C (Sicherheitsglossar)

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

CA

Siehe Zertifizierungsstelle.

ZS-Zertifikat

Identifiziert die Zertifizierungsstelle (Certification Authority, CA), die Zertifikate zur Authentifizierung von Clients und Servern ausstellt, die von diesen angefordert werden. Da das Zertifizierungsstellenzertifikat auch einen öffentlichen Schlüssel enthält, der in digitalen Signaturen verwendet wird, wird es auch als Signaturzertifikat bezeichnet. Wenn es sich um eine Stammzertifizierungsstelle handelt, wird das Zertifizierungsstellenzertifikat auch als Stammzertifikat bezeichnet. Gelegentlich ist in diesem Zusammenhang auch die Rede von einem Sitezertifikat.

Zertifizierungsstellenhierarchie

Eine Zertifizierungsstellenhierarchie enthält mehrere Zertifizierungsstellen. Sie ist so organisiert, dass jede Zertifizierungsstelle von einer anderen Zertifizierungsstelle auf einer höheren Hierarchieebene zertifiziert wird, bis die auch als Stammzertifizierungsstelle bezeichnete Spitze der Hierarchie erreicht ist.

CALG_DH_EPHEM

Der CryptoAPI-Algorithmusbezeichner für den Diffie-Hellman-Schlüsselaustauschalgorithmus, wenn er für die Generierung von kurzlebigen Schlüsseln verwendet wird.

Siehe auch Diffie-Hellman-Schlüsselaustauschalgorithmus (kurzlebig).

CALG_DH_SF

Der CryptoAPI-Algorithmusbezeichner für den Diffie-Hellman-Schlüsselaustauschalgorithmus, wenn er für die Generierung von Schlüsseln zum Speichern und Weiterleiten verwendet wird.

Siehe auch Diffie-Hellman-Schlüsselaustauschalgorithmus (Speichern und Weiterleiten).

CALG_HMAC

Der CryptoAPI-Algorithmusbezeichner für den Hash-basierten Nachrichtenauthentifizierungscode-Algorithmus.

Siehe auch Hash-basierter Nachrichtenauthentifizierungscode.

CALG_MAC

Der CryptoAPI-Algorithmusbezeichner für den Nachrichtenauthentifizierungscode-Algorithmus.

Siehe auch Nachrichtenauthentifizierungscode.

CALG_MD2

Der Bezeichner des CryptoAPI-Algorithmus für den MD2-Hashalgorithmus.

Siehe auch MD2-Algorithmus.

CALG_MD5

Der Bezeichner des CryptoAPI-Algorithmus für den MD5-Hashalgorithmus.

Siehe auch MD5-Algorithmus.

CALG_RC2

Der CryptoAPI-Algorithmusbezeichner für den RC2-Blockchiffrealgorithmus.

Siehe auch RC2-Blockalgorithmus.

CALG_RC4

Der CryptoAPI-Algorithmusbezeichner für den RC4-Datenstromchiffrealgorithmus.

Siehe auch RC4-Datenstromalgorithmus.

CALG_RSA_KEYX

Der CryptoAPI-Algorithmusbezeichner für den RSA-Algorithmus für öffentliche Schlüssel, wenn er für den Schlüsselaustausch verwendet wird.

Siehe auch RSA-Algorithmus für öffentliche Schlüssel.

CALG_RSA_SIGN

Der CryptoAPI-Algorithmusbezeichner für den RSA-Algorithmus für öffentliche Schlüssel, wenn er zum Generieren digitaler Signaturen verwendet wird.

Siehe auch RSA-Algorithmus für öffentliche Schlüssel.

CALG_SHA

Der Bezeichner des CryptoAPI-Algorithmus für den Secure Hash Algorithm (SHA-1).

Siehe auch Secure Hash Algorithm.

CAST

Eine Gruppe von DES-ähnlichen symmetrischen Blockchiffren, die von C. M. Adams und S. E. Tavares entwickelt wurden. PROV_MS_EXCHANGE-Anbietertypen geben einen bestimmten CAST-Algorithmus an, der eine 64-Bit-Blockgröße verwendet.

CBC

Siehe Chiffrenblock-Verkettung (Cipher Block Chaining, CBC).

Zertifikat

Eine digital signierte Anweisung mit Informationen über eine Entität und ihren öffentlichen Schlüssel, die zwei Informationen verbindet. Zertifikate werden von vertrauenswürdigen Organisationen (oder Entitäten) ausgestellt, die auch als Zertifizierungsstellen bezeichnet werden, nachdem die Zertifizierungsstelle die vorgegebene Identität überprüft hat.

Zertifikate können verschiedene Datentypen enthalten. Beispielsweise enthält ein X.509-Zertifikat folgende Zertifikatdaten: Format, Seriennummer, Algorithmus der Signatur, Name der ausstellenden Zertifizierungsstelle, Name und öffentlicher Schlüssel der Entität, die das Zertifikat anfordert, sowie Signatur der Zertifizierungsstelle.

Zertifikat-BLOB

Ein BLOB, der die Zertifikatsdaten enthält.

Ein Zertifikat-BLOB wird durch Aufrufe von CryptEncodeObject erstellt. Der Vorgang ist abgeschlossen, wenn die Ausgabe des Aufrufs alle Zertifikatdaten enthält.

Zertifikatkontext

Eine CERT_CONTEXT-Struktur, die ein Handle zu einem Zertifikatspeicher enthält, einen Zeiger auf das ursprüngliche codierte Zertifikat-BLOB, einen Zeiger auf eine CERT_INFO-Struktur und ein Codierungstyp-Member. Dies ist die CERT_INFO-Struktur, die die meisten Zertifikatinformationen enthält.

Funktionen zum Codieren/Decodieren von Zertifikaten

Funktionen, die die Übersetzung von Zertifikaten und verwandtem Material in Standard-, Binärformate verwalten, die in verschiedenen Umgebungen verwendet werden können.

Zertifikatcodierungstyp

Definiert, wie das Zertifikat codiert wird. Der Zertifikatcodierungstyp wird im niederwertigen Wort der Encoding-Typ-Struktur (DWORD) gespeichert.

Zertifikatverwaltung über CMS

CMC. Zertifikatverwaltung über CMS. CMC ist ein Zertifikatverwaltungsprotokoll, das die Syntax verschlüsselter Nachrichten (Cryptographic Message Syntax, CMS) verwendet. Microsoft umschließt CMC-Zertifikatanforderungen mit einem PKCS #7 (CMS)-Anforderungsobjekt, bevor die Anforderung an einen Registrierungsserver gesendet wird.

Zertifikatnamen-BLOB

Eine codierte Darstellung der Nameninformationen, die in Zertifikaten enthalten sind. Jeder Namens-BLOB wird einer CERT_NAME_BLOB-Struktur zugeordnet.

Beispielsweise werden die Aussteller- und Betreffinformationen, auf die durch eine CERT_INFO-Struktur verwiesen wird, in zwei CERT_NAME_BLOB-Strukturen gespeichert.

Zertifikatrichtlinie

Ein benannter Satz von Regeln, die die Anwendbarkeit von Zertifikaten für eine bestimmte Anwendungsklasse mit allgemeinen Sicherheitsanforderungen angeben. Eine solche Richtlinie kann beispielsweise bestimmte Zertifikate auf elektronische Datenaustauschtransaktionen innerhalb bestimmter Preisgrenzen beschränken.

Zertifikatanforderung

Eine speziell formatierte elektronische Nachricht (an eine Zertifizierungsstelle gesendet), die zum Anfordern eines Zertifikats verwendet wird. Die Anforderung muss die von der Zertifizierungsstelle zum Authentifizieren der Anforderung erforderlichen Informationen sowie den öffentlichen Schlüssel der Entität enthalten, die das Zertifikat anfordert.

Alle zum Erstellen der Anforderung erforderlichen Informationen sind einer CERT_REQUEST_INFO-Struktur zugeordnet.

Zertifikatsperrliste

(CRL) Ein Dokument, das von einer Zertifizierungsstelle verwaltet und veröffentlicht wird, in dem von der Zertifizierungsstelle ausgestellte Zertifikate aufgelistet sind, die nicht mehr gültig sind.

Zertifikatserver

Ein Server, der Zertifikate für eine bestimmte Zertifizierungsstelle ausstellt. Die Zertifikatserversoftware bietet anpassbare Dienste zum Ausstellen und Verwalten von Zertifikaten, die in Sicherheitssystemen zum Einsatz kommen, die Kryptografie mit öffentlichem Schlüssel verwenden.

Zertifikatsdienste

Ein Softwaredienst, der Zertifikate für eine bestimmte Zertifizierungsstelle ausstellt. Er bietet anpassbare Dienste zum Ausstellen und Verwalten von Zertifikaten für das Unternehmen. Zertifikate können verwendet werden, um Authentifizierungsunterstützung bereitzustellen, einschließlich sicherer E-Mails, webbasierter Authentifizierung und Smartcard-Authentifizierung.

Zertifikatspeicher

Normalerweise handelt es sich um einen permanenten Speicher, in dem Zertifikate, Zertifikatsperrlisten (CRL) und Zertifikatvertrauenslisten (CTL) gespeichert werden. Zertifikatspeicher können jedoch auch ausschließlich im Speicher erstellt und geöffnet werden, wenn Sie Zertifikate verwenden, die nicht im permanenten Speicher abgelegt werden müssen.

Der Zertifikatspeicher ist wesentlich für einen Großteil der Zertifikatfunktionen in CryptoAPI.

Zertifikatspeicherfunktionen

Funktionen zum Verwalten der Speicher- und Abrufdaten wie Zertifikate, Zertifikatsperrlisten und Zertifikatvertrauenslisten (Certificate Trust Lists, CTLs). Diese Funktionen können in allgemeine Zertifikatfunktionen, Zertifikatsperrlistenfunktionen und Zertifikatvertrauenslistenfunktionen unterteilt werden.

Zertifikatvorlage

Ein Windows-basiertes Konstrukt, das Zertifikate auf Grundlage ihres Zwecks profiliert (d. h. das Format und den Inhalt angibt). Beim Anfordern eines Zertifikats von einer Windows-Unternehmenszertifizierungsstelle (Enterprise Certification Authority, CA) können Zertifikatanforderer je nach ihren Zugriffsrechten aus einer Vielzahl von Zertifikattypen auswählen, die auf Zertifikatvorlagen basieren, z. B. Benutzer- und Codesignatur.

Vertrauensliste des Zertifikats

(CTL) Eine vordefinierte Liste mit Elementen, die von einer vertrauenswürdigen Entität signiert wurden. Eine Zertifikatvertrauensliste kann beispielsweise eine Hashliste mit Zertifikaten sein oder eine Liste mit Dateinamen. Alle Elemente in der Liste werden von der signierenden Entität authentifiziert (genehmigt).

certification authority

(CA) Eine Entität, die Zertifikate ausstellt, die bestätigen, dass der Empfänger, der Computer oder die Organisation, der/die das Zertifikat anfordert, die Bedingungen einer festgelegten Richtlinie erfüllt.

CFB

Siehe Chiffren-Feedback.

Verkettungsmodus

Ein Blockchiffremodus, der Feedback einführt, indem Chiffretext und Klartext kombiniert werden.

Siehe auch Chiffrenblock-Verkettung.

cipher

Ein kryptografischer Algorithmus, der zum Verschlüsseln von Daten verwendet wird, d. h. um Klartext mithilfe eines vordefinierten Schlüssels in Chiffretext zu transformieren.

Chiffrenblock-Verkettung

(CBC) Eine Methode zum Ausführen einer symmetrischen Blockchiffre, die Feedback verwendet, um zuvor generierten Chiffretext mit neuem Klartext zu kombinieren.

Jeder Klartextblock wird durch eine bitweise XOR-Operation mit Chiffretext des vorherigen Blocks kombiniert, bevor er verschlüsselt wird. Durch die Kombination von Chiffretext und Klartext wird sichergestellt, dass sie auch dann, wenn der Klartext viele identische Blöcke enthält, jeweils in einem anderen Chiffretextblock verschlüsselt werden.

Wenn der Microsoft Base-Kryptografieanbieter verwendet wird, ist CBC der Standardchiffremodus.

Chiffrenblock-Verkettung für MAC

Eine Blockchiffremethode, die die Basisdaten mit einer Blockchiffre verschlüsselt und dann den letzten verschlüsselten Block als Hashwert verwendet. Der Verschlüsselungsalgorithmus, der zum Erstellen des Nachrichtenauthentifizierungscodes (Message Authentication Code, MAC) verwendet wird, wurde beim Erstellen des Sitzungsschlüssels angegeben.

Chiffren-Feedback

(CFB) Ein Blockchiffremodus, der kleine Teile von Klartext in Chiffretext verarbeitet, anstatt jeweils einen ganzen Block zu verarbeiten.

In diesem Modus wird ein Schieberegister verwendet, das eine Blockgröße in der Länge misst und in Abschnitte unterteilt ist. Wenn die Blockgröße z. B. 64 Bit beträgt und acht Bit gleichzeitig verarbeitet werden, wird das Schieberegister in acht Abschnitte unterteilt.

Chiffremodus

Ein Blockchiffremodus (jeder Block wird einzeln verschlüsselt), der mithilfe der CryptSetKeyParam-Funktion angegeben werden kann. Wenn die Anwendung keinen dieser Modi explizit angibt, wird der Cipher Block Chaining (CBC)-Modus verwendet.

ECB: Ein Blockchiffremodus, der kein Feedback verwendet.

CBC: Ein Blockchiffremodus, der Feedback einführt, indem Chiffretext und Klartext kombiniert werden.

CFB: Ein Blockchiffremodus, der kleine Teile von Klartext in Chiffretext verarbeitet, anstatt jeweils einen ganzen Block zu verarbeiten.

OFB: Ein Blockchiffremodus, der Feedback ähnlich wie CFB verwendet.

ciphertext

Eine Nachricht, die verschlüsselt wurde.

Klartext

Siehe Klartext.

client

Die Anwendung, die anstelle der Serveranwendung eine Verbindung mit einem Server initiiert.

Vergleichen Sie sie mit dem Server.

Clientzertifikat

Ein Zertifikat, das zur Clientauthentifizierung verwendet wird, beispielsweise zur Authentifizierung eines Webbrowsers auf einem Webserver. Beim Versuch eines Webbrowserclients, auf einen sicheren Webserver zuzugreifen, sendet der Client sein Zertifikat an den Server, um seine Identität prüfen zu lassen.

CMC

Siehe Zertifikatverwaltung über CMS.

CNG

Siehe Kryptografie-API: Nächste Generation.

Kommunikationsprotokoll

Die Methode, in der Daten serialisiert (in eine Zeichenfolge von Einsen und Nullen konvertiert) und deserialisiert werden. Das Protokoll wird sowohl von Software- als auch von Datenübertragungshardware gesteuert.

Ein vereinfachtes Kommunikationsprotokoll wird in der Regel in Bezug auf Ebenen besprochen und besteht möglicherweise aus einer Anwendungsebene, einer Codierungs-/Decodierungsebene und einer Hardwareebene.

Eingeschränkte Delegierung

Verhalten, das es dem Server ermöglicht, Anforderungen im Auftrag des Clients nur an eine bestimmte Liste von Diensten weiterzuleiten.

Windows XP: Eingeschränkte Delegierung wird nicht unterstützt.

context

Die Sicherheitsdaten, die für eine Verbindung relevant sind. Ein Kontext enthält Informationen wie einen Sitzungsschlüssel und die Dauer der Sitzung.

Kontextfunktionen

Funktionen, die zum Herstellen einer Verbindung mit einem Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) verwendet werden. Mit diesen Funktionen können Anwendungen einen bestimmten CSP anhand des Namens auswählen oder einen mit einer erforderlichen Funktionalitätsklasse abrufen.

Gegensignatur

Eine Signatur einer vorhandenen Signatur und Nachricht oder eine Signatur einer vorhandenen Signatur. Eine Gegensignatur wird verwendet, um den verschlüsselten Hash einer vorhandenen Signatur zu signieren oder eine Nachricht mit einem Zeitstempel zu versehen.

credentials

Authentifizierte Anmeldedaten, die von einem Sicherheitsprinzipal verwendet werden, um die eigene Identität festzustellen, beispielsweise ein Kennwort oder ein Kerberos-Protokollticket.

CRL

Siehe Zertifikatsperrliste.

CRYPT_ASN_ENCODING

Codierungstyp, der die Zertifikatcodierung angibt. Zertifikatcodierungstypen werden im niederwertigen Wort eines DWORD (Wert: 0x00000001) gespeichert. Dieser Codierungstyp ist funktionell mit dem X509_ASN_ENCODING-Codierungstyp identisch.

Kryptoanalyse

Kryptoanalyse ist die Kunst und Wissenschaft des Entschlüsselns von Chiffretext. Im Gegensatz dazu ist Kryptografie die Kunst und Wissenschaft, Nachrichten sicher aufzubewahren.

CryptoAPI

Anwendungsprogrammierschnittstelle, mit der Anwendungsentwickler Authentifizierung, Codierung und Verschlüsselung zu Windows-basierten Anwendungen hinzufügen können.

Kryptografiealgorithmus

Eine mathematische Funktion, die für die Verschlüsselung und Entschlüsselung verwendet wird. Die meisten kryptografischen Algorithmen basieren auf einer Ersetzungschiffre, einer Transposition oder einer Kombination aus beiden.

Kryptografischer Digest

Eine unidirektionale Hashfunktion, die eine Eingabezeichenfolge mit variabler Länge verwendet und in eine Ausgabezeichenfolge mit fester Länge (als kryptografischer Digest bezeichnet) konvertiert. Diese Ausgabezeichenfolge mit fester Länge ist probabilistisch für jede unterschiedliche Eingabezeichenfolge eindeutig und kann somit als Fingerabdruck einer Datei fungieren. Wenn eine Datei mit einem kryptografischen Digest heruntergeladen wird, berechnet der Empfänger den Digest erneut. Wenn die Ausgabezeichenfolge mit dem in der Datei enthaltenen Digest übereinstimmt, hat der Empfänger einen Nachweis, dass die empfangene Datei nicht manipuliert wurde und mit der ursprünglich gesendeten Datei identisch ist.

Kryptografischer Schlüssel

Ein kryptografischer Schlüssel ist ein Datenteil, das zum Initialisieren eines kryptografischen Algorithmus erforderlich ist. Kryptografiesysteme sind in der Regel so konzipiert, dass ihre Sicherheit nur von der Sicherheit ihrer kryptografischen Schlüssel abhängt, und nicht, um beispielsweise ihre Algorithmen geheim zu halten.

Es gibt entsprechend den zahlreichen kryptografischen Algorithmen viele verschiedene Arten von kryptografischen Schlüsseln. Schlüssel können nach dem Typ des Algorithmus klassifiziert werden, mit dem sie verwendet werden (z. B. als symmetrische oder asymmetrische Schlüssel). Sie können auch basierend auf ihrer Lebensdauer innerhalb eines Systems klassifiziert werden (z. B. als langlebige oder Sitzungsschlüssel).

Kryptografiedienstanbieter

(CSP) Ein unabhängiges Softwaremodul, das Kryptografiealgorithmen für Authentifizierung, Codierung und Verschlüsselung durchführt.

Kryptografie

Die Kunst und Wissenschaft der Informationssicherheit. Sie umfasst die Vertraulichkeit von Informationen, die Datenintegrität, die Entitätsauthentifizierung und die Datenursprungsauthentifizierung.

Kryptografie-API

Siehe CryptoAPI.

Kryptografie-API: Nächste Generation

(CNG) Die zweite Generation der CryptoAPI. Mit CNG können Sie vorhandene Algorithmusanbieter durch Ihre eigenen Anbieter ersetzen und neue Algorithmen hinzufügen, sobald sie verfügbar sind. CNG ermöglicht auch die Verwendung derselben APIs aus Benutzer- und Kernelmodusanwendungen.

Kryptologie

Der Bereich der Mathematik, der sowohl Kryptografie als auch Kryptoanalyse umfasst.

CryptoSPI

Die Systemprogrammschnittstelle, die mit einem kryptografischen Dienstanbieter (Cryptographic Service Provider, CSP) verwendet wird.

CSP

Siehe Kryptografiedienstanbieter.

CSP-Familie

Eine eindeutige Gruppe von CSPs, die denselben Satz von Datenformaten verwenden und ihre Funktion auf die gleiche Weise ausführen. Selbst wenn zwei CSP-Familien denselben Algorithmus (z. B. die RC2-Blockchiffre) verwenden, unterscheiden sich ihre unterschiedlichen Abstandsschemas, Schlüssellängen oder Standardmodi für jede Gruppe. CryptoAPI wurde so konzipiert, dass jeder CSP-Typ eine bestimmte Familie darstellt.

CSP-Name

Der Textname des CSP. Wenn der CSP von Microsoft signiert wurde, muss dieser Name exakt mit dem CSP-Namen übereinstimmen, der im Export Compliance Certificate (ECC) angegeben wurde.

CSP-Typ

Gibt die CSP-Familie an, die einem Anbieter zugeordnet ist. Wenn eine Anwendung eine Verbindung mit einem CSP eines bestimmten Typs herstellt, funktionieren die einzelnen CryptoAPI-Funktionen standardmäßig auf eine Weise, die von der Familie vorgeschrieben wird, die diesem CSP-Typ entspricht.

CTL

Siehe Zertifikatvertrauensliste.

CYLINK_MEK

Ein Verschlüsselungsalgorithmus, der eine 40-Bit-Variante eines DES-Schlüssels verwendet, wobei 16 Bit des 56-Bit-DES-Schlüssels auf Null festgelegt sind. Dieser Algorithmus wird gemäß der IETF-Entwurfsspezifikation für 40-Bit-DES implementiert. Die Entwurfsspezifikation zum Zeitpunkt dieses Schreibens finden Sie unter ftp://ftp.ietf.org/internet-drafts/draft-hoffman-des40-02.txt. Dieser Algorithmus wird mit dem ALG_ID-Wert CALG_CYLINK_MEK verwendet.