The-Middle-Angriff. In der Praxis werden oft nicht signierte Zertifikate benutzt, wodurch die Sicherheit, die HTTPS bietet, weitestgehend verloren geht. Neben den Serverzertifikaten können auch signierte Clientzertifikate nach X.509.3 erstellt werden. Dies ermöglicht eine Authentifizierung der Clients gegenüber dem Server. Hybrides Verschlüsselungsverfahren In hybriden Verschlüsselungsverfahren werden symmetrische und asymmetrische Verfahren kombiniert. Das Dokument wird mit einem schnellen symmetrischen Verschlüsselungsverfahren codiert. Der zugehörige Schlüssel wird dagegen mit einem asymmetrischen Verschlüsselungsverfahren codiert. I Identifikation (identification) Bestimmung der Identität eines Subjektes bzw. Objektes. Identity Management Das Verwalten von digitalen Identitäten, also der anwenderbezogenen Daten samt der dazugehörigen Informationen wie Benutzernamen, Passwörter. I.M. ist deshalb so kompliziert, weil die entsprechenden Angaben zumeist an bestimmte Applikationen gekopplet sind und die jeweiligen Informationen an unterschiedliche Stellen im Unternehmensnetz gespeichert sind. Industrial Signature Interoperability Specification - Mail TrusT (ISIS-MTT) ISIS-MTT ist ein einheitlicher Standard, der aus ISIS- und der MailTrusT-Spezifikation entstanden ist. Industrial Signature Interoperability Specification - Mail TrusT (ISIS-MTT) ist ein Profil über international verbreitete und anerkannte Standards für elektronische Signaturen, Verschlüsselung und Public-Key-Infrastrukturen. Im Oktober 2001 ist die Industrial Signature Interoperability Specification - Mail TrusT (ISIS-MTT) gemeinsam von T7 und TeleTrusT verabschiedet worden. Da sowohl Signaturanwendungsanbieter als auch Zertifizierungsdiensteanbieter an der Erarbeitung der Spezifikation beteiligt waren, wird ISIS-MTT von den führenden deutschen Produktentwicklern und Lösungsanbietern für E-Business und E-Government unterstützt. Informationssicherheit (information security) Sammelbegriff aller Aspekte zum Schutz von Information vor Verlust, unbefugter Veränderung und unbefugter Kenntnisnahme; umfasst sowohl elektronisch gespeicherte und verarbeitete Information als auch Information in verbaler oder schriftlicher Form. Integrität (integrity) Unverfälschtheit und Korrektheit von Daten bzw. Systemen. Internet Explorer a) Von Microsoft entwickelte Betriebssystemerweiterung, die das Anzeigen von Web-Inhalten ermöglicht. b) Bei Hackern beliebte Software, um Schaden auf Rechnern unschuldiger Opfer anzurichten. c) die am häufigsten in Sicherheitswarnungen auftauchende Wortkombination. d) Software, für die die meisten Patches erschienen sind. Intrusion Detection System (IDS) Software, die in der Lage ist, Angriffe entweder im Netz (network-based I.) oder auf einem bestimmten System (host-based I.) zu erkennen. Nach Meinung von Gartner sind IDS tot. Intrusion Prevention System (IPS) Aufgebohrtes IDS, das Angriffe nicht nur erkennt, sondern auch gleich abblockt. IPS ist im Gegensatz zu IDS nicht tot. IPSec Die aktuelle Version von IPsec (Kurzform für Internet Protocol Security, andere Schreibweisen wie IPSec sind nicht mehr gültig) wurde 2005 verfasst. IPsec wurde ursprünglich entworfen, um die Schwächen des Internetprotokolls (IP) zu beheben. Es stellt eine Sicherheitsarchitektur für die Kommunikation über IP-Netzwerke zur Verfügung. IPsec soll die Schutzziele Vertraulichkeit, Authentizität und Integrität gewährleisten. Daneben soll es vor so genannten Wiederholungsangriffen bzw. einer Replay-Attacke schützen – das heißt, ein Angreifer kann nicht durch Abspielen eines vorher mitgeschnittenen Dialogs die Gegenstelle zu einer wiederholten Aktion verleiten. Der RFC 4301 bildet das Hauptdokument zu IPsec, er beschreibt die Architektur von IPsec. Von dort aus werden die unten genannten RFCs referenziert. Wesentliche Inhalte von IPsec sind die Protokolle Authentication Header (AH) und Encapsulated Security Payload (ESP) sowie Internet Key Exchange (IKE) zum Austausch der Schlüssel. Im Gegensatz zu anderen Verschlüsselungsprotokollen wie etwa SSH arbeitet IPsec auf der Vermittlungsschicht (Schicht 3) des OSI-Referenzmodells. ITSEC Abkürzung für "Information Technology Security Evaluation Criteria" (deutsch: Kriterien für die Bewertung der Sicherheit von Informationstechnologie). ITSEC ist ein europäischer Standard für die Bewertung und Zertifizierung von Software und Computersystemen im Hinblick auf ihre Funktionalität und Vertrauenswürdigkeit bezüglich der Daten- und Computersicherheit. Der Standard wurde 1991 von der Europäischen Kommission veröffentlicht. IT-Sicherheit (IT security) Alle Aspekte in Verbindung mit der Definition, Erreichung und Aufrechterhaltung von Vertraulichkeit, Integrität, Verfügbarkeit, Zurechenbarkeit, Authentizität und Zuverlässigkeit in einem IT -System. IT-Sicherheitspolitik, Organisationsweite (IT security policy, corporate) Leitlinien und Vorgaben, die grundlegende Ziele, Strategien, Verantwortlichkeiten und Methoden für die Gewährleistung der IT-Sicherheit in einer Organisation festlegen. IT-Sicherheitskonzept (IT security concept) Summe von (geplanten und realisierten) Maßnahmen verschiedener Art, die erst in ihrer Kombination die gewünschte Schutzwirkung ergeben; die Erstellung eines IT-Sicherheits-konzeptes umfasst Festlegung von Maßnahmen, Restrisiko-akzeptanz und Erstellung von ITSystemsicherheitspolitiken und eines Sicherheitsplanes. IT-System (IT system) Kombination von Hard- und Software mit einem bestimmten Zweck und einer spezifischen Betriebsumgebung. IuKDG Informations- und Kommunikationsdienstegesetz, kurz für Gesetz zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste. J Java Card ist eine Variante der Programmiersprache Java, die es erlaubt, Java Card Applets, einem reduzierten Java-Standard folgende Java Applets, auf Chipkarten auszuführen. JCE Abkürzung für "Java Cryptography Engine". Die JCE ist eine Java-Bibliothek für kryptographische Algorithmen. K Key Escrow Von Key Escrow spricht man hauptsächlich im Zusammenhang mit staatlicherseits erwünschtem Einblick in kryptografische Verschlüsselungsverfahren. Danach sollen entsprechende Schlüssel bei Dritten hinterlegt werden und staatliche Stellen unter gewissen Voraussetzungen Zugriff erhalten. Keylogger Software, die Tastaturanschläge erfasst und abspeichert. Wird häufig per Trojaner auf einen Rechner geschmuggelt. Key Recovery Darunter versteht man das Wiederzurverfügungstellen von Schlüsselmaterial. Bei Firmeninteresse kann dieses betriebliche Key Recovery aus verschiedenen Anlässen angestoßen werden (z. B. Verlust von Schlüsselmaterial, Zugriff auf Geschäftsdaten durch Führungskräfte etc.). In allen Fällen unterliegt der Zugriff auf das archivierte Schlüsselmaterial besonderen Regelungen. Key-Server Synonym für Public-Key-Server. Klartext (engl. plaintext) Als Klartext bezeichnet man die ursprüngliche Form eines Dokuments. Ein Dokument liegt vor der Verschlüsselung und nach der Entschlüsselung im Klartext vor. Klartextangriff (engl. plaintext attack) Hierbei handelt es sich um einen Angriff der Kryptoanalyse, bei dem zusätzlich zum Geheimtext der Klartext zur Verfügung steht. Kollision Bei einer Hash-Funktion tritt eine Kollision auf, wenn zwei Dateien den gleichen Hash-Wert besitzen. Kollisionsfreiheit Eine kryptografische Hash-Funktion gilt als praktisch kollisionsfrei, wenn man mit vernünftigem Aufwand zu einem gegebenen Eingabewert keinen zweiten Eingabewert mit gleichem Hash-Wert ermitteln kann. Kompromittierung Ein geheimer Schlüssel ist kompromittiert, wenn er jemand anderem als seinem Eigentümer bekannt ist. Um eventuellen Missbrauch zu verhindern, muss das Zertifikat widerrufen bzw. gesperrt werden. Kryptoanalyse Die Kryptoanalyse ist die Wissenschaft, Verschlüsselungsverfahren zu analysieren und Verschlüsselungen zu brechen. Kryptoanalyse bezeichnet die Analyse von kryptografischen Verfahren mit dem Ziel, diese entweder zu "brechen", d. h. ihre Schutzfunktion aufzuheben bzw. zu umgehen, oder ihre Sicherheit nachzuweisen und zu quantifizieren. Kryptoanalyse ist damit das Gegenstück zur Kryptografie. Beide sind Teilgebiete der Kryptologie. Kryptografie Kryptografie ist im ursprünglichen Sinne die Wissenschaft der Verschlüsselung von Informationen. Heutzutage beschäftigt sie sich allgemein mit dem Schutz von Daten durch deren Transformation, in der Regel unter Einbeziehung von geheimen Schlüsseln. Die Kryptografie bildet mit der Kryptoanalyse zusammen die Kryptologie. Kryptologie Die Kryptologie ist die Wissenschaft der Verschlüsselung und der Entschlüsselung von Informationen sowie der Analyse kryptografischer Verfahren zum Zweck der Bewertung ihrer Stärken und Schwächen. Kryptologie ist der Oberbegriff für Kryptografie und Kryptoanalyse. L LDAP Abkürzung für "Lightweight Directory Access Protocol". LDAP ist ein von der IETF (Internet Engineering Task Force) betreutes Standardprotokoll, in dem unter anderem Richtlinien für die Speicherung von Zertifikaten in einheitlichen Verzeichnissen festgelegt werden. LRAA Abkürzung für "Local Registration Authority Administrator" (deutsch: Registrierungsmitarbeiter). Ein Registrierungsmitarbeiter ist ein Mitarbeiter einer Registrierungsstelle, der für die Entgegennahme von Zertifikatsanträgen und die Identifikation der Antragsteller verantwortlich ist. M MAC Abkürzung für "Message Authentication Code". MAC ist eine Information, welche die Integrität (Unversehrtheit) einer Nachricht sichert. Die MAC kann bei einem symmetrischen Schlüsselsystem auch zum Nachweis der Authentizität des Senders verwendet werden. MailTrusT Von TeleTrusT entwickeltes Systemkonzept für die Anwendung kryptografischer Verfahren für E-Mail und Dateitransfer. Malware Fachjargon für schädliche Software. Man-in-the-middle-Attacke Ein Angriff, bei dem sich eine dritte Person zwischen die beiden Teilnehmer einer Kommunikation beziehungsweise einer Transaktion einschaltet. Dieser Man in der Mitte fängt die von Person A gesendeten Informationen ab, manipuliert sie und leitet sie dann an den Empfänger weiter. MD Abkürzung für "Message Digest". MD ist eine von Ron Rivest entwickelte Einweg-Hash-Funktion. MF Abkürzung für "Master File". MF ist ein Rootverzeichnis im Dateibaum der Chipkarte gemäß ISO 7816-4. Es enthält Daten, PINs und Schlüssel, die eine kartenglobale Bedeutung haben, d. h. Daten, die nicht anwendungsspezifisch sind. MIC Abkürzung für "Message Integrity Check". MIC ist ein Verfahren in der Datenkommunikation, das die Vertrauenswürdigkeit der Daten im Funkverkehr prüft. MPKI Abkürzung für "Managed Public Key Infrastructure". Eine Managed Public Key Infrastructure ist ein Service eines Zertifizierungsdiensteanbieters (ZDA) wie z. B. S-TRUST, der im Auftrag eines Kunden eine CA-Infrastruktur betreibt und hostet. N Newsgroup Eine Newsgroup ist eine virtuelle Diskussionsgruppe im Internet, in der zu einem Themenbereich Textbeiträge ausgetauscht werden. Nicht-Widerrufbarkeit Auch Nicht-Abstreitbarkeit (engl. Non-Repudiation) genannt. Nicht-Widerrufbarkeit ist die Fähigkeit zu erkennen, wer einer bestimmten Information zugestimmt oder sie garantiert hat. Der Garant sollte die Garantie nachträglich nicht mehr zurücknehmen können, indem er seine Identität bzw. Urheberschaft verleugnet. Die Nicht-Widerrufbarkeit ist vor allem im Bereich E-Commerce wichtig. Mit elektronischen Signaturen kann die Nicht-Widerrufbarkeit von elektronischen Dokumenten sichergestellt werden. NIST Abkürzung für "National Institute of Standards and Technology". NIST ist ein US-amerikanisches Institut für die Technologiestandardisierung. Vom NIST werden die FIPS-Standards (Federal Information Processing Standard) herausgegeben. NSA Abkürzung für "National Security Agency". Die NSA ist der Geheimdienst der USA, der für geheime Informationssicherung und -beschaffung zuständig ist. mSign Mobile Electronic Signature Consortium. 1999 gegründetes Konsortium mit dem Ziel, einen einheitlichen Standard für die elektronische Unterschrift für den Zahlungsverkehr über Mobiltelefone zu verabschieden. Weitere Informationen finden Sie unter: http://www.msign.org O OCSP Abkürzung für "Online Certificate Status Protocol". OCSP ist ein Internetprotokoll, das es Clients ermöglicht, den Status von X.509-Zertifikaten abzufragen. Benötigt wird dies bei der Prüfung elektronischer Signaturen oder im Rahmen der Systemadministration, da Zertifikate, mit denen sich Kommunikationspartner gegenseitig identifizieren, nur zeitlich begrenzt gültig sind. Wird im Rahmen einer sicherheitskritischen Anwendung ein Zertifikat verwendet, so muss sichergestellt werden, dass dieses zum Zeitpunkt der Erstellung der Signatur nicht gesperrt war. Mittels OCSP wird immer der aktuelle Status eines Zertifikats durch Anfrage bei einem Auskunftsdienst ermittelt. Dieser Dienst wird in der Regel vom Herausgeber des Zertifikats betrieben und teilt mit, ob zu einem fraglichen Zertifikat ein Sperreintrag vorliegt und wann gegebenenfalls eine Sperrung erfolgt ist. Eine Alternative ist die Verwendung von Zertifikatssperrlisten. Diese werden jedoch nur zu bestimmten Zeiten erstellt und sind damit nicht immer aktuell. OCSP besitzt kein eigenes Transportprotokoll. Zum Transport wird in der Regel HTTP oder HTTPS verwendet. Der Client schickt dem Server eine Menge von Zertifikats-IDs und der Server antwortet daraufhin mit dem aktuellen Status dieser Zertifikate. Öffentlicher Schlüssel (public key) Bei asymmetrischen Verschlüsselungsverfahren wird der öffentliche Schlüssel verwendet, um Nachrichten an den Inhaber des zugehörigen geheimen (privaten) Schlüssels zu verschlüsseln. Mit dem öffentlichen Schlüssel können Dokumente entschlüsselt werden, die mit dem geheimen (privaten) Schlüssel verschlüsselt wurden, um die Authentizität festzustellen. One-Time-Pad Das One-Time-Pad ist theoretisch das einzig sichere symmetrische Verschlüsselungsverfahren, das auf einem nur einmal verwendeten zufälligen Schlüssel basiert, der dieselbe Länge wie das zu verschlüsselnde Dokument hat. One Time Passwort Ein Einmalkennwort oder Einmalpasswort ist ein Kennwort zur Authentifizierung oder auch Autorisierung. Es ist nur für einen einzigen Vorgang gültig und kann kein zweites Mal benutzt werden. Jede Authentifizierung oder Autorisierung erfordert ein neues Einmalkennwort. Es ist sicher gegen passive Angriffe, also Mithören. Auch Replay-Attacken sind somit unmöglich. Gegen das Angriffsszenario Man in the Middle helfen Einmalkennwörter nicht. Auch hat es keinen Einfluss auf die Sicherheit einer Verschlüsselungsmethode. Die Herausforderung beim Einmalkennwort ist, wie beide Seiten wissen können, welches Kennwort für einen bestimmten Anmeldevorgang gültig ist. Dazu kommen zwei Möglichkeiten in Betracht: Kennwortlisten oder Kennwortgeneratoren. OSI-Modell Das OSI-Modell (auch ISO-OSI-Schichtmodell, OSI-Referenzmodell; engl. Open Systems Interconnection Reference Model) beschreibt modellhaft eine Art der Datenübertragung für die Kommunikation offener, informationsverarbeitender Systeme (etwa zwischen Computern im Internet). Es handelt sich um vereinheitlichte Verfahren und Regeln für den Austausch von Daten in Form eines Schichtenmodells. Die unterste Schicht ist dabei die physische Übertragung (z.B. elektrischer Impulse durch ein Kabel). Das OSI-Modell wird seit 1979 entwickelt und wurde 1983 von der ISO standardisiert. Das OSI-Modell dient heute als die Grundlage für eine Reihe von herstellerunabhängigen Netzprotokollen, die in der öffentlichen Kommunikationstechnik im Transportnetz fast ausschließlich eingesetzt werden. P Parität (engl. parity) Unter Parität bzw. Paritätsbits versteht man Zusatzinformationen zur Sicherung der Integrität von elektronischen Dokumenten. Siehe auch CRC, EKK, Prüfsumme. Passwort Eine aus Buchstaben, Sonderzeichen und Ziffern bestehende Zeichenfolge, durch die u. a. ein PSE (Personal Security Environment) vor unerlaubtem Zugriff geschützt wird. Patch Softwareaktualisierung, die neu entdeckte Fehler in Programmen beheben soll. Patches sind regelmäßig einzuspielen, um Systeme vor Angriffen von Hackern zu schützen, die gezielt Schwachstellen ausnutzen wollen. PC/SC Von Microsoft entwickelter Standard für den Zugriff von PC-Anwendungen auf ein Smartcard-Lesegerät. In der PC/SC-Workgroup arbeiten PC- und Smartcard-Hersteller an der Integration von PCs und Smartcards. PEM Abkürzung für "Privacy Enhanced Mail". PEM ist eine sicherheitserweiterte E-Mail. Das PEM-Format beinhaltet das digitale Signieren und Verschlüsseln von Texten sowie den Versand von Zertifikaten und Sperrlisten. Das Format ist so gestaltet, dass es unabhängig vom Transportweg und den E-Mail-Anwendungen übermittelt werden kann. PEM-gesicherte Dokumente sind für die lokale Signaturprüfung und Geheimhaltung geeignet, da sie ihre Sicherheitserweiterungen nach dem Empfang beibehalten. Somit ist PEM - ebenso wie PKCS#7 - auch für die Dokumentensicherheit allgemein sehr gut geeignet. Siehe auch MailTrusT. Pretty Good Privacy (PGP) ist ein von Phil Zimmermann entwickeltes Programm zur Verschlüsselung und zum Unterschreiben von Daten. PGP benutzt ein sogenanntes Public-Key-Verfahren, das heißt, es gibt ein eindeutig zugeordnetes Schlüsselpaar: Genutzt wird ein öffentlicher Schlüssel, mit dem jeder die Daten für den Empfänger verschlüsseln kann, und ein privater geheimer Schlüssel, den nur der Empfänger besitzt und der durch ein Kennwort geschützt ist. Nachrichten an einen Empfänger werden mit seinem öffentlichen Schlüssel verschlüsselt und können dann ausschließlich durch den privaten Schlüssel des Empfängers entschlüsselt werden. Diese Verfahren werden auch asymmetrische Verfahren genannt, da Sender und Empfänger zwei unterschiedliche Schlüssel verwenden. Pharming Pharming ist eine Betrugsmethode, die durch das Internet verbreitet wird. Sie basiert auf einer Manipulation der DNS-Anfragen von Webbrowsern (beispielsweise durch DNS-Spoofing), um den Benutzer auf gefälschte Webseiten umzuleiten. Es ist eine Weiterentwicklung des klassischen Phishings. Der Begriff "Pharming" rührt von dem Umstand her, dass die Pharming-Betrüger eigene große Server-Farmen unterhalten, auf denen gefälschte Webseiten abgelegt sind. Phishing Phishing ist eine Angriffsart, bei der versucht wird, sensible Daten des Opfers (Kontonummer, TANs, PINs) zu stehlen. Die klassische vorgehensweise sieht so aus: Über eine Mail wird der Anwender auf eine Seite gelockt, die der einer Bank o.ä. nachempfunden ist. Dort soll er - beispielsweise unter dem Vorwand einer Sicherheitsüberprüfung - seine Daten eingeben und mittel TAN bestätigen. Diese Informationen landen dann beim Drahtzieher der Aktion, der sie zu seinen Zwecken missbraucht, etwa, indem er sich mit den Daten einloggt und eine Überweisung veranlasst. PIN Abkürzung für "Personal Identification Number" (deutsch: Persönliche Identifikationsnummer). Die PIN ist eine Zahlenkombination, die den Benutzer gegenüber der Chipkarte als rechtmäßigen Kartenbesitzer authentifiziert. Die PIN wird vom Benutzer an der Tastatur oder einem PIN-Pad eingegeben und der Karte präsentiert. Die Karte vergleicht die PIN mit einem im EEPROM gespeicherten Referenzwert. Ping of Death Hierunter versteht man das Absetzen des Ping-Kommandos mit einem Datagram, das die zulässige Größe von 65 536 Bytes überschreitet. Da Header- und Paketinformationen mitgezählt werden, kann ein solches Paket mit "ping -l 65510 ihre.ip.addresse" erzeugt werden. PKCS Abkürzung für "Public Key Cryptography Standard". Von der US-amerikanischen Firma RSA Security entwickelte Reihe von Normen für asymmetrische Verschlüsselungsverfahren. PKCS#1 RSA Cryptography Standard. Empfehlungen für die Implementierung von Public-Key-Kryptografie auf Grundlage des RSA-Algorithmus. PKCS#10 Certification Request Syntax Standard. Beschreibt die Syntax einer Zertifizierungsanfrage für einen öffentlichen Schlüssel, einen Namen und eventuell eine Menge von Attributen. PKCS#11 Cryptographic Token Interface Standard. Spezifiziert eine Schnittstelle namens Cryptoki für Geräte, die kryptografische Informationen enthalten oder kryptografische Funktionen ausführen. PKCS#12 Personal Information Exchange Syntax Standard. Spezifiziert ein portierbares Format zum Speichern oder Transportieren der privaten Schlüssel, Zertifikate und sonstiger Geheimnisse eines Benutzers. PKCS#13 Elliptic Curve Cryptography Standard. Dieser Standard befindet sich in der Entwicklungsphase. Er beinhaltet viele Aspekte der Elliptische-Kurven-Kryptografie, einschließlich Parameter- und Schlüsselgenerierung, Gültigkeitserklärung, digitaler Signaturen, Verschlüsselung mit öffentlichen Schlüsseln, Schlüsselvereinbarung und ASN.1-Syntax. PKCS#15 Cryptographic Token Information Format Standard. Mit dem Standard sollen die Benutzer kryptografische Tokens verwenden können, um sich gegenüber verschiedenen Anwendungen - die diesem Standard entsprechen - zu identifizieren, unabhängig vom Cryptoki oder sonstigen Schnittstellen der Anwendung. PKCS#3 Diffie-Hellman Key Agreement Standard. Beschreibt eine Methode zur Implementierung des Diffie-Hellman-Protokolls. PKCS#7 Cryptographic Message Syntax Standard. Spezifiziert ein Format für verschlüsselte und/oder signierte Nachrichten bzw. Dateien. PKCS#7 bildet die Grundlage von S/MIME. PKI Abkürzung für "Public Key Infrastructure". Als PKI bezeichnet man in der Kryptologie und Kryptografie ein System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Die innerhalb einer PKI ausgestellten Zertifikate sind meist auf Personen oder Maschinen festgelegt und werden zur Absicherung computergestützter Kommunikation verwendet. PKIX Public Key Infrastructure with X.509 Working Group. Arbeitsgruppe der IETF (Internet Engineering Task Force), die sich mit der Entwicklung von Standards für eine Zertifizierungshierarchie von Public-Key-Verschlüsselungsverfahren beschäftigt. Plaintext Englisch für Klartext. Als Klartext bezeichnet man die ursprüngliche Form eines Dokuments. Ein Dokument liegt vor der Verschlüsselung und nach der Entschlüsselung im Klartext vor. Plaintext Attack Englisch für Klartextangriff. Ein Angriff der Kryptoanalyse, bei dem zusätzlich zum Geheimtext der Klartext zur Verfügung steht. Pohling-Hellman-Verfahren Asymmetrisches Verschlüsselungsverfahren. Policy Richtlinien, die das Sicherheitsniveau festlegen. Primfaktorzerlegung Zerlegung einer Zahl in Faktoren, die Primzahlen sind. Siehe Faktorisierungsproblem. Privater Schlüssel (private key) Synonym für geheimer Schlüssel. Nur mit dem privaten Schlüssel des Empfängers können die mit dem öffentlichen Schlüssel des Empfängers verschlüsselten Daten wieder entschlüsselt werden. Proof-of-Concept-Code/´ Code, der als Beweis dafür dient, wie sich eine bestimmte Schwachstelle innerhalb einer Applikation oder eines Betriebssystems ausnutzen lässt. Prüfsumme In der Informatik ist eine Prüfsumme (englisch: checksum) eine einfache Maßnahme zur Gewährleistung von Datenintegrität bei der Datenübermittlung oder -speicherung. Sie wird hauptsächlich bei der Datensicherung und bei der Datenübertragung verwendet. Der Begriff Prüfsumme wird auch für aufwendigere Prüfverfahren verwendet, die komplexere Berechnungen anstelle der einfachen Aufsummierung der Datenwerte vornehmen, so z. B. für die Zyklische Redundanzprüfung (ZRP, engl. CRC). Eine ZRP verwendet statt einfacher Addition eine Polynomdivision und ist im Allgemeinen effektiver bei der Erkennung von Zufallsfehlern als eine primitive Prüfsumme. Obwohl eine herkömmliche Prüfsumme nützlich ist, um vor unbeabsichtigten Änderungen zu schützen, bietet sie keine Sicherheit gegenüber beabsichtigen Datenänderungen (Manipulation), da sie trivial zu umgehen ist. Es ist deshalb oft notwendig, anstelle eines einfachen Prüfsummenverfahrens kryptografisch stärkere Algorithmen wie Einweg-Hash-Algorithmen (z. B. Message Digests) zu benutzen. PSE Abkürzung für "Personal Security Environment" (deutsch: persönliche Sicherheitsumgebung bzw. Träger sicherheitsrelevanter Daten). Da Authentisierung, Verbindlichkeit und Integrität letztlich auf der Geheimhaltung des privaten Schlüssels beruhen, gilt es, diesen vor fremden Zugriffen entsprechend zu schützen. Schlüssel und Zertifikate werden in einem PSE gespeichert, wobei die PSEs in Software oder Hardware realisiert werden können. Bei Software-PSEs wird der private Schlüssel in einer Datei verschlüsselt abgelegt, auf die wiederum nur mit einer PIN zugegriffen werden kann, die nur dem Anwender bekannt ist. Bei Chipkarten mit Kryptoprozessor wird der private Schlüssel auf einer Karte gespeichert und kann nicht ausgelesen werden. Nach Eingabe einer PIN wird die Verschlüsselung/Signatur auf der Karte selbst geleistet. Public Key Kryptography (PKI) Asymmetrisches Verschlüsselungsverfahren, das auf einem Schlüsselpaar aus einem öffentlichen und einem nichtöffentlichen Zeichenfolge basiert. Public-Key-Verschlüsselungsverfahren Public-Key-Verschlüsselungsverfahren sind spezielle asymmetrische Verschlüsselungsverfahren, bei denen ein Schlüssel vom Inhaber geheim gehalten (privater Schlüssel) und der andere weitergegeben wird (öffentlicher Schlüssel). PUK Abkürzung für "Personal Unblocking Key". Die PUK ist eine Nummer zur Entsperrung einer PSE, bei der die PIN mehrfach falsch eingegeben wurde. Q Qualifizierte elektronische Signatur Eine qualifizierte elektronische Signatur nach dem Signaturgesetz ist eine fortgeschrittene elektronische Signatur, die auf einem zum Zeitpunkt ihrer Erzeugung gültigen Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit erzeugt wurde. Quantenkryptographie Als Quantenkryptografie oder Quanten-Schlüsselaustausch bezeichnet man mehrere Verfahren der Quanteninformatik. Sie nutzen Eigenschaften der Quantenmechanik, um zwei Parteien eine gemeinsame Zufallszahl zur Verfügung zu stellen. Diese Zahl wird in der Kryptografie als geheimer Schlüssel verwendet, um mittels klassischer symmetrischer Verschlüsselungsverfahren Nachrichten abhörsicher zu übertragen. So kann zum Beispiel das beweisbar sichere One-Time-Pad verwendet werden, das ohne Quantenkryptografie meist auf Grund des hohen Aufwands für den sicheren Schlüsselaustausch nicht zum Einsatz kommt. R Ransomware Eine relative neue Kategorie von Schadsoftware, die bestimmte Dateien oder Dateitypen auf dem Rechner des Opfers verschlüsselt. Beim Versuch, auf die Dateien zuzugreifen, erhält der Benutzer eine Nachricht, dass der eine Geldsumme zahlen muss (in der Regel in Form von Einzahlungen auf ein E-Gold-Konto), um den Schlüssel zum Dechiffrieren der Informationen zu erhalten. Registration Authority (RA) Anlaufstelle für die Beantragung von Signaturschlüssel-Zertifikaten. Der Antrag wird an eine Zertifizierungsstelle weitergeleitet. Sie stellt das Zertifikat aus und leitet es zur Ausgabe an die Registrierungsstelle zurück. Registrierungsmitarbeiter Mitarbeiter einer Registrierungsstelle, der für die Entgegennahme von Zertifikatsanträgen und die Identifikation der Antragsteller verantwortlich ist. Registrierungsstelle (Registration Authority) Instanz eines Zertifizierungsdiensteanbieters, die für die Entgegennahme von Zertifikatsanträgen und die Identifikation der Antragsteller verantwortlich ist. Remailer Ein Remailer ist ein pseudonymisierender und/oder ein anonymisierender Internetdienst, der Nachrichten annimmt und weiterleitet. Ein Remailer entpersonalisiert Nachrichten, indem er E-Mail-Header entfernt, die Rückschlüsse auf den letzten Absender zuließen. Somit ermöglicht ein Remailer das anonyme Versenden von E-Mails. Replay Attack Englisch für Angriff mit Aufzeichnungswiederholung. RFC Abkürzung für "Request for Comments". Bezeichnung für Standardisierungsvorschläge, die von der IETF (Internet Engineering Task Force) veröffentlicht werden. Bei der ersten Veröffentlichung noch im ursprünglichen Wortsinne zur Diskussion gestellt, behalten RFC auch dann ihren Namen, wenn sie sich durch allgemeine Akzeptanz und Gebrauch zum Standard entwickelt haben. RIPEMD Abkürzung für "RACE Integrity Primitives Evaluation Message Digest". Hash-Funktion, die von Hans Dobbertin, Anton Bosselaers und Bart Preneel entwickelt wurde. Es können Hash-Werte von 128 Bit (RIPEMD-128) oder 160 Bit Länge (RIPEMD-160) erzeugt werden. Rivest, Ronald L. Ronald L. Rivest ist Professor für Electrical Engineering und Computer Science am MIT. Er war unter anderem an der Entwicklung von RSA beteiligt. Root-CA siehe Wurzelzertifikat Risiko (risk) Maß für die Gefährdung, die von einer Bedrohung ausgeht. Risikomanagement (risk management) Methodisches Vorgehen zur Erkennung, Bewertung, Handhabung und Reduktion von Risiken. Rootkits Hacker-Tools, die nur sehr schwer zu finden und entfernen sind, da sie sich tief im System verstecken. RSA Gängiges asymmetrisches Verschlüsselungsverfahren, welches 1978 von den Kryptologen Ron Rivest, Adi Shamir und Leonard Adleman entwickelt wurde. S Secure Sockets Layer (SSL) Verschlüsselungsverfahren, das in VPN-Umgebungen eingesetzt wird. SSL bietet im Gegensatz zu IPSec den Vorteil, dass es ohne spezielle Client-Software für den Aufbau eines sicheren Kommunikationstunnels auskommt. Stattdessen dienen häufig Standard-Browser mit SSL-Unterstützung als eine Art Universal-Client. Schlüssel Im Rahmen eines Verschlüsselungsverfahrens ist ein Schlüssel eine Information, die zur Verschlüsselung eines Klartextes bzw. zur Entschlüsselung eines Geheimtextes verwendet wird. Schlüsselübergabe Unter Schlüsselübergabe versteht man die Übermittlung des geheimen Schlüssels bei symmetrischen Verschlüsselungsverfahren und des öffentlichen Schlüssels bei asymmetrischen Verschlüsselungsverfahren. Schlüsselgenerierung Synonym für Schlüsselerzeugung. Schlüssellänge Länge eines kryptografischen Schlüssels in Bits. Kann als Maßstab für die Stärke einer Verschlüsselung angesehen werden: Je mehr Bits die Schlüssel haben, desto schwieriger ist es, das kryptografische System durch Ausprobieren aller möglichen Schlüssel zu knacken (sog. Brute-Force-Angriff). Schlüsselmanagement Synonym für Schlüsselverwaltung. Alle Handlungen zwischen Schlüsselerzeugung und Schlüsselvernichtung werden unter dem Begriff Schlüsselverwaltung zusammengefasst. Dazu gehören beispielsweise die Schlüsselspeicherung, Schlüsselübergabe, Verschlüsselung und Schlüsselwiederherstellung. Schlüsselraum Als Schlüsselraum bezeichnet man die Menge aller Schlüssel, mit denen ein Verschlüsselungsverfahren arbeitet. Schlüsselverteilung Schlüsselverteilung ist die Schlüsselübergabe an mehrere Teilnehmer. Schlüsselverwaltung Auch Schlüsselmanagement genannt. Alle Handlungen zwischen Schlüsselerzeugung und Schlüsselvernichtung werden unter dem Begriff Schlüsselverwaltung zusammengefasst. Dazu gehören beispielsweise die Schlüsselspeicherung, Schlüsselübergabe, Verschlüsselung und Schlüsselwiederherstellung. Secret Key Englisch für geheimer Schlüssel. Bei symmetrischen Verschlüsselungsverfahren wird der verwendete Schlüssel auch als geheimer Schlüssel bezeichnet. Bei asymmetrischen Verschlüsselungsverfahren wird der geheime Schlüssel - auch privater Schlüssel genannt - im Gegensatz zum öffentlichen Schlüssel vom Inhaber geheim gehalten. Session Key Englisch für Sitzungsschlüssel. Sitzungsschlüssel sind Schlüssel, die nur einmal verwendet werden, um die Gefahr der Kryptoanalyse zu minimieren. Normalerweise erfolgt die Schlüsselerzeugung unmittelbar vor und die Schlüsselvernichtung unmittelbar nach der Verschlüsselung. Hybride Verschlüsselungsverfahren arbeiten mit Sitzungsschlüsseln. SHA Abkürzung für "Secure Hash Algorithm". SHA ist eine kryptografische Hash-Funktion. SHA-1 SHA-1 ist eine 160 -Bit Hash-Funktion Shamir, Adi Adi Shamir ist Professor für Mathematik und Informatik am Weizmann Institute of Science in Rehovot, Israel. Er war unter anderem an der Entwicklung von RSA beteiligt. Sicherheitsmanagement (security management) Kontinuierlicher Prozess zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Zurechenbarkeit, Authentizität und Zuverlässigkeit von IT-Systemen. Sichere Signaturerstellungseinheiten (SSEE) sind laut Signaturgesetz Software- oder Hardwareeinheiten zur Speicherung und Anwendung des jeweiligen Signaturschlüssels, die mindestens die Anforderungen nach § 17 oder § 23 dieses Gesetzes und der sich darauf beziehenden Vorschriften der Rechtsverordnung nach § 24 (Signaturverordnung) erfüllen und die für qualifizierte elektronische Signaturen bestimmt sind. SigG (Signaturgesetz) SigG definiert die Rahmenbedingungen der elektronischen Signatur. Für die Benutzung wurde zusätzlich die Signaturverordnung (SigV) entwickelt. Das SigG ist mit Wirkung vom 22. Mai 2001 in Kraft getreten. Signed Object Offener Standard für die Verteilung autorisierter Programme und Dokumente, der aus dem Java-Konzept Signed Object hervorgegangen ist. SigV (Signaturverordnung) Ergänzt das SigG bezüglich der Verfahren und Abläufe der Zertifizierungsstellen. Mit Wirkung vom 22. November 2001in Kraft getreten. S/Mime S/Mime (Secure Multipurpose Mail Extension) Definition für die Absicherung von emails durch Authentifizierung über elektronische Signaturen und Verschlüsselung. Definiert in RFC 1521. S/Mime Zertifikate basieren auf dem X.509 - Format. Smart Card Intelligente elektronische Speicherkarte, die über einen winzigen integrierten Prozessor Authentifizierung bei Finanztransaktionen u. ä. liefern kann Sniffer Eine Software zum Mitschneiden und analysieren von Datenpaketen in einem Netzwerk. Spam, Spim, Spit Unerwünschte Werbobotschaften, die via E-Mail, Instant Messaging oder Voice over IP verschickt werden. Sperrliste (Certificate Revocation List) Auch Certificate Revocation List (CRL) genannt. Die Sperrliste ist eine signierte Datei, in die alle vor Ablauf ihrer Gültigkeit widerrufenen Zertifikate aufgenommen werden. Allgemein ist der Unterzeichner solcher Listen die Instanz, welche selbst diese Zertifikate herausgibt und signiert. Es besteht die Möglichkeit, diese Listen durch andere Instanzen unterschreiben zu lassen. Listen dieser Art werden als "Indirect CRLs" bezeichnet. Die Verteilung der Listen erfolgt periodisch innerhalb vorgegebener Zeitintervalle. Innerhalb des CRL-Sperrmanagements können unterschiedliche Verteilungsmethoden zur Anwendung kommen. Sperrung Ein Zertifikat kann aus verschiedenen Gründen gesperrt oder widerrufen, d. h. vor seinem eigentlichen Ablaufdatum für ungültig erklärt werden. Spyware Software, die Daten über den Anwender (zum Beispiel über dessen Surfverhalten) sammelt und zur Auswertung an einen Server übermittelt. SSL SSL (Secure Socket Layer) ist ein Protokoll, das einen sicheren Datenverkehr über das Internet gewährleistet. SSL wird von allen aktuellen Internet -Browsern unterstützt und verwendet, um die Kommunikation und den Transfer sensitiver Daten über das WWW zu verschlüsseln und abhörsicher zu machen. SSL-Zertifikate basieren auf dem X.509-Format. SSL-Handshake Das Handshake zwischen Client und Server beinhaltet die Aushandlung aller notwendigen kryptografischen Parameter, um eine verschlüsselte Datenverbindung herstellen zu können. Folgende Aufgaben werden innerhalb des Handshake-Protokolls erfüllt: Festlegung eines Schlüsselaustauschverfahrens (z. B. RSA, Diffie-Hellman, Fortezza). Dieses Verfahren dient zum vertraulichen Austausch der Informationen, die beide Partner zur Berechnung eines symmetrischen Schlüssels für die anschließende Sitzung (Session Key) benötigen. Festlegung der kryptografischen Algorithmen für den verschlüsselten Datenaustausch (DES, Triple-DES) und der Datensignierung (MD5, SHA). Generierung eines Session Key für das symmetrische Verschlüsselungsverfahren. Stammzertifikat (Root-CA) Stammzertifikat oder auch Wurzelzertifikat genannt, ist die Microsoft spezifische Übersetzung von Root-CA. Details siehe Wurzelzertifikat. Steganografie Unter Steganografie versteht man eine spezielle Art der Datenverschlüsselung. Im Gegensatz zu herkömmlichen Verschlüsselungsmethoden wird bei der Steganografie nicht eine komplette Datei verschlüsselt, vielmehr werden in unverschlüsselte Dateien (Trägerdateien) verschlüsselte Elemente eingebaut. Häufig geschieht dies durch Integration von unsichtbaren Textsequenzen in herkömmliche Video-, Audio- und Bilddateien. Die vorgenommene Manipulation ist für Außenstehende nicht zu erkennen. Nur wer über die mittels Steganografie vorgenommene Änderung der Trägerdatei Bescheid weiß, ist in der Lage, die verschlüsselten Informationen zu extrahieren bzw. zu entschlüsseln. Symmetrische Verfahren Symmetrische Verschlüsselung - auch Private Key Verfahren genannt - verwendet zum Ver- und Entschlüsseln denselben Schlüssel. T TCP Abkürzung für "Transmission Control Protocol". TCP ist ein Übermittlungsprotokoll, das im Internet verwendet wird. Es unterteilt Daten in Pakete, die einzeln übermittelt werden, und fügt erhaltene Datenpakete wieder in der richtigen Reihenfolge zusammen. TCP wird in Verbindung mit IP (Internet Protocol) benutzt. TeleTrusT TeleTrusT ist ein deutscher Verein zur Förderung der Vertrauenswürdigkeit von Informations- und Kommunikationstechnik. Token Eine Hardwarekomponente, mit deren Hilfe sich stärkere Authentifizierungsverfahren realisieren lassen. Ein Beispiel sind Token, die in der Lage sind, Einmalpasswörter zu generieren. Triple-DES Abkürzung für "Triple-Data Encryption Standard". Triple-DES, auch DES3 genannt, ist eine Erweiterung des DES-Algorithmus. Dabei wird der DES-Algorithmus dreimal hintereinander ausgeführt, entweder mit zwei oder mit drei verschiedenen Schlüsseln, was einer effektiven Schlüssellänge von 112 Bit bzw. 168 Bit entspricht. Trojaner Software, die vom Anwender unbemerkt auf dessen Rechner installiert wird, in der Regel über einen Wurm und einem Angreifer erlaubt, den PC fernzusteuern. Trusted Computing Group (TCG) Initiative, um die Integrität von Systemen zu erhöhen. Die TCG will dies erreichen, indem sie Hardware und Software stärker miteinander koppelt. Eine wichtige Rolle spielt dabei ein Sicherheitschip (Trusted Platform Module = TPM) auf der Hauptplatine des Rechners, der bestimmte Security-Funktionen wie Verschlüsselung oder Generierung von Zufallsnummern bietet. TrustCenter Die technische Umsetzung des vertrauenswürdigen Dritten (Zertifizierungsstelle). Hier werden unterschiedliche Leistungen erbracht. Dazu zählen u. a. das Personalisieren der SmartCard mit - dem privaten Schlüssel einer Person, sowie Verwaltung der öffentlichen Signaturschlüssel in einer frei zugänglichen Datenbank. TSS TSS bezeichnet die Zeitstempelfunktion mit der überprüft werden kann, wann einer Zertifizierungsstelle bestimmte Daten vorgelegen haben. U Unified Threat Management (UTM) Von IDC geprägter Begriff, der kombinierte Sicherheitslösungen bezeichnet. Derartige Appliances vereinen in der Regel Firewall, VPN-Gateway, Virenscanner und Spamschutz. Unsicherer Kanal Als unsicheren Kanal bezeichnet man einen Übertragungsweg, von dem nicht mit Sicherheit gesagt werden kann, dass er keine Möglichkeit zum Abhören der Kommunikation bietet. Urheberschaft Die Urheberschaft eines Dokumentes ist die eindeutige Zuordnung zu seinem Urheber. USB Abkürzung für "Universal Serial Bus" (deutsch: universeller, serieller Bus). USB ist ein serieller Bus für den Anschluss von Peripheriegeräten an einen Mikrocomputer. Über den USB-Bus können an das System über einen einzelnen Mehrzweckanschluss bis zu 127 Geräte angeschlossen werden, z. B. externe CD-Laufwerke, Drucker, Modems sowie Maus und Tastatur. Dies wird durch Hintereinanderreihen der Geräte realisiert. USB ermöglicht einen Gerätewechsel bei eingeschalteter Stromversorgung (Hot Plugging) und mehrfach überlagerte Datenströme. V Verbindlichkeit (nonrepudiation oder Content Commitment) Beweissichere Zuordnung von Transaktionen zu Prozessen und/oder Personen Verfügbarkeit (availability) Eigenschaft, auf Verlangen einer berechtigten Person, Prozess zugreifbar und benutzbar zu sein. Vertraulichkeit (confidentiality) Daten und IT -Systeme dürfen ausschließlich autorisierten Personen oder Prozessen zugänglich sein. Vertrauenswürdiger Dritter Hierbei handelt es sich um eine unabhängige Instanz, der alle Beteiligten ihr Vertrauen schenken. Bei Public-Key-Verschlüsselungsverfahren werden die öffentlichen Schlüssel in der Regel durch Zertifizierungsdiensteanbieter verwaltet. Vertrauenswürdigkeit (assurance) Eigenschaft, die das Maß an Vertrauen ausdrückt, das man in die Sicherheit eines IT -Systems haben kann. Verschlüsselung Das Chiffrieren von Inhalten mit Hilfe spezieller Verfahren oder Algorithmen, um sie vor unbefugten Zugriffen zu schützen. Mit Hilfe des passenden Schlüssels können berechtigte Personen die scheinbar sinnlosen Informationen wieder in Klartext verwandeln. Beispiele für Verschlüsselungstechniken sind die Cäsar- oder die Vigenère-Methoden. Bekannte Krypto-Algorithmen sind der Advanced Encryption Standard (AES), der Data Encryption Standard (AES) oder das nach seinen Erfindern Ron Rivest, Adi Shamir und Leonard Adleman benannte RSA-Verfahren. Virtual Privat Networks (VPNs) Logische Verbindung zwischen zwei oder mehr Rechnern beziehungsweise Netzwerken über ein öffentliches Netz hinweg. Mit Hilfe von Verschlüsselungsverfahren wie IPsec oder Secure Sockets Layer (SSL) werden dabei sichere Kommunikationstunnel gebildet. Virus Schädling, der einen Rechner infizieren, Dateien und Inhalte manipulieren oder sogar zerstören kann. Besitzt keine eigenen Routinen zur Fortpflanzung. Vulnerabilty Management Der ganzheitliche Umgang mit Schwachstellen im Unternehmen. Dazu gehört das Erkennen, Bewerten und Beheben von Sicherheitslücken in Software, Hardware, Konfigurationen, Prozessen oder Organisationsstrukturen. W Web of Trust Netz des Vertrauens. Zertifizierungsstruktur, die nicht hierarchisch aufgebaut ist. Es wird beispielsweise bei PGP verwendet. Wörterterbuchangriff Ein Wörterbuchangriff ist eine Methode der Kryptoanalyse, bei dem eine gewisse Menge von Schlüsseln (das Wörterbuch) durchprobiert wird. Ein Anwendungsbeispiel ist das Brechen eines Passwortschutzes. Wurm Schädliche Software, die eigene Routinen besitzt, um sich weiterzuverbreiten (zum Beispiel eine E-Mail-Engine). Wurzelzertifikat Englische Übersetzung von Root-CA. Ein Wurzelzertifikat ist das oberste Zertifikat einer PKI. Ihr müssen alle Teilnehmer der PKI vertrauen. Wurzelzertifikate sind selbstsigniert, d. h. das Wurzelzertifikat ist mit seinem eigenen privaten Schlüssel unterzeichnet. Zwischen einem Benutzerzertifikat und dem Wurzelzertifikat können noch beliebig viele Zwischenzertifikate (Sub-CAs) liegen. X X.500 X.500 ist ein Standard der ITU (International Telecommunication Union) für verteilte elektronische Verzeichnisse. X.509 Von der ITU-T 1998 beschlossener Standard für eine Public-Key-Infrastruktur (PKI) beziehungsweise digitale Signaturen. X.509 setzt auf streng hierarchische Zertifizierungsinstanzen und bietet die Möglichkeit, Profile zu integrieren. Versionsnummer (hier v3). Seriennummer: Diese ist für jedes Zertifikat eines Herausgebers eindeutig, d. h. ein Zertifikat ist durch diese Nummer und den Herausgeber eindeutig bestimmt. Signatur: Bezeichnung des Algorithmus, mit dem der Herausgeber das Zertifikat signiert. Herausgeber: eindeutiger Name des Herausgebers. Gültigkeit: Gültigkeitszeitraum des Zertifikats. Inhaber: eindeutiger Name des Zertifikatsinhabers. Öffentlicher Schlüssel: öffentlicher Schlüssel des Inhabers und Bezeichnung des Algorithmus, mit dem der Schlüssel verwendet wird. Y Yuval’s birthday attack Spezielle Form des Geburtstagsangriffs, die das Ziel hat, Kollisionen bei Hashfunktionen zu finden. Z Zero-Day-Attacks Angriffe, die auf eine Systemschwachstelle ausgerichtet sind, für die es noch keinen offiziellen Patch gibt. Zeitstempel Ein Zeitstempel ist eine elektronisch signierte Bescheinigung einer Zertifizierungsstelle zur Bestätigung, dass gewisse Daten zu einem bestimmten Zeitpunkt existiert haben. Zertifikat Ein Zertifikat ist ein öffentlicher Schlüssel, der von einer Certification Authority beglaubigt und unterschrieben ist. Ein Zertifikat belegt, daß der Schlüssel wirklich zu derjenigen Person gehört, die in der Benutzerkennung des Schlüssels angegeben ist. Es ist deshalb vergleichbar mit einem elektronischen Ausweis. Zertifikatspfad Zertifikate werden zur Vereinfachung in einer hierarchisch organisierten Struktur (PKI) ausgestellt. An oberster Stelle steht das Wurzelzertifikat. Das Wurzelzertifikat zertifiziert gegebenenfalls andere Zertifizierungsstellen usw.. Am unteren Ende schließlich befinden sich Benutzerzertifikate. Damit Benutzer innerhalb dieser Hierarchie miteinander kommunizieren können, benötigt jeder Teilnehmer den Zertifikatspfad zum Wurzelzertifikat. Hierüber sind dann alle Benutzer in der Lage, beliebige Zertifikate innerhalb dieser Hierarchie auf Echtheit und Gültigkeit zu prüfen. Zertifikatstyp Für verschiedene Teilnehmer (Anwender, Softwareentwickler usw.) werden unterschiedliche Zertifikate erstellt. Zertifikatsverzeichnis Im Zertifikatsverzeichnis einer Zertifizierungsstelle werden alle ausgestellten Zertifikate aufgeführt. Zertifizierungshierarchie Zertifizierungsstruktur, bei der die Zertifizierungsinstanzen hierarchisch voneinander abhängen. Zertifizierungsinstanz Synonym für Zertifizierungsstelle bzw. Certificate Authority (CA). Die Zertifizierungsinstanz ist eine Organisation, die elektronische Zertifikate herausgibt und überprüft. Zertifizierungsstelle Natürliche oder juristische Person, die die Zuordnung von Zertifikaten und öffentlichen Signaturschlüsseln zu natürlichen Personen bescheinigt. Zertifizierung (certification) Formale Erklärung, die die Ergebnisse einer Evaluierung und die ordnungsgemäße Anwendung der benutzten Evaluationskriterien bestätigt. ZKA-Sig-API ZKA-Sig-API ist eine Schnittstelle der deutschen Kreditwirtschaft zur Nutzung der elektronischen Signatur. Zombies Rechner, mit Hilfe von Trojanrn von Übeltätern kontrolliert werden können. Zugriff (access) Vorgang, der einem Nutzer Daten, Programme oder Ressourcen eines IT-Systems zugänglich macht. Dieser Vorgang kann beispielsweise lesend, schreibend oder ausführend erfolgen. Zutritt (access) Betreten von Bereichen (z. B. Räumen) durch Personen. Zuverlässigkeit (reliability) Eigenschaft eines gleich bleibenden, beabsichtigten Verhaltens und Ergebnisses.
|
|
Auswahl
|
Suchmaschinenoptimierung durch SEO im Vest