S (Sicherheitsglossar)

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

S/MIME

Siehe Secure/Multipurpose Internet Mail Extensions.

SACL

Siehe System-Zugriffssteuerungsliste.

Salt-Wert

Zufällige Daten, die manchmal als Teil eines Sitzungsschlüssels enthalten sind. Wenn sie einem Sitzungsschlüssel hinzugefügt werden, werden die Klartext-Salt-Daten vor den verschlüsselten Schlüsseldaten platziert. Durch das Hinzufügen von Salt-Werten wird der Aufwand erhöht, der für das Einbinden eines Brute-Force-Angriffs (Wörterbuch) auf Daten erforderlich ist, die mit einer symmetrischen Schlüsselchiffre verschlüsselt sind. Salt-Werte werden durch Aufrufen von CryptGenRandom generiert.

SAM

Siehe Security Accounts Manager.

bereinigter Name

Das Format des Namens einer Zertifizierungsstelle, das in Dateinamen (z. B bei einer Zertifikatssperrliste) und in Registrierungsschlüsseln verwendet wird. Die Bereinigung des Namens der Zertifizierungsstelle ist erforderlich, um Zeichen zu entfernen, die bei Dateinamen, Registrierungsschlüsselnamen oder Distinguished-Name-Werten oder aus technologiespezifischen Gründen unzulässig sind. Bei Zertifikatdiensten werden durch die Bereinigung unzulässige Zeichen im allgemeinen Namen der Zertifizierungsstelle fünfstellig im Format **!**xxxx geändert, wobei ! als Escapezeichen verwendet wird und xxxx vier hexadezimale ganze Zahlen darstellt, die das zu konvertierende Zeichen eindeutig kennzeichnen.

SAS

Siehe sichere Aufmerksamkeitssequenz.

SCard$DefaultReaders

Eine Terminallesergruppe, die alle diesem Terminal zugewiesenen Leser enthält, ist jedoch nicht für diese spezifische Verwendung vorgesehen.

SCard$AllReaders

Eine systemweite Smartcard-Lesergruppe, die alle Leser enthält, die in den Smartcard-Ressourcenmanager eingebunden wurden. Die Leser werden bei der Einführung in das System automatisch der Gruppe hinzugefügt.

SCARD_AUTOALLOCATE

Eine Smartcard-Systemkonstante, die den Smartcard-Ressourcenmanager anweist, sich selbst genügend Arbeitsspeicher zuzuweisen, und dabei einen Zeiger an den zugewiesenen Puffer zurückgibt, anstatt einen vom Benutzer bereitgestellten Puffer auszufüllen. Der zurückgegebene Puffer muss dann durch Aufrufen von SCardFreeMemory freigegeben werden.

SCEP

Siehe Simple Certificate Enrollment Protocol.

Schannel

Ein Sicherheitspaket, das für die Authentifizierung zwischen Clients und Servern sorgt.

sichere Aufmerksamkeitssequenz

(SAS) Eine Tastenfolge, mit der der An- oder Abmeldevorgang gestartet wird. Die Standardsequenz lautet STRG+ALT+ENTF.

Secure Electronic Transaction

(SET) Ein Protokoll für sichere elektronische Transaktionen über das Internet.

Secure Hash Algorithm

(SHA) Ein Hashalgorithmus, der einen Message Digest generiert. Der SHA wird u. a. zusammen mit dem Digital Signature Algorithm (DSA) im Digital Signature Standard (DSS) verwendet. CryptoAPI verweist auf diesen Algorithmus anhand des Algorithmusbezeichners (CALG_SHA), des Namens (SHA) und der Klasse (ALG_CLASS_HASH). Es gibt vier Arten von SHAs: SHA-1, SHA-256, SHA-384 und SHA-512. SHA-1 generiert einen 160-Bit-Nachrichtenhash. SHA-256, SHA-384 und SHA-512 generieren 256-Bit-, 384-Bit- bzw. 512-Bit-Nachrichtenhashes. Der SHA wurde vom National Institute of Standards and Technology (NIST) und von der National Security Agency (NSA) entwickelt.

Secure Hash Standard

Ein von NIST und der NSA entworfener Standard. Dieser Standard definiert den Secure Hash Algorithm (SHA-1) für die Verwendung mit dem Digital Signature Standard (DSS).

Siehe auch Secure Hash Algorithm.

Secure Sockets Layer-Protokoll

(SSL) Ein Protokoll für die sichere Netzwerkkommunikation mit einer Kombination aus öffentlicher und geheimer Schlüsseltechnologie.

Secure/Multipurpose Internet Mail Extensions

(S/MIME) Ein E-Mail-Sicherheitsstandard, der die Verschlüsselung über öffentliche Schlüssel verwendet.

Sicherheitskonto-Manager

(SAM) Ein Windows-Dienst, der während des Anmeldevorgangs verwendet wird. Der SAM verwaltet Benutzerkontoinformationen, einschließlich Gruppen, zu denen ein Benutzer gehört.

Sicherheitskontext

Die Sicherheitsattribute oder Regeln, die gerade gültig sind, z. B. der Benutzer, der derzeit am Computer angemeldet ist, oder die PIN, die vom Smartcard-Benutzer eingegeben wurde. Im Hinblick auf die SSPI stellt ein Sicherheitskontext eine nicht transparente Datenstruktur mit Sicherheitsdaten für eine Verbindung dar, beispielsweise einen Sitzungsschlüssel oder eine Angabe der Sitzungsdauer.

Sicherheitsbeschreibung

Eine Struktur und die zugehörigen Daten, die die Sicherheitsinformationen für ein sicherungsfähiges Objekt enthalten. Eine Sicherheitsbeschreibung identifiziert den Besitzer und die primäre Gruppe des Objekts. Sie kann auch eine DACL enthalten, die den Zugriff auf das Objekt steuert, und eine SACL, die die Protokollierung von Versuchen steuert, auf das Objekt zuzugreifen.

Siehe auch absolute Sicherheitsbeschreibung, Liste für die bedingte Zugriffssteuerung, selbstbezogene Sicherheitsbeschreibung, System-Zugriffssteuerungsliste.

Sicherheitsbezeichner

(SID) Eine Datenstruktur variabler Länge, die Benutzer-, Gruppen- und Computerkonten identifiziert. Jedem Konto in einem Netzwerk wird bei der Erstellung ein eindeutiger Sicherheitsbezeichner zugewiesen. Interne Prozesse in Windows beziehen sich nicht auf den Benutzer- oder Gruppennamen, sondern auf den Sicherheitsbezeichner eines Kontos.

Sicherheitspaket

Die Softwareimplementierung eines Sicherheitsprotokolls. Sicherheitspakete sind in DLLs des Security Support Provider oder in DLLs des Authentifizierungspakets/Security Support Provider enthalten.

Sicherheitsprotokoll

Eine Spezifikation, die sicherheitsbezogene Datenobjekte und Regeln zum Verwalten der Sicherheit auf einem Computersystem definiert.

Sicherheitsprinzipal

Eine Entität, die vom Sicherheitssystem erkannt wird. Prinzipale können menschliche Benutzer sowie autonome Prozesse einschließen.

Security Support Provider

(SSP) Eine Dynamic Link Library (DLL), die die SSPI durch Bereitstellen mindestens eines Sicherheitspakets für die Anwendungen implementiert. Jedes Sicherheitspaket stellt Zuordnungen zwischen Aufrufen der SSPI-Funktion einer Anwendung und den Funktionen eines tatsächlichen Sicherheitsmodells bereit. Sicherheitspakete unterstützen Sicherheitsprotokolle wie die Kerberos-Authentifizierung sowie den Microsoft LAN Manager.

Security Support Provider-Schnittstelle

(SSPI) Eine allgemeine Schnittstelle zwischen Anwendungen auf Transportebene wie dem Remoteprozeduraufruf (RPC) von Microsoft und Sicherheitsanbietern wie Windows Distributed Security. SSPI ermöglicht einer Transportanwendung, einen Sicherheitsanbieter zum Herstellen einer authentifizierten Verbindung auszuwählen. Diese Aufrufe erfordern keine Detailkenntnisse bezüglich des Sicherheitsprotokolls.

selbstbezogene Sicherheitsbeschreibung

Eine Sicherheitsbeschreibung, die alle Sicherheitsinformationen in einem zusammenhängenden Arbeitsspeicherblock speichert.

Siehe auch Sicherheitsbeschreibung.

serialize

Der Prozess der Konvertierung von Daten in eine Zeichenfolge von Einsen und Nullen, sodass diese seriell übertragen werden kann. Die Codierung ist Teil dieses Prozesses.

Serialisiertes Zertifikatspeicherformat

(SST) Das serialisierte Zertifikatspeicherformat ist das einzige Format, in dem alle Zertifikatspeichereigenschaften erhalten bleiben. Dies ist in Fällen hilfreich, in denen z. B. Stammelemente anhand von benutzerdefinierten EKU-Eigenschaften konfiguriert wurden und Sie sie auf einen anderen Computer verschieben möchten.

server

Ein Computer, der auf Befehle eines Clientcomputers reagiert. Der Client und der Server führen zusammen verteilende Anwendungsfunktionen aus.

Siehe auch Client.

Serverzertifikat

Ein Zertifikat, das zur Serverauthentifizierung verwendet wird, beispielsweise zur Authentifizierung eines Webservers gegenüber einem Webbrowser. Wenn ein Webbrowserclient versucht, auf einen sicheren Webserver zuzugreifen, sendet der Server sein Zertifikat an den Browser, um seine Identität prüfen zu lassen.

servergesteuerte Kryptografie

(SGC) Eine Erweiterung von Secure Sockets Layer (SSL), die Organisationen wie Finanzinstituten, die über Exportversionen von Internetinformationsdiensten (IIS) verfügen, die Verwendung einer starken Verschlüsselung (z. B. 128-Bit-Verschlüsselung) ermöglicht.

Dienstprinzipalname

(SPN) Der Name, über den ein Client die Instanz eines Diensts eindeutig identifiziert. Wenn Sie mehrere Instanzen eines Diensts auf Computern innerhalb einer Gesamtstruktur installieren, muss jede Instanz über einen eigenen SPN verfügen. Eine Dienstinstanz hat möglicherweise mehrere SPN, falls mehrere Namen vorhanden sind, die von den Clients zur Authentifizierung verwendet werden können.

Dienstanbieter (Smartcard)

Eine Smartcard-Subsystemkomponente, die Zugriff auf bestimmte Smartcard-Dienste über COM-Schnittstellen ermöglicht.

Siehe auch primärer Dienstanbieter.

Sitzungskonsistenz

Ein durch eine einzelne Schlüsselinformation geschützter Nachrichtenaustausch. SSL-Sitzungen verwenden beispielsweise einen einzelnen Schlüssel, um mehrere Nachrichten hin- und herzusenden.

Sitzungsschlüssel

Ein relativ kurzlebiger kryptografischer Schlüssel, der häufig von einem Client und einem Server basierend auf einem gemeinsamen Geheimschlüssel ausgehandelt wird. Die Lebensdauer eines Sitzungsschlüssels ist an die Sitzung gebunden, der der Schlüssel zugeordnet ist. Ein Sitzungsschlüssel sollte stark genug sein, um der Kryptoanalyse während der Lebensdauer der Sitzung standzuhalten. Wenn Sitzungsschlüssel übertragen werden, werden sie in der Regel durch Schlüsselaustauschschlüssel (die in der Regel asymmetrisch sind) geschützt, sodass nur der vorgesehene Empfänger darauf zugreifen kann. Sitzungsschlüssel können von Hashwerten durch Aufrufen der CryptDeriveKey-Funktion abgeleitet werden.

Sitzungsschlüssel-Ableitungsschema

Gibt an, wann ein Schlüssel von einem Hash abgeleitet wird. Die verwendeten Methoden hängen vom CSP-Typ ab.

SET

Siehe sichere elektronische Transaktion.

SHA

Der CryptoAPI-Name für den Secure Hash Algorithm, SHA-1. Zu den anderen Hashalgorithmen gehören MD2, MD4 und MD5.

Siehe auch Secure Hash Algorithm.

SHS

Siehe Secure Hash Standard.

SID

Siehe Sicherheitsbezeichner.

Signatur- und Datenüberprüfungsfunktionen

Vereinfachte Nachrichtenfunktionen, die verwendet werden, um ausgehende Nachrichten zu signieren und die Authentizität angewendeter Signaturen in empfangenen Nachrichten und verwandten Daten zu überprüfen.

Siehe vereinfachte Nachrichtenfunktionen.

Signaturzertifikat

Ein Zertifikat, das einen öffentlichen Schlüssel zum Überprüfen digitaler Signaturen enthält.

Signaturdateien

Eine Datei, die die Signatur eines bestimmten Kryptografiedienstanbieters (CSP) enthält. Die Signaturdatei ist erforderlich, um sicherzustellen, dass CryptoAPI den Kryptografiedienstanbieter erkennt. CryptoAPI überprüft diese Signatur regelmäßig, um sicherzustellen, dass der Kryptografiedienstanbieter nicht manipuliert wurde.

Signaturfunktionen

Funktionen, die zum Erstellen und Überprüfen digitaler Signaturen verwendet werden.

Siehe auch vereinfachte Nachrichtenfunktionen.

Signaturschlüsselpaar

Das öffentliche/private Schlüsselpaar, das zum Authentifizieren von (digital signierten) Nachrichten verwendet wird. Signaturschlüsselpaare werden durch Aufrufen von CryptGenKey erstellt.

Siehe auch Austauschschlüsselpaar.

privater Signaturschlüssel

Der private Schlüssel eines Signaturschlüsselpaars.

Siehe Signaturschlüsselpaar.

signierte und codierte Daten

Ein durch PKCS #7 definierter Dateninhaltstyp. Dieser Datentyp besteht aus verschlüsseltem Inhalt beliebiger Art, Schlüsseln für die Codierung von Inhalten für mindestens einen Empfänger und mehrfach verschlüsselten Nachrichtenhashes für mindestens einen Signaturgeber. Die Mehrfachverschlüsselung besteht aus einer Verschlüsselung mit dem privaten Schlüssel eines Signaturgebers, gefolgt von einer Verschlüsselung mit dem Inhaltsverschlüsselungsschlüssel.

signierte Daten

Ein durch PKCS #7 definierter Dateninhaltstyp. Dieser Datentyp besteht aus einer beliebigen Art von Inhalt sowie aus verschlüsselten Nachrichtenhashes (Digests) des Inhalts für mindestens null Signaturgeber. Die resultierenden Hashes können verwendet werden, um den Signaturgeber der Nachricht zu bestätigen. Diese Hashes bestätigen auch, dass die ursprüngliche Nachricht seit dem Signieren nicht geändert wurde.

Simple Certificate Enrollment Protocol

(SCEP) Ein Akronym, das für das Simple Certificate Enrollment Protocol steht. Das Protokoll stellt derzeit den Entwurf eines Internetstandards dar, der die Kommunikation zwischen Netzwerkgeräten und einer Registrierungsstelle (RA) für die Zertifikatsregistrierung definiert. Weitere Informationen finden Sie im Whitepaper zur Implementierung des SCEP bei Microsoft.

einfaches Schlüssel-BLOB

Ein Sitzungsschlüssel, der mit dem öffentlichen Schlüssel des Zielbenutzers für den Schlüsselaustausch verschlüsselt ist. Diese Art von Schlüssel-BLOB wird beim Speichern eines Sitzungsschlüssels oder beim Übertragen eines Sitzungsschlüssels an einen anderen Benutzer verwendet. Ein Schlüssel-BLOB wird anhand von CryptExportKey generiert.

vereinfachte Nachrichtenfunktionen

Nachrichtenverwaltungsfunktionen wie Nachrichtenverschlüsselung, -entschlüsselung, -signatur und -signaturüberprüfung. Vereinfachte Nachrichtenfunktionen werden auf einer höheren Ebene als die grundlegenden Kryptografiefunktionen oder die Nachrichtenfunktionen auf niedriger Ebene ausgeführt. Vereinfachte Nachrichtenfunktionen umfassen mehrere der grundlegenden Kryptografiefunktionen, Nachrichtenfunktionen auf niedriger Ebene und Zertifikatfunktionen in einer einzelnen Funktion, die eine bestimmte Aufgabe auf bestimmte Weise ausführt, z. B. das Verschlüsseln einer PKCS #7-Nachricht oder das Signieren einer Nachricht.

Siehe auch Nachrichtenfunktionen auf niedriger Ebene.

Single Sign-On

(SSO) Die Möglichkeit, ein Microsoft-Konto (z. B. ein Microsoft Outlook.com-Konto) mit einem lokalen Konto zu verknüpfen, sodass der Benutzer andere Anwendungen verwenden kann, die die Anmeldung mit dem Microsoft-Konto unterstützen.

SIP

Siehe Subject Interface Package.

Sitezertifikat

Sowohl Serverzertifikate als auch Zertifikate der Zertifizierungsstelle (CA) werden manchmal als Sitezertifikat bezeichnet. In Bezug auf Serverzertifikate identifiziert das Zertifikat den Webserver, der das Zertifikat anzeigt. In Bezug auf das Zertifikat einer Zertifizierungsstelle identifiziert das Zertifikat die Zertifizierungsstelle, die bei Bedarf Server- und/oder Clientauthentifizierungszertifikate ausstellt.

Skipjack

Ein Verschlüsselungsalgorithmus, der als Teil der Fortezza-Verschlüsselungssuite angegeben ist. Bei Skipjack handelt es sich um eine symmetrische Chiffre mit einer festen Schlüssellänge von 80 Bit. Skipjack ist ein klassifizierter Algorithmus, der von der National Security Agency (NSA) der USA erstellt wurde. Die technischen Details des Skipjack-Algorithmus sind geheim.

Smartcard

Eine integrierte Schaltkreiskarte (ICC) im Besitz einer Person oder einer Gruppe, deren Informationen gemäß bestimmten Besitzzuweisungen geschützt werden müssen. Sie bietet eine eigene physische Zugriffssteuerung; ohne dass das Smartcard-Subsystem die Smartcard mit zusätzlicher Zugriffssteuerung versieht. Eine Smartcard ist eine Kunststoffkarte mit einem integrierten Schaltkreis, die mit ISO 7816 kompatibel ist.

allgemeines Dialogfeld für Smartcards

Ein allgemeines Dialogfeld, das den Benutzer beim Auswählen und Suchen einer Smartcard unterstützt. Zusammen mit den Smartcard-Datenbank-Verwaltungsdiensten und -lesediensten unterstützt es die Anwendung und ggf. den Benutzer, um zu erkennen, welche Smartcard für einen bestimmten Zweck verwendet werden soll.

Smartcard-Datenbank

Die Datenbank, die vom Ressourcenmanager zum Verwalten von Ressourcen verwendet wird. Sie enthält eine Liste bekannter Smartcards, die Schnittstellen und den primären Dienstanbieter der einzelnen Karten sowie bekannte Smartcard-Leser und -Lesergruppen.

Smartcard-Subsystem

Das Subsystem, das verwendet wird, um eine Verbindung zwischen Smartcard-Lesern und Smartcard-fähigen Anwendungen herzustellen.

Software Publisher Certificate

(SPC) Ein mit PKCS #7 signiertes Datenobjekt, das X.509-Zertifikate enthält.

SPC

Siehe Software Publisher Certificate.

SPN

Siehe Dienstprinzipalname.

SSL

Siehe Secure Sockets Layer-Protokoll.

Algorithmus für die SSL3-Clientauthentifizierung

Ein Algorithmus, der für die Clientauthentifizierung in Secure Sockets Layer (SSL), Version 3, verwendet wird. Im SSL3-Protokoll wird eine Verkettung eines MD5- und SHA-1-Hash mit einem privaten RSA-Schlüssel signiert. CryptoAPI sowie die grundlegenden und erweiterten Microsoft-Kryptografieanbieter unterstützen SSL3 mit dem Hashtyp CALG_SSL3_SHAMD5.

SSL3-Protokoll

Version 3 des Secure Sockets Layer-Protokolls (SSL).

SSO

Siehe Single Sign-On.

SSP

Siehe Security Support Provider.

SSPI

Siehe Security Support Provider-Schnittstelle.

SST

Siehe serialisiertes Zertifikatspeicherformat.

state

Der Satz aller dauerhaft gespeicherten Werte, die einer kryptografischen Entität zugeordnet sind, z. B. einem Schlüssel oder einem Hash. Dieser Satz kann z. B. den verwendeten Initialisierungsvektor (IV), den verwendeten Algorithmus oder den bereits berechneten Wert der Entität enthalten.

Datenstromchiffre

Eine Chiffre, die Daten fortlaufend bitweise verschlüsselt.

Siehe auch Blockchiffre.

Subauthentifizierungspaket

Eine optionale DLL, die zusätzliche Authentifizierungsfunktionen bietet, in der Regel durch Erweitern des Authentifizierungsalgorithmus. Wenn ein Subauthentifizierungspaket installiert ist, ruft das Authentifizierungspaket das Subauthentifizierungspaket auf, bevor das Authentifizierungsergebnis an die lokale Sicherheitsautorität (LSA) zurückgegeben wird.

Siehe auch lokale Sicherheitsautorität.

Subject Interface Package

(SIP) Eine proprietäre Spezifikation von Microsoft für eine Softwareebene, mit der Anwendungen eine Betreffsignatur erstellen, speichern, abrufen und überprüfen können. Zu den Betreffen gehören u. a. tragbare ausführbare Images (.exe), Cabinet-Images (.cab), Flatfiles und Katalogdateien. Jeder Betrefftyp verwendet für die Hashberechnung eine andere Teilmenge seiner Daten und erfordert eine andere Prozedur zum Speichern und Abrufen. Daher verfügt jeder Betrefftyp über eine eindeutige Spezifikation des Subject Interface Package.

Suite B

Eine Reihe kryptografischer Algorithmen, die offen von der National Security Agency der USA als Teil deren kryptografischen Modernisierungsprogramms deklariert wurden.

Ergänzende Anmeldeinformationen

Anmeldeinformationen für die Authentifizierung eines Sicherheitsprinzipals gegenüber fremden Sicherheitsdomänen.

Siehe auch primäre Anmeldeinformationen.

symmetrischer Algorithmus

Ein kryptografischer Algorithmus, der für die Ver- und Entschlüsselung in der Regel einen einzelnen Schlüssel verwendet, der häufig als Sitzungsschlüssel bezeichnet wird. Symmetrische Algorithmen können in zwei Kategorien unterteilt werden: Datenstromalgorithmen und Blockalgorithmen (auch Datenstrom- und Blockchiffren genannt).

Symmetrische Verschlüsselung

Ein Schlüssel wird sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet. Die symmetrische Verschlüsselung wird bevorzugt, wenn große Datenmengen verschlüsselt werden sollen. Zu den häufig verwendeten symmetrischen Verschlüsselungsalgorithmen gehören u. a. RC2, RC4 und Data Encryption Standard (DES).

Siehe auch Verschlüsselung mit öffentlichen Schlüsseln.

symmetrischer Schlüssel

Ein geheimer Schlüssel, der mit einem symmetrischen Kryptografiealgorithmus verwendet wird (d. h. einem Algorithmus, der denselben Schlüssel für die Ver- und Entschlüsselung verwendet). Ein solcher Schlüssel muss allen Kommunikationspartnern bekannt sein.

System-Zugriffssteuerungsliste

(SACL) Eine Zugriffssteuerungsliste, die bei Versuchen, auf ein sicherungsfähiges Objekt zuzugreifen, die Generierung von Überwachungsmeldungen steuert. Die Möglichkeit zum Abrufen oder Festlegen der System-Zugriffssteuerungsliste eines Objekts wird von einer Berechtigung gesteuert, über die normalerweise nur Systemadministratoren verfügen.

Siehe auch Zugriffssteuerungsliste, Liste für die bedingte Zugriffssteuerung, Berechtigung.

Systemprogrammschnittstelle

Die Reihe von Funktionen, die von einem Kryptografiedienstanbieter (CSP) bereitgestellt wird, der die Funktionen einer Anwendung implementiert..