Este glossário define os termos e abreviações neste guia que podem ser novos ou não conhecidos e termos que podem ser de algum interesse. Ele inclui termos e definições de: v The IBM Dictionary of Computing, New York:
McGraw-Hill, 1994.
v The American National Standard Dictionary for Information Systems, ANSI X3.172–1990, American National Standards Institute (ANSI), 1990.
v The Answers to Frequently Asked Questions, Version 3.0, California: RSA Data Security, Inc., 1998.
A
Abstract Syntax Notation One (ASN.1). Uma notação
de ITU utilizada para definir a sintaxe dos dados de informações. Ela define vários tipos de dados simples e especifica uma notação para identificar estes tipos e para especificar valores destes tipos. Estas notações podem ser aplicadas sempre que for necessário para definir a sintaxe abstrata de informações sem restringir a forma como as informações são codificadas para transmissão.
ACL. Lista de controle de acesso.
American National Standard Code for Information
Interchange (ASCII). O código padrão utilizado para
a troca de informações entre sistemas de processamento de dados, sistemas de comunicação de dados e
equipamento associado. O conjunto ASCII utiliza um conjunto de caracteres codificados que consiste de caracteres codificados de 7 bits (8 bits incluindo um bit para verificação de paridade). O conjunto de caracteres consiste de caracteres de controle e caracteres gráficos.
American National Standards Institute (ANSI). Uma
organização que estabelece os procedimentos pelos quais organizações confiáveis criam e mantêm padrões industriais voluntários nos Estados Unidos. Ela consiste de produtores, consumidores e grupos de interesses gerais.
ANSI. American National Standards Institute.
aplicativo Java. Um programa independente que é
escrito na linguagem Java. Ele é executado fora do contexto de um navegador da Web.
ASCII. American National Standard Code for
Information Interchange.
ASN.1. Abstract Syntax Notation One.
assinar. Utilizar sua chave privada para gerar uma
assinatura. A assinatura é um meio de provar que você é responsável por e aprova a mensagem que está assinando.
assinatura digital. Uma mensagem codificada
adicionada a um documento ou a dados que comprovam a identidade do emissor.
Uma assinatura digital pode fornecer um nível de segurança maior que uma assinatura física. A
explicação é que uma assinatura digital não é um nome criptografado ou uma série de códigos de identificação. Ao contrário, é um resumo criptografado da mensagem que está sendo assinada. Assim, anexando uma
assinatura digital a uma mensagem fornece uma identificação sólida do emissor. (Somente a chave do emissor pode criar a assinatura.) Ela também anexa o conteúdo da mensagem que está sendo assinada (o resumo da mensagem criptografada deve corresponder ao conteúdo ou a assinatura não será válida). Dessa forma, uma assinatura digital não pode ser copiada de uma mensagem e aplicada a outra porque o resumo, ou hash, não corresponderia. Qualquer alteração na mensagem assinada também invalidaria a assinatura.
assinatura por códigos. Uma técnica de assinar
programas executáveis com assinaturas digitais. A assinatura por códigos foi desenvolvida para melhorar a confiabilidade do software distribuído pela Internet.
assinatura/verificação. Assinar é utilizar uma chave
privada digital para gerar uma assinatura. Verificar é utilizar a chave pública correspondente para verificar a assinatura.
atributo de inscrição. Uma variável de inscrição que
está contida em um formulário de inscrição. Seu valor reflete as informações que são capturadas durante a inscrição. O valor do atributo da inscrição permanece o mesmo em toda a duração da credencial.
autoridade de registro (RA). O software que
administra certificados digitais para assegurar que os critérios de negócios de uma organização sejam aplicados do recebimento inicial de um pedido de inscrição até a revogação do mesmo.
autenticação. O processo de determinar seguramente a
identidade de um interlocutor de comunicação.
autenticação cruzada. Um modelo confiável pelo qual
um CA emite para outro CA um certificado que contém uma chave pública associada à sua chave privada de assinatura. Um certificado cruzado permite que sistemas clientes ou entidades finais em um domínio
administrativo se comuniquem de forma segura com sistemas clientes ou entidades finais em outro domínio.
autenticação de usuário. O processo de validação em
que o originador de uma mensagem é o proprietário identificável e verdadeiro da mensagem. Ele também comprova que você está se comunicando com o usuário final ou sistema desejado.
autoridade de certificado (CA). O software
responsável por seguir os critérios de segurança de uma organização e por atribuir identidades eletrônicas seguras na forma de certificados. O CA processa pedidos de RAs para emitir, renovar e revogar certificados. O CA interage com o RA para divulgar certificados e CRLs no Directory. Consulte também certificado digital.
autorização. Permissão para acessar um recurso.
B
banco de dados de registro. Contém informações
sobre pedidos de certificados e certificados emitidos. O banco de dados armazena dados de inscrição e todas as alterações nos dados do certificado em toda seu ciclo de vida. O banco de dados pode ser atualizado por processos e saídas de critérios de RA ou por registradores.
base de computador confiável (TCB). Os elementos
de software e hardware que coletivamente executam um critério de segurança de computadores em uma organização. Qualquer elemento ou parte de um elemento que pode afetar a execução do critério de segurança é relevante à segurança e faz parte do TCB. O TCB é um objeto limitado pelo perímetro de segurança. Os mecanismos que executam o critério de segurança devem ser não violáveis e devem evitar que programas tenham acesso aos privilégios do sistema para os quais eles não estão autorizados.
Basic Encoding Rules (BER). As regras especificadas
na ISO 8825 para a codificação de unidades de dados descritas em notação de sintaxe abstrata 1 (ASN.1). As regras especificam a técnica de codificação e não a sintaxe abstrata.
BER. Basic Encoding Rules.
C
CA. Autoridade de certificado.
cartão inteligente. Uma parte do hardware,
geralmente o tamanho de um cartão de crédito, utilizado para armazenar chaves digitais de um usuário. Um cartão inteligente pode ser protegido por senha.
Cartão PCMCIA. Semelhante a um cartão inteligente e
às vezes chamado de cartão PCMCIA. Este cartão é maior que um cartão inteligente e geralmente possui uma capacidade maior.
CAST-64. Um algoritmo de cifra de bloco que utiliza
um tamanho de bloco de 64 bits e uma chave de 6 bits. Foi projetado por Carlisle Adams e Stafford Tavares.
CA superior. O CA no topo de uma hierarquia de CA
PKI.
CCA. IBM Common Cryptographic Architecture.
CDSA. Common Data Security Architecture.
CDSA (Common Data Security Architecture). Uma
iniciativa para definir uma abordagem abrangente de serviços de segurança e gerenciamento de segurança de aplicativos com base em computador. Foi projetado pela Intel para tornar as plataformas de computadores mais seguras para os aplicativos.
certificação. O processo pelo qual uma pessoa emite
uma credencial eletrônica que afiança uma pessoa, empresa ou entidade organizacional.
certificação digital. Consulte certificação.
certificado de CA. Um certificado que seu navegador
da Web aceita, em seu pedido, de um CA que não reconhece. O navegador pode, então, utilizar este certificado para autenticar as comunicações com servidores que retêm certificados emitidos por esse CA.
certificado de navegador. Um certificado digital
também conhecido como certificado de cliente. É emitido por um CA por meio de um servidor Web ativado por SSL. As chaves em um arquivo
criptografado permitem que o portador do certificado criptografe, decodifique e assine dados. Normalmente, o navegador da Web armazena essas chaves. Alguns aplicativos permitem o armazenamento das chaves em cartões inteligentes ou em outra mídia. Consulte também certificado digital.
certificado de servidor. Um certificado digital, emitido
por um CA para permitir que um servidor Web conduza transações com base em SSL. Quando um navegador se conecta ao servidor utilizando o protocolo SSL, o servidor envia ao navegador a sua chave pública. Isto permite a autenticação da identidade do servidor. Permite também que
informações criptografadas sejam enviadas ao servidor.
Consulte também certificado de CA, certificado digital e
certificado de navegador.
certificado de site. Semelhante a um certificado de
CA, mas válido apenas em um site específico da Web.
Consulte também certificado de CA.
certificado digital. Uma credencial eletrônica que é
entidade. Cada certificado é assinado com a chave privada do CA. Ele afiança uma pessoa, uma empresa ou entidade organizacional.
Dependendo da função do CA, o certificado pode declarar a autoridade do portador para administrar e-business pela Internet. De certo modo, um certificado digital executa uma função semelhante a uma carteira de habilitação ou a um diploma de medicina. Ele certifica que o portador da chave privada correspondente tem autoridade para administrar determinadas atividades de e-business.
Um certificado contém informações sobre a entidade que ele certifica, se pessoa, máquina ou programa de computador. Ele contém a chave pública certificada dessa entidade.
certificado X.509. Um padrão de certificado
amplamente aceito, projetado para suportar o gerenciamento seguro e a distribuição de certificados assinados digitalmente por meio de redes seguras na Internet. O certificado X.509 define estruturas de dados que acomodam procedimentos para a distribuição de chaves públicas que são assinadas digitalmente por terceiros confiáveis.
Certificado X.509 Versão 3. O certificado X.509v3
estendeu as estruturas de dados para o armazenamento e a recuperação de informações do aplicativo do certificado, de distribuição do certificado, de revogação do certificado, de critérios e de assinaturas digitais. Os processos do X.509v3 criam CRLs com marca de hora para todos os certificados. Sempre que um certificado é utilizado, os recursos do X.509v3 permitem que o aplicativo verifique a validade dele. Ele também permite que o aplicativo determine se o certificado está na CRL. As CRLs do X.509v3 podem ser construídas para um período de validade específico. Também podem ter base em outras circunstâncias que podem invalidar um certificado. Por exemplo, se um funcionário deixa de trabalhar em uma organização, seu certificado pode ser colocado na CRL.
CGI. Common Gateway Interface.
chave. Uma quantidade utilizada em criptografia para
codificar ou decodificar informações.
chave de criptografia de documentos (DEK). Geralmente, uma chave simétrica de
criptografia/decodificação, como um DES.
chave privada. A chave em um par de chaves
pública/privada que está disponível somente para seu proprietário. Ela permite que o proprietário receba uma transação privada ou faça uma assinatura digital. Os dados assinados com uma chave privada podem ser verificados somente com a chave pública
correspondente. Compare com chave pública. Consulte
também par de chaves pública/privada.
chave pública. A chave em um par de chaves
pública/privada que se torna disponível para outros. Ela permite que seja direcionada uma transação para o proprietário da chave ou que seja verificada uma assinatura digital. Os dados criptografados com a chave pública só podem ser decriptografados com a chave privada correspondente. Compare com chave privada.
Consulte também par de chaves pública/privada.
chave simétrica. A chave que pode ser utilizada para
criptografia e decodificação. Consulte também criptografia simétrica.
classe. Um projeto ou programação orientado a
objetos, um grupo de objetos que compartilham uma definição comum e, portanto, compartilham
propriedades, operações e comportamento.
classe Java. Uma unidade de código de programa
Java.
cliente. (1) Uma unidade funcional que recebe serviços
compartilhados de um servidor. (2) Um computador ou programa que solicita um serviço de outro computador ou programa.
cliente de auditoria. Qualquer cliente no sistema que
envia eventos de auditoria para o servidor de Auditoria do Trust Authority. Antes de um cliente de auditoria enviar um evento para o servidor de Auditoria, ele estabelece uma conexão com esse servidor. Depois que a conexão é estabelecida, o cliente utiliza a biblioteca de cliente do subsistema de auditoria para entregar eventos ao servidor de Auditoria.
cliente/servidor. Um modelo em processamento
distribuído em que um programa em um site envia um pedido a um programa em outro site e aguarda uma resposta. O programa solicitante é chamado de cliente; o que responde é chamado de servidor.
codificação base64. Uma meio comum de transmitir
dados binários com MIME.
código de autenticação da mensagem (MAC). Uma
chave secreta que é compartilhada entre o emissor e o destinatário. O emissor autentica e o destinatário verifica. No Trust Authority, as chaves MAC são armazenadas nos KeyStores dos componentes CA e Audit.
código de bytes. Código independente de máquina
que é gerado pelo compilador Java e executado pelo interpretador Java.
Common Cryptographic Architecture (CCA). Um
software IBM que permite uma aproximação consistente a uma criptografia nas principais plataformas de computação da IBM. Ele suporta software escrito em diversas linguagens de
programação. O software pode solicitar que serviços CCA executem uma grande faixa de funções criptográficas, incluindo criptografia DES e RSA.
Common Gateway Interface (CGI). Método padrão para a transmissão de informações entre páginas da Web e servidores Web.
compilação de mensagens. Uma função irreversível
que pega uma mensagem de tamanho arbitrário e gera uma quantidade de tamanho fixo. A MD5 é um exemplo de algoritmo de compilação de mensagens.
comunicação assíncrona. Um modo de comunicação
que não requer que o emissor e o destinatário estejam presentes ao mesmo tempo.
confidencialidade. Uma propriedade de
não-divulgação a pessoas não autorizadas.
Co-processador Criptográfico PCI 4758. Uma placa de
barramento PCI programável, com criptografia de resposta contra violação que oferece processamento criptográfico de DES e RSA com alto desempenho. Os processos criptográficos ocorrem em um compartimento seguro na placa. A placa atende aos rigorosos requisitos do padrão FIPS PUB 140-1 nível 4. O software pode ser executado dentro do compartimento seguro. Por exemplo, o processamento de transação com cartões de crédito pode utilizar o padrão SET.
correio de privacidade melhorado (PEM). O padrão
de correio de privacidade melhorado da Internet adotado por Internet Architect Board (IAB) para fornecer correio eletrônico seguro na Internet. Os protocolos PEM fornecem criptografia, autenticação, integridade de mensagens e gerenciamento de chaves.
credencial. Informações confidenciais utilizadas para
provar a identidade de uma pessoa em uma troca de autenticação. Em ambientes para computação em rede, o tipo mais comum de credencial é um certificado criado e assinado por um CA.
criptografar. Misturar informações para que somente
alguém que tenha a decodificação apropriada possa obter as informações originais por meio dessa decodificação.
criptografia. Em segurança de computadores, os
princípios, meios e métodos para criptografar texto corrido e decriptografar texto criptografado.
criptografia assimétrica. Criptografia que utiliza
chaves assimétricas diferentes para criptografia e decodificação. Cada usuário recebe um par de chaves: uma chave pública acessível a todos e uma chave privada conhecida somente pelo usuário. Uma transação segura pode ocorrer quando a chave pública e a chave privada correspondente são combinadas, permitindo a decodificação da transação. Também conhecida como criptografia de pares de chaves.
Compare com criptografia simétrica.
criptografia/decodificação. A utilização da chave
pública do destinatário pretendido para codificar dados
para essa pessoa, que então utiliza a chave privada do par para decodificar os dados.
criptografia simétrica. A criptografia que utiliza a
mesma chave para criptografia e decodificação. Sua segurança está na chave — a divulgação da chave significa que alguém pode codificar e decodificar mensagens. A comunicação só permanece secreta se a chave permanecer secreta. Compare com criptografia assimétrica.
criptográfico. Relativo à transformação de dados para
ocultar seu significado.
critério de certificado. Um conjunto de regras
designado que indica a aplicabilidade de um certificado a uma determinada classe de aplicativos que possui requisitos de segurança comuns. Por exemplo, um critério de certificado pode indicar se determinado tipo de certificação permite que um usuário conduza transações de bens em uma determinada faixa de preços.
CRL. Lista de revogação de certificado.
D
daemon. Um programa que executa tarefas no
segundo plano. É explicitamente chamado quando ocorre uma condição que requer sua ajuda. Um usuário não precisa saber da existência de um daemon, porque ele é gerado automaticamente pelo sistema. Um daemon pode durar para sempre ou o o sistema pode gerá-lo novamente com intervalos.
O termo (pronunciado demon) é proveniente da mitologia. Posteriormente, ele foi racionalizado como o acrônimo DAEMON: Disk And Execution MONitor.
Data Encryption Standard (DES). Uma cifra de bloco
de criptografia, definida e aprovada pelo governo dos EUA em 1977 como um padrão oficial. Ele foi desenvolvido originalmente pela IBM. O DES foi extensivamente estudado desde sua publicação e é um sistema criptográfico muito conhecido e amplamente utilizado.
DES é um sistema criptográfico simétrico. Quando é utilizado para comunicação, tanto o emissor como o receptor devem conhecer a mesma chave secreta. Esta chave é utilizada para criptografar e decriptografar a mensagem. O DES também pode ser utilizado para criptografia por um único usuário, como por exemplo para armazenar arquivos em um disco rígido no formato criptografado. O DES possui um tamanho de bloco de 64 bits e utiliza uma chave de 56 bits durante a criptografia. Foi originalmente projetado para implementação em hardware. O NIST certifica novamente o DES como um padrão de criptografia oficial do governo dos EUA a cada cinco anos.
Data Storage Library (DL). Um módulo que fornece acesso a armazenamento de dados permanentes de certificados, CRLs, chaves, critérios e outros objetos relacionados à segurança.
decriptografar. Desfazer o processo de criptografia.
DEK. Chave de criptografia de documentos. DER. Distinguished Encoding Rules. DES. Data Encryption Standard.
destino. Uma fonte de dados designada ou
selecionada.
DES triplo. Um algoritmo simétrico que criptografa o
texto corrido três vezes. Embora existam várias formas de se fazer isso, a forma mais segura de criptografia múltipla é o DES triplo com três chaves distintas.
Diffie-Hellman. Um método de estabelecimento de
uma chave compartilhada por um meio não confiável, que tem o nome de seus criadores (Diffie e Hellman).
Digital Signature Algorithm (DSA). Um algoritmo de
chave pública que é utilizado como parte do Digital Signature Standard. Não pode ser utilizado para criptografia, somente para assinaturas digitais.
Directory. Uma estrutura hierárquica que serve como
um repositório global para informações relacionadas às comunicações (como por exemplo e-mail ou trocas criptográficas). O Directory armazena itens específicos que são essenciais à estrutura PKI, incluindo chaves públicas, certificados e listas de revogação de certificados.
Os dados no diretório são organizados
hierarquicamente na forma de uma árvore, com a raiz no topo da árvore. Geralmente, organizações de níveis superiores representam países, governos ou empresas individuais. Os usuários e dispositivos geralmente são representados como folhas em cada árvore. Esses usuários, organizações, localidades, países e
dispositivos possuem cada um a sua própria entrada. Cada entrada consiste de atributos inseridos. Eles fornecem informações sobre o objeto que a entrada representa.
Cada entrada no Directory está limitada por um nome distinto (DN) associado. Ele é exclusivo quando a entrada inclui um atributo que deve ser conhecido como exclusivo para o objeto do mundo real. Considere o seguinte exemplo de DN. Nele, o país (C) são os EUA, a organização (O) é a IBM, a unidade
organizacional (OU) é Trust e o nome comum (CN) é CA1.
C=US/O=IBM/OU=Trust/CN=CA1
Distinguished Encoding Rules (DER). Fornece
limitações no BER. O DER seleciona apenas um tipo de codificação dos que são permitidos pelas regras de codificação, eliminando todas as opções do emissor.
DL. Data Storage Library. DN. Nome distinto.
domínio. Consulte domínio de segurança e domínio de
registro.
domínio confiável. Um conjunto de entidades cujos
certificados foram validados pelo mesmo CA.
domínio de registro. Um conjunto de recursos,
critérios e opções de configuração relacionadas a processos específicos de registros de certificados. O nome de domínio é um subconjunto da URL que é utilizado para executar o recurso de registro.
domínio de segurança. Um grupo (empresa, grupo ou
equipe de trabalho, instituição educacional ou
governamental) cujos certificados foram validados pelo mesmo CA. Os usuários que possuem certificados que são assinados por um CA podem garantir a identidade de outro usuário que possui um certificado assinado pelo mesmo CA.
DSA. Digital Signature Algorithm.
E
e-business. Transações comerciais por meio de redes e
computadores. Inclui a compra e venda de bens e