S (Security Glossary)

ABCDE F GHI J KLMNOP Q R STUVWX Y Z

S/MIME

Weitere Informationen finden Sie unter Secure/Multipurpose Internet Mail-Erweiterungen.

SACL

Siehe Liste der Systemzugriffssteuerung.

Salzwert

Zufällige Daten, die manchmal als Teil eines Sitzungsschlüssels enthalten sind. Wenn Sie einem Sitzungsschlüssel hinzugefügt werden, wird die Nurtext-Salzdaten vor den verschlüsselten Schlüsseldaten platziert. Salzwerte werden hinzugefügt, um die Arbeit zu erhöhen, die erforderlich ist, um einen brute-force (Wörterbuch)-Angriff auf Daten zu erhöhen, die mit einer symmetrischen Schlüsselchiffre verschlüsselt sind. Salzwerte werden durch Aufrufen von CryptGenRandom generiert.

SAM

Siehe Sicherheitskonten-Manager.

sanitierter Name

Die Form eines Zertifizierungsstellennamens (Zertifizierungsstelle), der in Dateinamen (z. B. für eine Zertifikatsperrliste) und in Registrierungsschlüsseln verwendet wird. Der Prozess der Bereinigung des CA-Namens ist erforderlich, um Zeichen zu entfernen, die für Dateinamen, Registrierungsschlüsselnamen oder Distinguished Name-Werte illegal sind oder aus technologiespezifischen Gründen illegal sind. In Zertifikatdiensten konvertiert der Sannde Prozess alle illegalen Zeichen im allgemeinen Namen der CA in eine 5-Zeichen-Darstellung im Format **!**xxxx, wobei ! als Escapezeichen verwendet wird undxxxx vier Hexadezimalzahlen darstellt, die das konvertierte Zeichen eindeutig identifizieren.

SAS

Sehen Sie sich die sichere Aufmerksamkeitssequenz an.

SCard$DefaultReaders

Eine Terminallesergruppe, die allen Lesern dieses Terminals zugewiesen ist, ist jedoch nicht für diese bestimmte Verwendung reserviert.

SCard$AllReaders

Eine systemweite Smartcard-Lesergruppe, die alle Leser enthält, die mit dem Smartcard-Ressourcen-Manager eingeführt wurden. Leser werden automatisch der Gruppe hinzugefügt, wenn sie in das System eingeführt werden.

SCARD_AUTOALLOCATE

Eine Smartcardsystemkonstante, die dem Smartcard-Ressourcen-Manager angibt, genügend Arbeitsspeicher selbst zuzuweisen, um einen Zeiger auf den zugewiesenen Puffer zurückzugeben, anstatt einen vom Benutzer bereitgestellten Puffer zu füllen. Der zurückgegebene Puffer muss dann schließlich durch Aufrufen von SCardFreeMemory freigestellt werden.

SCEP

Siehe Simple Certificate Enrollment-Protokoll

Schannel

Ein Sicherheitspaket, das die Authentifizierung zwischen Clients und Servern bereitstellt.

sichere Aufmerksamkeitssequenz

(SAS) Eine Schlüsselsequenz, die den Prozess der Anmeldung oder aus beginnt. Die Standardsequenz ist STRG+ALT+DEL.

Sichere elektronische Transaktion

(SET) Ein Protokoll für sichere elektronische Transaktionen über das Internet.

Sicherer Hash-Algorithmus

(SHA) Ein Hashing-Algorithmus, der einen Nachrichten digest generiert. Der SHA wird u. a. zusammen mit dem Digital Signature Algorithm (DSA) im Digital Signature Standard (DSS) verwendet. CryptoAPI verweist auf diesen Algorithmus durch den Bezeichner des Algorithmus (CALG_SHA), Namen (SHA) und Klasse (ALG_CLASS_HASH). Es gibt vier Arten von SHAs: SHA-1, SHA-256, SHA-384 und SHA-512. SHA-1 generiert einen 160-Bit-Nachrichtenhash. SHA-256, SHA-384 und SHA-512 generieren 256-Bit-, 384-Bit- bzw. 512-Bit-Nachrichtenhashes. Der SHA wurde vom National Institute of Standards and Technology (NIST) und von der National Security Agency (NSA) entwickelt.

Secure Hash Standard

Ein Standard, der von NIST und NSA entworfen wurde. Dieser Standard definiert den Secure Hash Algorithm (SHA-1) für die Verwendung mit dem Digital Signature Standard (DSS).

Siehe auch sicherer Hash-Algorithmus.

Secure Sockets Layer-Protokoll

(SSL) Ein Protokoll für sichere Netzwerkkommunikation mit einer Kombination aus öffentlicher und geheimer Schlüsseltechnologie.

Sichere/Multipurpose Internet Mail-Erweiterungen

(S/MIME) Ein E-Mail-Sicherheitsstandard, der die Verschlüsselung von öffentlichen Schlüsseln verwendet.

Sicherheitskonten-Manager

(SAM) Ein Windows Dienst, der während des Anmeldevorgangs verwendet wird. SAM verwaltet Benutzerkontoinformationen, einschließlich der Gruppen, denen ein Benutzer angehört.

Sicherheitskontext

Die Sicherheitsattribute oder Regeln, die gerade gültig sind, z. B. der Benutzer, der derzeit am Computer angemeldet ist, oder die PIN, die vom Smartcard-Benutzer eingegeben wurde. Im Hinblick auf die SSPI stellt ein Sicherheitskontext eine nicht transparente Datenstruktur mit Sicherheitsdaten für eine Verbindung dar, beispielsweise einen Sitzungsschlüssel oder eine Angabe der Sitzungsdauer.

Sicherheitsdeskriptor

Eine Struktur und zugeordnete Daten, die die Sicherheitsinformationen für ein sicherungsfähiges Objekt enthalten. Ein Sicherheitsdeskriptor identifiziert den Besitzer und die primäre Gruppe des Objekts. Es kann auch eine DACL enthalten, die den Zugriff auf das Objekt steuert, und eine SACL, die die Protokollierung der Versuche steuert, auf das Objekt zuzugreifen.

Siehe auch absolute Sicherheitsdeskriptor, Diskretionäre Zugriffssteuerungsliste, self-relative Sicherheitsdeskriptor, Systemzugriffssteuerungsliste.

Sicherheitsbezeichner

(SID) Eine Datenstruktur der variablen Länge, die Benutzer-, Gruppen- und Computerkonten identifiziert. Jedes Konto auf einem Netzwerk wird beim ersten Erstellen des Kontos eine eindeutige SID ausgestellt. Interne Prozesse in Windows verweisen auf die SID eines Kontos statt auf den Benutzer- oder Gruppennamen eines Kontos.

Sicherheitspaket

Die Softwareimplementierung eines Sicherheitsprotokolls. Sicherheitspakete sind in DLLs des Sicherheitssupportanbieters oder des Sicherheitssupportanbieters/Authentifizierungspaket-DLLs enthalten.

Sicherheitsprotokoll

Eine Spezifikation, die sicherheitsbezogene Datenobjekte und Regeln zum Verwalten der Sicherheit auf einem Computersystem definiert.

Sicherheitsprinzipal

Eine Entität, die vom Sicherheitssystem erkannt wird. Prinzipale können menschliche Benutzer sowie autonome Prozesse einschließen.

Sicherheitsunterstützungsanbieter

(SSP) Eine dynamische Linkbibliothek (DLL), die die SSPI implementiert, indem sie mindestens ein Sicherheitspaket für Anwendungen zur Verfügung stellt. Jedes Sicherheitspaket stellt Zuordnungen zwischen Aufrufen der SSPI-Funktion einer Anwendung und den Funktionen eines tatsächlichen Sicherheitsmodells bereit. Sicherheitspakete unterstützen Sicherheitsprotokolle wie die Kerberos-Authentifizierung und den Microsoft LAN Manager.

Sicherheitsunterstützungsanbieterschnittstelle

(SSPI) Eine allgemeine Schnittstelle zwischen Transport-Level-Anwendungen wie Microsoft Remote Procedure Call (RPC) und Sicherheitsanbietern wie Windows verteilter Sicherheit. SSPI ermöglicht einer Transportanwendung, einen Sicherheitsanbieter zum Herstellen einer authentifizierten Verbindung auszuwählen. Diese Aufrufe erfordern keine Detailkenntnisse bezüglich des Sicherheitsprotokolls.

Self-relative Sicherheitsdeskriptor

Ein Sicherheitsdeskriptor, der alle Sicherheitsinformationen in einem zusammenhängenden Speicherblock speichert.

Siehe auch Sicherheitsdeskriptor.

Serialisieren

Der Prozess der Konvertierung von Daten in eine Zeichenfolge von Zeichenfolgen und Nullen, sodass sie serial übertragen werden kann. Die Codierung ist Teil dieses Prozesses.

Serialisiertes Zertifikat Store Format

(SST) Das serialisierte Zertifikat Store-Format ist das einzige Format, das alle Zertifikatspeichereigenschaften beibehalten. Es ist nützlich, wenn Wurzeln mit benutzerdefinierten EKU-Eigenschaften konfiguriert wurden, und Sie möchten sie auf einen anderen Computer verschieben.

Server

Ein Computer, der auf Befehle eines Clientcomputers reagiert. Der Client und der Server arbeiten zusammen, um verteilte Anwendungsfunktionen auszuführen.

Siehe auch Client.

Serverzertifikat

Bezieht sich auf ein Zertifikat, das für die Serverauthentifizierung verwendet wird, z. B. das Authentifizieren eines Webservers auf einen Webbrowser. Wenn ein Webbrowserclient versucht, auf einen gesicherten Webserver zuzugreifen, sendet der Server sein Zertifikat an den Browser, um die Identität des Servers zu überprüfen.

Server-Gated-Kryptografie

(SGC) Eine Erweiterung von Secure Sockets Layer (SSL), die Organisationen wie Finanzinstituten ermöglicht, die Exportversionen von Internetinformationsdienste (IIS) verwenden, um eine starke Verschlüsselung (z. B. 128-Bit-Verschlüsselung) zu verwenden.

Dienstprinzipalname

(SPN) Der Name, durch den ein Client eine Instanz eines Diensts eindeutig identifiziert. Wenn Sie mehrere Instanzen eines Diensts auf Computern innerhalb einer Gesamtstruktur installieren, muss jede Instanz über einen eigenen SPN verfügen. Eine bestimmte Dienstinstanz kann mehrere SPNs haben, wenn mehrere Namen vorhanden sind, die Clients möglicherweise für die Authentifizierung verwenden.

Dienstanbieter (Smartcard)

Eine Smartcard-Subsystemkomponente, die Zugriff auf bestimmte Smartcarddienste über COM-Schnittstellen bietet.

Siehe auch primären Dienstanbieter.

Sitzung

Ein durch eine einzelne Schlüsselinformation geschützter Nachrichtenaustausch. SSL-Sitzungen verwenden beispielsweise einen einzelnen Schlüssel, um mehrere Nachrichten hin- und herzusenden.

Sitzungsschlüssel

Ein relativ kurzlebiger kryptografischer Schlüssel, der häufig von einem Client und einem Server basierend auf einem freigegebenen Geheimen ausgehandelt wird. Die Lebensdauer eines Sitzungsschlüssels wird durch die Sitzung gebunden, der sie zugeordnet ist. Ein Sitzungsschlüssel sollte stark genug sein, um der Kryptolyse für die Lebensdauer der Sitzung standzuhalten. Wenn Sitzungsschlüssel übertragen werden, werden sie im Allgemeinen mit Schlüsselaustauschschlüsseln (die in der Regel asymmetrische Schlüssel sind) geschützt, sodass nur der beabsichtigte Empfänger darauf zugreifen kann. Sitzungsschlüssel können von Hashwerten abgeleitet werden, indem die Funktion "CryptDeriveKey " aufgerufen wird.

Session-Key-Ableitungsschema

Gibt an, wann ein Schlüssel von einem Hash abgeleitet wird. Die verwendeten Methoden hängen vom CSP-Typ ab.

FESTGELEGT

Siehe Sichere elektronische Transaktion.

SHA

Der CryptoAPI-Name für den Secure Hash Algorithmus, SHA-1. Weitere Hashingalgorithmen sind MD2, MD4 und MD5.

Siehe auch sicherer Hashalgorithmus.

SHS

Siehe Secure Hash Standard.

SID

Siehe Sicherheitsbezeichner.

Signatur- und Datenüberprüfungsfunktionen

Vereinfachte Nachrichtenfunktionen, die verwendet werden, um ausgehende Nachrichten zu signieren und die Echtheit angewendeter Signaturen in empfangenen Nachrichten und verwandten Daten zu überprüfen.

Siehe vereinfachte Nachrichtenfunktionen.

Signaturzertifikat

Ein Zertifikat, das einen öffentlichen Schlüssel enthält, der zum Überprüfen digitaler Signaturen verwendet wird.

Signaturdatei

Eine Datei, die die Signatur eines bestimmten Kryptografiedienstanbieters (CSP ) enthält. Die Signaturdatei ist erforderlich, um sicherzustellen, dass CryptoAPI den CSP erkennt. CryptoAPI überprüft diese Signatur regelmäßig, um sicherzustellen, dass der CSP nicht manipuliert wurde.

Signaturfunktionen

Funktionen, die zum Erstellen und Überprüfen digitaler Signaturen verwendet werden.

Siehe auch vereinfachte Nachrichtenfunktionen.

Signaturschlüsselpaar

Das öffentliche/private Schlüsselpaar, das zum Authentifizieren (digital signieren) von Nachrichten verwendet wird. Signaturschlüsselpaare werden durch Aufrufen von CryptGenKey erstellt.

Siehe auch Exchange-Schlüsselpaar.

Privater Signaturschlüssel

Der private Schlüssel eines Signaturschlüsselpaars.

Siehe Signaturschlüsselpaar.

signierte und umschlagete Daten

Ein von PKCS #7 definierter Datentyp. Dieser Datentyp besteht aus verschlüsseltem Inhalt eines beliebigen Typs, verschlüsselten Inhaltsverschlüsselungsschlüsseln für einen oder mehrere Empfänger und doubly verschlüsselte Nachrichtenhashes für einen oder mehrere Signierer. Die doppelte Verschlüsselung besteht aus einer Verschlüsselung mit dem privaten Schlüssel eines Signierers gefolgt von einer Verschlüsselung mit dem Inhaltsverschlüsselungsschlüssel.

signierte Daten

Ein von PKCS #7 definierter Datentyp. Dieser Datentyp besteht aus jedem Inhaltstyp sowie verschlüsselten Nachrichtenhashes (Digests) des Inhalts für null oder mehr Signierer. Die resultierenden Hashes können verwendet werden, um zu bestätigen, wer die Nachricht signiert hat. Diese Hashes bestätigen auch, dass die ursprüngliche Nachricht seit dem Signierten nicht geändert wurde.

Simple Certificate Enrollment-Protokoll

(SCEP) Ein Akronym, das für Simple Certificate Enrollment-Protokoll steht. Das Protokoll ist derzeit ein Entwurf eines Internetstandards, der die Kommunikation zwischen Netzwerkgeräten und einer Registrierungsbehörde (RA) für die Zertifikatregistrierung definiert. Weitere Informationen finden Sie im Whitepaper zur Microsoft SCEP-Implementierung.

EINFACHE SCHLÜSSEL-BLOB

Ein Sitzungsschlüssel, der mit dem öffentlichen Schlüssel des Zielbenutzers verschlüsselt ist. Dieser Schlüssel-BLOB-Typ wird verwendet, wenn ein Sitzungsschlüssel gespeichert oder ein Sitzungsschlüssel an einen anderen Benutzer übertragen wird. Ein Schlüssel-BLOB wird durch Aufrufen von CryptExportKey erstellt.

Vereinfachte Nachrichtenfunktionen

Nachrichtenverwaltungsfunktionen, z. B. Nachrichtenverschlüsselung, Entschlüsselung, Signieren und Signaturüberprüfungsfunktionen. Vereinfachte Nachrichtenfunktionen funktionieren auf einer höheren Ebene als die basisgrafischen Funktionen oder die Nachrichtenfunktionen auf niedriger Ebene. Vereinfachte Nachrichtenfunktionen umschließen mehrere basisgrafische, Nachrichten mit niedriger Ebene und Zertifikatfunktionen in eine einzelne Funktion, die eine bestimmte Aufgabe ausführt, z. B. das Verschlüsseln einer PKCS #7-Nachricht oder das Signieren einer Nachricht.

Siehe auch Nachrichtenfunktionen mit niedriger Ebene.

einmaliges Anmelden

(SSO) Die Möglichkeit, ein Microsoft-Konto (z. B. ein Microsoft Outlook.com-Konto) mit einem lokalen Konto zu verknüpfen, damit ein Anmeldebenutzer andere Anwendungen verwenden kann, die die Anmeldung mit ihrem Microsoft-Konto unterstützen.

SIP

Siehe Themenschnittstellenpaket.

Websitezertifikat

Sowohl Serverzertifikate als auch Zertifizierungsstellenzertifikate werden manchmal als Websitezertifikate bezeichnet. Wenn Sie auf ein Serverzertifikat verweisen, identifiziert das Zertifikat den Webserver, der das Zertifikat darstellt. Wenn sie auf ein Zertifizierungsstelle-Zertifikat verweisen, identifiziert das Zertifikat die Zertifizierungsstelle, die Server- und/oder Clientauthentifizierungszertifikate an die Server und Clients angibt, die diese Zertifikate anfordern.

Skipjack

Ein Verschlüsselungsalgorithmus, der als Teil der Fortezza-Verschlüsselungssuite angegeben ist. Skipjack ist eine symmetrische Verschlüsselung mit einer festen Schlüssellänge von 80 Bit. Skipjack ist ein klassifizierter Algorithmus, der von der USA National Security Agency (NSA) erstellt wurde. Die technischen Details des Skipjack-Algorithmus sind geheim.

Smartcard

Eine integrierte Schaltkreiskarte (ICC) im Besitz einer Person oder einer Gruppe, deren Informationen gemäß bestimmten Besitzzuweisungen geschützt werden müssen. Es bietet eine eigene physische Zugriffssteuerung; ohne das Smartcard-Subsystem zusätzliche Zugriffssteuerung auf der Smartcard zu platzieren. Eine Smartcard ist eine Kunststoffkarte, die einen integrierten Schaltkreis enthält, der mit ISO 7816 kompatibel ist.

Allgemeines Dialogfeld für Smartcards

Ein allgemeines Dialogfeld, das dem Benutzer beim Auswählen und Suchen einer Smartcard hilft. Es arbeitet mit den Smartcard-Datenbankverwaltungsdiensten und Lesediensten zusammen, um die Anwendung zu unterstützen, und ggf. den Benutzer, um zu ermitteln, welche Smartcard für einen bestimmten Zweck verwendet werden soll.

Smartcarddatenbank

Die Datenbank, die vom Ressourcen-Manager zum Verwalten von Ressourcen verwendet wird. Es enthält eine Liste bekannter Smartcards, die Schnittstellen und primären Dienstanbieter jeder Karte sowie bekannte Smartcardleser und Lesergruppen.

Smartcard-Subsystem

Das Subsystem, das verwendet wird, um eine Verbindung zwischen Smartcardlesern und Smartcard-fähigen Anwendungen bereitzustellen.

Software Publisher Zertifikat

(SPC) Ein PKCS #7 signiertes Datenobjekt, das X.509-Zertifikate enthält.

SPC

Siehe Software Publisher Zertifikat.

SPN

Siehe Dienstprinzipalname.

SSL

Siehe Secure Sockets Layer-Protokoll.

SSL3-Clientauthentifizierungsalgorithmus

Ein Algorithmus, der für die Clientauthentifizierung in Secure Sockets Layer (SSL) Version 3 verwendet wird. Im SSL3-Protokoll wird eine Verkettung eines MD5-Hashs und ein SHA-1-Hash mit einem PRIVATEN RSA-Schlüssel signiert. CryptoAPI und die Microsoft Base- und Enhanced Cryptographic Providers unterstützen SSL3 mit dem Hashtyp CALG_SSL3_SHAMD5.

SSL3-Protokoll

Version 3 des Ssl-Protokolls (Secure Sockets Layer).

SSO

Siehe einmaliges Anmelden.

SSP

Siehe Sicherheitssupportanbieter.

SSPI

Siehe Sicherheitsunterstützungsanbieterschnittstelle.

SST

Siehe serialisiertes Zertifikat Store Format.

Staat

Der Satz aller beibehaltenen Werte, die einer kryptografischen Entität wie einem Schlüssel oder einem Hash zugeordnet sind. Dieser Satz kann z. B. den verwendeten Initialisierungsvektor (IV), den verwendeten Algorithmus oder den Wert der bereits berechneten Entität enthalten.

Datenstromchiffre

Eine Verschlüsselung, die Daten fortlaufend verschlüsselt, ein bisschen zu einem Zeitpunkt.

Siehe auch Blockchiffre.

Unterauthentication-Paket

Eine optionale DLL, die zusätzliche Authentifizierungsfunktionen bereitstellt, in der Regel durch Erweitern des Authentifizierungsalgorithmus. Wenn ein Unterauthentication-Paket installiert ist, ruft das Authentifizierungspaket das Unterauthentication-Paket auf, bevor das Authentifizierungsergebnis an die lokale Sicherheitsbehörde (LSA) zurückgegeben wird.

Siehe auch lokale Sicherheitsbehörde.

Betreffschnittstellenpaket

(SIP) Eine proprietäre Microsoft-Spezifikation für eine Softwareebene, mit der Anwendungen eine Betreffsignatur erstellen, speichern, abrufen und überprüfen können. Zu den Themen gehören, aber nicht beschränkt auf tragbare ausführbare Bilder (.exe), Ablagebilder (.cab), Flache Dateien und Katalogdateien. Jeder Betrefftyp verwendet eine andere Teilmenge seiner Daten für die Hashberechnung und erfordert eine andere Prozedur zum Speichern und Abrufen. Daher verfügt jeder Betrefftyp über eine eindeutige Spezifikation des Betreffschnittstellenpakets.

Suite B

Eine Reihe von Kryptografiealgorithmen, die von der US-Nationalen Sicherheitsagentur offen als Teil des kryptografischen Modernisierungsprogramms deklariert wurden.

Ergänzende Anmeldeinformationen

Anmeldeinformationen zur Authentifizierung eines Sicherheitsprinzipals für ausländische Sicherheitsdomänen.

Siehe auch primäre Anmeldeinformationen.

Symmetrischer Algorithmus

Ein kryptografischer Algorithmus, der in der Regel einen einzelnen Schlüssel verwendet, der häufig als Sitzungsschlüssel bezeichnet wird, um Verschlüsselung und Entschlüsselung zu erhalten. Symmetrische Algorithmen können in zwei Kategorien unterteilt werden, Datenstromalgorithmen und Blockalgorithmen (auch als Stream - und Blockchiffre bezeichnet).

symmetrische Verschlüsselung

Ein Schlüssel wird sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet. Die symmetrische Verschlüsselung wird bevorzugt, wenn große Datenmengen verschlüsselt werden sollen. Einige der gängigeren symmetrischen Verschlüsselungsalgorithmen sind RC2, RC4 und Data Encryption Standard (DES).

Siehe auch Verschlüsselung öffentlicher Schlüssel.

Symmetrischer Schlüssel

Ein geheimer Schlüssel, der mit einem symmetrischen Kryptografiealgorithmus verwendet wird (also ein Algorithmus, der denselben Schlüssel für Verschlüsselung und Entschlüsselung verwendet). Ein solcher Schlüssel muss allen Kommunikationsparteien bekannt sein.

Systemzugriffssteuerungsliste

(SACL) Eine ACL, die die Generierung von Überwachungsnachrichten steuert, um auf ein sicherungsfähiges Objekt zuzugreifen. Die Möglichkeit, die SACL eines Objekts abzurufen oder festzulegen, wird von einer Berechtigung gesteuert, die normalerweise nur von Systemadministratoren gehalten wird.

Siehe auch Zugriffssteuerungsliste, Zugriffssteuerungsliste, Berechtigungen.

Systemprogrammschnittstelle

Der Satz von Funktionen, die von einem Kryptografiedienstanbieter (CSP ) bereitgestellt werden, der die Funktionen einer Anwendung implementiert.