Pequeno Glossário de Segurança (cada item será mais bem explicado adiante)





descritor de segurança absoluta

Uma estrutura de descritor de segurança que contém ponteiros para as informações de segurança associadas a um objeto.

Consulte também o descritor de segurança e o descritor de segurança auto-relativo.


Notação de sintaxe abstrata Um

(ASN.1) Um método usado para especificar objetos abstratos destinados à transmissão serial.


bloco de acesso

Um BLOB de chave que contém a chave da criptografia simétrica usada para criptografar um arquivo ou mensagem. O bloco de acesso só pode ser aberto com uma chave privada.


entrada de controle de acesso

(ACE) Uma entrada em uma ACL (lista de controle de acesso). Uma ACE contém um conjunto de direitos de acesso e um SID (identificador de segurança) que identifica um administrador para o qual os direitos são permitidos, negados ou auditados.

Veja também a lista de controle de acesso, o identificador de segurança e o administrador.


lista de controle de acesso

(ACL) Uma lista de proteções de segurança que se aplica a um objeto. (Um objeto pode ser um arquivo, processo, evento ou qualquer outra coisa que tenha um descritor de segurança.) Uma entrada em uma ACL (lista de controle de acesso) é uma ACE (entrada de controle de acesso). Há dois tipos de lista de controle de acesso, discricionário e sistema.

Veja também a entrada de controle de acesso, a lista de controle de acesso discricionário, o descritor de segurança e a lista de controle de acesso do sistema.


máscara de acesso

Um valor de 32 bits que especifica os direitos permitidos ou negados em uma ACE (entrada de controle de acesso). Uma máscara de acesso também é usada para solicitar direitos de acesso quando um objeto é aberto.

Consulte também a entrada de controle de acesso.


token de acesso

Um token de acesso contém as informações de segurança de uma sessão de logon. O sistema cria um token de acesso quando um usuário faz logon e cada processo executado em nome do usuário tem uma cópia do token. O token identifica o usuário, os grupos do usuário e os privilégios do usuário. O sistema usa o token para controlar o acesso a objetos protegíveis e controlar a capacidade do usuário de executar várias operações relacionadas ao sistema no computador local. Há dois tipos de token de acesso, principal e representação.

Veja também token de representação, token primário, privilégio, processo e identificador de segurança.


ACE

Consulte a entrada do controle de acesso.


ACL

Consulte a lista de controle de acesso.


Padrão avançado de criptografia

(AES) Um algoritmo criptográfico especificado pelo NIST (National Institute of Standards and Technology) para proteger informações confidenciais.


ALG_CLASS_DATA_ENCRYPT

A classe de algoritmo CryptoAPI para algoritmos de criptografia de dados. Algoritmos típicos de criptografia de dados incluem RC2 e RC4.


ALG_CLASS_HASH

A classe de algoritmo CryptoAPI para algoritmos de hash. Os algoritmos de hash típicos incluem MD2, MD5, SHA-1 e MAC.


ALG_CLASS_KEY_EXCHANGE

A classe de algoritmo CryptoAPI para algoritmos de troca de chaves. Um algoritmo típico de troca de chaves é RSA_KEYX.


ALG_CLASS_SIGNATURE

A classe de algoritmo CryptoAPI para algoritmos de assinatura. Um algoritmo típico de assinatura digital é RSA_SIGN.


APDU

Consulte a unidade de dados do protocolo do aplicativo.


unidade de dados do protocolo do aplicativo

(APDU) Uma sequência de comandos (uma Unidade de Dados do Protocolo de Aplicativo) que pode ser enviada pelo cartão inteligente ou retornada pelo aplicativo.

Veja também a APDU de resposta.


protocolo de aplicativo

Um protocolo que normalmente reside na parte superior da camada de transporte. Por exemplo, HTTP, TELNET, FTP e SMTP são todos protocolos de aplicativo.


ASN.1

Consulte a Notação de Sintaxe Abstrata Um.


ASCII

Código Padrão Americano para Intercâmbio de Informações. Um esquema de codificação que atribui valores numéricos a letras, números, marcas de pontuação e determinados outros caracteres.


Algoritmo assimétrico

Consulte o algoritmo de chave pública.


Chave assimétrica

Uma de um par de chaves usadas com um algoritmo criptográfico assimétrico. Esse algoritmo usa duas chaves criptográficas: uma "chave pública" para criptografia e uma "chave privada" para descriptografia. Em assinatura e verificação, as funções são invertidas: a chave pública é usada para verificação e a chave privada é usada para geração de assinatura. A característica mais importante desses algoritmos é que sua segurança não depende de manter o segredo da chave pública (embora possa exigir alguma garantia de autenticidade das chaves públicas, por exemplo, que elas sejam obtidas de uma fonte confiável). O sigilo da chave privada é necessário. Exemplos de algoritmos de chave pública são o Algoritmo de Assinatura Digital (DSA), o Algoritmo de Assinatura Digital de Curva Elíptica (ECDSA) e a família de algoritmos Rivest-Shamir-Adleman (RSA).


Cadeia de caracteres ATR

Uma sequência de bytes retornados de um cartão inteligente quando ele é ativado. Esses bytes são usados para identificar o cartão no sistema.


Atributo

Um elemento de um rdn (nome distinto relativo). Alguns atributos típicos incluem nome comum, sobrenome, endereço de email, endereço postal e nome do país/região.


BLOB de atributo

Uma representação codificada das informações de atributo armazenadas em uma solicitação de certificado.


Auditar objeto de segurança

Um descritor de segurança que controla o acesso ao subsistema de política de auditoria.


Autenticação

O processo para verificar se um usuário, computador, serviço ou processo é quem ou o que ele afirma ser.


pacote de autenticação

Uma DLL que encapsula a lógica de autenticação usada para determinar se um usuário deve fazer logon. A LSA autentica um logon de usuário enviando a solicitação para um pacote de autenticação. Em seguida, o pacote de autenticação examina as informações de logon e autentica ou rejeita a tentativa de logon do usuário.


Authenticode

Um recurso de segurança do Internet Explorer. O Authenticode permite que os fornecedores de código executável para download (plug-ins ou controles ActiveX, por exemplo) anexem certificados digitais aos seus produtos para garantir aos usuários finais que o código é do desenvolvedor original e não foi alterado. O Authenticode permite que os usuários finais decidam por si mesmos se aceitam ou rejeitam componentes de software postados na Internet antes do início do download.


autoridade de backup

Um aplicativo confiável em execução em um computador seguro que fornece armazenamento secundário para as chaves de sessão de seus clientes. A autoridade de backup armazena chaves de sessão como BLOBs de chave criptografadas com a chave pública da autoridade de backup.


tipo de conteúdo base

Um tipo de dados contido em uma mensagem PKCS nº 7. Os tipos de conteúdo base contêm apenas dados, sem aprimoramentos criptográficos, como hashes ou assinaturas. Atualmente, o único tipo de conteúdo base é o tipo de conteúdo de dados.


Funções criptográficas base

O nível mais baixo de funções na arquitetura CryptoAPI. Eles são usados por aplicativos e outras funções cryptoAPI de alto nível para fornecer acesso a algoritmos criptográficos fornecidos por CSP, geração segura de chaves e armazenamento seguro de segredos.

Consulte também provedores de serviços criptográficos.


Regras básicas de codificação

(BER) O conjunto de regras usado para codificar dados definidos pelo ASN.1 em um fluxo de bits (zeros ou uns) para armazenamento ou transmissão externo. Um único objeto ASN.1 pode ter vários códigos BER equivalentes. O BER é definido na Recomendação CCITT X.209. Esse é um dos dois métodos de codificação atualmente usados pelo CryptoAPI.


BER

Consulte regras básicas de codificação.


big-endian

Um formato de memória ou dados no qual o byte mais significativo é armazenado no endereço inferior ou chega primeiro.

Veja também little-endian.


BLOB

Uma sequência genérica de bits que contêm uma ou mais estruturas de cabeçalho de comprimento fixo mais dados específicos do contexto.

Consulte também blobs de chave, BLOBs de certificado, BLOBs de nome de certificado e BLOBs de atributo.


bloquear codificação

Um algoritmo de criptografia que criptografa dados em unidades discretas (chamados de blocos), em vez de como um fluxo contínuo de bits. O tamanho de bloco mais comum é de 64 bits. Por exemplo, DES é uma codificação de bloco.

Veja também a codificação de fluxo.


chave de criptografia em massa

Uma chave de sessão derivada de uma chave mestra. Chaves de criptografia em massa são usadas na criptografia Schannel .


CA

Consulte a autoridade de certificação.


Certificado de autoridade de certificação

Identifica a AC (autoridade de certificação) que emite certificados de autenticação de servidor e cliente para os servidores e clientes que solicitam esses certificados. Como ele contém uma chave pública usada em assinaturas digitais, ela também é conhecida como um certificado de assinatura. Se a AC for uma autoridade raiz, o certificado de AUTORIDADE poderá ser chamado de certificado raiz. Também às vezes conhecido como um certificado de site.


Hierarquia de AC

Uma hierarquia de autoridade de certificação (AC) contém vários CAs. É organizado de modo que cada AC seja certificada por outra AC em um nível mais alto da hierarquia até que a parte superior da hierarquia, também conhecida como autoridade raiz, seja atingida.


CALG_DH_EPHEM

O identificador de algoritmo CryptoAPI para o algoritmo de troca de chaves Diffie-Hellman quando usado para a geração de chaves efêmeras.

Consulte também o algoritmo de troca de chaves Diffie-Hellman (efêmero).


CALG_DH_SF

O identificador de algoritmo CryptoAPI para o algoritmo de troca de chaves Diffie-Hellman quando usado para a geração de chaves de repositório e encaminhamento.

Consulte também o algoritmo de troca de chaves Diffie-Hellman (store e forward).


CALG_HMAC

O identificador de algoritmo CryptoAPI para o algoritmo de Código de Autenticação de Mensagem baseado em hash.

Consulte também o código de autenticação de mensagem baseado em hash.


CALG_MAC

O identificador de algoritmo CryptoAPI para o algoritmo Código de Autenticação de Mensagem.

Consulte também o Código de Autenticação de Mensagem.


CALG_MD2

O identificador de algoritmo CryptoAPI para o algoritmo de hash MD2.

Consulte também o algoritmo MD2.


CALG_MD5

O identificador de algoritmo CryptoAPI para o algoritmo de hash MD5.

Consulte também o algoritmo MD5.


CALG_RC2

O identificador de algoritmo CryptoAPI para o algoritmo de criptografia de bloco RC2.

Consulte também o algoritmo de bloco RC2.


CALG_RC4

O identificador de algoritmo CryptoAPI para o algoritmo de criptografia de fluxo RC4.

Consulte também o algoritmo de fluxo RC4.


CALG_RSA_KEYX

O identificador de algoritmo CryptoAPI para o algoritmo de chave pública RSA quando usado para troca de chaves.

Consulte também o algoritmo de chave pública RSA.


CALG_RSA_SIGN

O identificador de algoritmo CryptoAPI para o algoritmo de chave pública RSA quando usado para gerar assinaturas digitais.

Consulte também o algoritmo de chave pública RSA.


CALG_SHA

O identificador de algoritmo CryptoAPI para o Algoritmo de Hash Seguro (SHA-1).

Consulte também o Algoritmo de Hash Seguro.


ELENCO

Um grupo de criptografias de bloco simétrico semelhantes a DES desenvolvidas por C. M. Adams e S. E. Tavares. PROV_MS_EXCHANGE tipos de provedor especificam um algoritmo CAST específico que usa um tamanho de bloco de 64 bits.


CBC

Consulte Encadeamento de Blocos de Criptografia.


Certificado

Uma instrução assinada digitalmente que contém informações sobre uma entidade e a chave pública da entidade, associando essas duas informações. Um certificado é emitido por uma organização confiável (ou entidade) chamada ac ( autoridade de certificação ) depois que a AC verificou que a entidade é quem ela diz ser.

Os certificados podem conter diferentes tipos de dados. Por exemplo, um certificado X.509 inclui o formato do certificado, o número de série do certificado, o algoritmo usado para assinar o certificado, o nome da AC que emitiu o certificado, o nome e a chave pública da entidade que solicita o certificado e a assinatura da AC.


BLOB de certificado

Um BLOB que contém os dados do certificado.

Um BLOB de certificado é criado por chamadas para CryptEncodeObject. O processo é concluído quando a saída da chamada contém todos os dados do certificado.


contexto do certificado

Uma estrutura CERT_CONTEXT que contém um identificador para um repositório de certificados, um ponteiro para o BLOB de certificado codificado original, um ponteiro para uma estrutura de CERT_INFO e um membro do tipo de codificação. É a estrutura CERT_INFO que contém a maioria das informações do certificado.


Funções de codificação/decodificação de certificado

Funções que gerenciam a tradução de certificados e material relacionado em formatos binários padrão que podem ser usados em ambientes diferentes.


tipo de codificação de certificado

Define como o certificado é codificado. O tipo de codificação de certificado é armazenado na palavra de baixa ordem da estrutura DWORD (tipo de codificação).


Gerenciamento de certificados por CMS

CMC. Gerenciamento de certificados por CMS. O CMC é um protocolo de gerenciamento de certificados que usa a SINTAXe de Mensagem Criptográfica (CMS). A Microsoft encapsula solicitações de certificado CMC em um objeto de solicitação de CMS (PKCS nº 7 ) antes de enviar a solicitação para um servidor de registro.


BLOB de nome de certificado

Uma representação codificada das informações de nome incluídas nos certificados. Cada blob de nome é mapeado para uma estrutura de CERT_NAME_BLOB .

Por exemplo, as informações do emissor e do assunto referenciadas por uma estrutura de CERT_INFO são armazenadas em duas estruturas de CERT_NAME_BLOB .


política de certificado

Um conjunto de regras nomeado que indica a aplicabilidade de certificados para uma classe específica de aplicativos com requisitos de segurança comuns. Essa política pode, por exemplo, limitar determinados certificados a transações de intercâmbio de dados eletrônicos dentro de determinados limites de preço.


solicitação de certificado

Uma mensagem eletrônica especialmente formatada (enviada a uma AC) usada para solicitar um certificado. A solicitação deve conter as informações exigidas pela AC para autenticar a solicitação, além da chave pública da entidade que solicita o certificado.

Todas as informações necessárias para criar a solicitação são mapeadas para uma estrutura de CERT_REQUEST_INFO .


lista de revogação de certificado

(CRL) Um documento mantido e publicado por uma AC (autoridade de certificação) que lista certificados emitidos pela AC que não são mais válidos.


servidor de certificado

Um servidor que emite certificados para uma determinada AC. O software do servidor de certificados fornece serviços personalizáveis para emissão e gerenciamento de certificados usados em sistemas de segurança que empregam criptografia de chave pública.


Serviços de Certificados

Um serviço de software que emite certificados para uma autoridade de certificação (AC) específica. Ele fornece serviços personalizáveis para emissão e gerenciamento de certificados para a empresa. Os certificados podem ser usados para fornecer suporte à autenticação, incluindo email seguro, autenticação baseada na Web e autenticação de cartão inteligente.


repositório de certificados

Normalmente, um armazenamento permanente em que os certificados, as CRLs (listas de revogação de certificados) e as CTLs (listas de confiança de certificado) são armazenados. No entanto, é possível criar e abrir um repositório de certificados somente na memória ao trabalhar com certificados que não precisam ser colocados em armazenamento permanente.

O repositório de certificados é central para grande parte da funcionalidade de certificado no CryptoAPI.


Funções do repositório de certificados

Funções que gerenciam os dados de armazenamento e recuperação, como certificados, CRLs (listas de revogação de certificados) e CTLs (listas de confiança de certificado). Essas funções podem ser separadas em funções comuns de certificado, funções de lista de revogação de certificado e funções de lista de confiança de certificado.


modelo de certificado

Um constructo Windows que cria perfis de certificados (ou seja, ele pré-especifica o formato e o conteúdo) com base no uso pretendido. Ao solicitar um certificado de uma AC (autoridade de certificação) Windows empresa, os solicitantes de certificado são, dependendo de seus direitos de acesso, capazes de selecionar entre uma variedade de tipos de certificado baseados em modelos de certificado, como Assinatura de Usuário e Código.


lista de confiança do certificado

(CTL) Uma lista predefinida de itens que foram assinados por uma entidade confiável. Uma CTL pode ser qualquer coisa, como uma lista de hashes de certificados ou uma lista de nomes de arquivo. Todos os itens da lista são autenticados (aprovados) pela entidade de assinatura.


autoridade de certificação

(AC) Uma entidade encarregada de emitir certificados que afirmam que o destinatário individual, computador ou organização que solicita o certificado atende às condições de uma política estabelecida.


CFB

Consulte Comentários de Criptografia.


modo de encadeamento

Um modo de criptografia de bloco que introduz comentários combinando texto criptografado e texto sem formatação.

Consulte também o Encadeamento de Blocos de Criptografia.


Codificação

Um algoritmo criptográfico usado para criptografar dados; ou seja, para transformar o texto sem formatação em texto criptografado usando uma chave predefinida.


Encadeamento de blocos de criptografia

(CBC) Um método de operação de uma codificação de bloco simétrico que usa comentários para combinar o texto cifrado gerado anteriormente com o novo texto sem formatação.

Cada bloco de texto sem formatação é combinado com o texto criptografado do bloco anterior por uma operação bit a bit XOR antes de ser criptografado. A combinação de texto cifrado e texto não criptografado garante que, mesmo que o texto sem formatação contenha muitos blocos idênticos, cada um deles criptografará para um bloco de texto cifrado diferente.

Quando o Provedor criptográfico base da Microsoft é usado, CBC é o modo de criptografia padrão.


MAC de Encadeamento de Blocos de Criptografia

Um método de criptografia de bloco que criptografa os dados base com uma criptografia de bloco e usa o último bloco criptografado como o valor de hash. O algoritmo de criptografia usado para criar o MAC ( Código de Autenticação de Mensagem ) é aquele especificado quando a chave de sessão foi criada.


Comentários de criptografia

(CFB) Um modo de criptografia de bloco que processa pequenos incrementos de texto sem formatação em texto cifrado, em vez de processar um bloco inteiro por vez.

Esse modo usa um registro de turno com um tamanho de bloco de comprimento e dividido em seções. Por exemplo, se o tamanho do bloco for de 64 bits com oito bits processados por vez, o registro de turno será dividido em oito seções.


modo de codificação

Um modo de criptografia de bloco (cada bloco é criptografado individualmente) que pode ser especificado usando a função CryptSetKeyParam . Se o aplicativo não especificar explicitamente um desses modos, o modo de criptografia CBC (encadeamento de blocos de criptografia) será usado.

BCE: Um modo de criptografia de bloco que não usa comentários.

CBC: um modo de criptografia de bloco que introduz comentários combinando texto criptografado e texto sem formatação.

CFB: um modo de criptografia de bloco que processa pequenos incrementos de texto sem formatação em texto cifrado, em vez de processar um bloco inteiro por vez.

OFB: um modo de criptografia de bloco que usa comentários semelhantes ao CFB.


Texto cifrado

Uma mensagem que foi criptografada.


Cleartext

Veja texto sem formatação.


Cliente

O aplicativo, em vez do aplicativo de servidor, que inicia uma conexão com um servidor.

Comparar com o servidor.


certificado do cliente

Refere-se a um certificado usado para autenticação de cliente, como autenticar um navegador da Web em um servidor Web. Quando um cliente do navegador da Web tenta acessar um servidor Web seguro, o cliente envia seu certificado para o servidor para permitir que ele verifique a identidade do cliente.


CMC

Consulte o Gerenciamento de Certificados no CMS.


CNG

Consulte a API de Criptografia: Próxima Geração.


protocolo de comunicação

O método no qual os dados são serializados (convertidos em uma cadeia de caracteres de um e zeros) e desserializados. O protocolo é controlado por hardware de transmissão de dados e software.

Normalmente discutido em termos de camadas, um protocolo de comunicação simplificado pode consistir em uma camada de aplicativo, uma camada de codificação/decodificação e uma camada de hardware.


delegação restrita

Comportamento que permite que o servidor encaminhe solicitações em nome do cliente apenas para uma lista especificada de serviços.

Windows XP: não há suporte para delegação restrita.


Contexto

Os dados de segurança relevantes para uma conexão. Um contexto contém informações como uma chave de sessão e duração da sessão.


função de contexto

Funções usadas para se conectar a um provedor de serviços criptográficos (CSP). Essas funções permitem que os aplicativos escolham um CSP específico por nome ou obtenham um com uma classe de funcionalidade necessária.


Referenda

Uma assinatura de uma assinatura e uma mensagem existentes ou uma assinatura de uma assinatura existente. Uma contra-atribuição é usada para assinar o hash criptografado de uma assinatura existente ou para carimbo de data/hora de uma mensagem.


Credenciais

Dados de logon autenticados anteriormente usados por uma entidade de segurança para estabelecer sua própria identidade, como uma senha ou um tíquete de protocolo Kerberos.


CRL

Consulte a lista de revogação de certificados.


CRYPT_ASN_ENCODING

Tipo de codificação que especifica a codificação de certificado. Os tipos de codificação de certificado são armazenados na palavra de baixa ordem de um DWORD (o valor é: 0x00000001). Esse tipo de codificação é funcionalmente o mesmo que o tipo de codificação X509_ASN_ENCODING.


Criptoanálise

Criptanalysis é a arte e a ciência da quebra do texto cifrado. Por outro lado, a arte e a ciência de manter as mensagens seguras são a criptografia.


Cryptoapi

Interface de programação de aplicativo que permite que os desenvolvedores de aplicativos adicionem autenticação, codificação e criptografia a aplicativos baseados em Windows.


algoritmo criptográfico

Uma função matemática usada para criptografia e descriptografia. A maioria dos algoritmos criptográficos baseia-se em uma codificação de substituição, uma criptografia de transposição ou uma combinação de ambos.


Resumo criptográfico

Uma função de hash unidirecional que usa uma cadeia de caracteres de entrada de comprimento variável e a converte em uma cadeia de caracteres de saída de comprimento fixo (chamada de resumo criptográfico).) Essa cadeia de caracteres de saída de comprimento fixo é probabilisticamente exclusiva para cada cadeia de caracteres de entrada diferente e, portanto, pode atuar como uma impressão digital de um arquivo. Quando um arquivo com um resumo criptográfico é baixado, o receptor recompõe o resumo. Se a cadeia de caracteres de saída corresponder ao resumo contido no arquivo, o receptor terá uma prova de que o arquivo recebido não foi adulterado e é idêntico ao arquivo enviado originalmente.


chave criptográfica

Uma chave criptográfica é uma parte dos dados necessários para inicializar um algoritmo criptográfico. Os sistemas criptográficos são geralmente projetados para que sua segurança dependa apenas da segurança de suas chaves criptográficas e não, por exemplo, de manter seus algoritmos em segredo.

Há muitos tipos diferentes de chaves criptográficas, correspondentes à ampla variedade de algoritmos criptográficos. As chaves podem ser classificadas de acordo com o tipo de algoritmo com o qual são usadas (por exemplo, como chaves simétricas ou assimétricas). Eles também podem ser classificados com base em seu tempo de vida dentro de um sistema (por exemplo, como chaves de longa duração ou de sessão).


provedor de serviços criptográficos

(CSP) Um módulo de software independente que realmente executa algoritmos de criptografia para autenticação, codificação e criptografia.


Cryptography

A arte e a ciência da segurança da informação. Ele inclui confidencialidade de informações, integridade de dados, autenticação de entidade e autenticação de origem de dados.


API de criptografia

Consulte CryptoAPI.


API de criptografia: próxima geração

(CNG) A segunda geração do CryptoAPI. O CNG permite substituir provedores de algoritmo existentes por seus próprios provedores e adicionar novos algoritmos à medida que eles ficam disponíveis. O CNG também permite que as mesmas APIs sejam usadas de aplicativos de modo de usuário e kernel.


Criptologia

O ramo da matemática que abrange criptografia e criptanalyse.


CryptoSPI

A interface do programa do sistema usada com um CSP ( provedor de serviços criptográficos ).


CSP

Consulte o provedor de serviços criptográficos.


Família CSP

Um grupo exclusivo de CSPs que usam o mesmo conjunto de formatos de dados e executam sua função da mesma maneira. Mesmo quando duas famílias CSP usam o mesmo algoritmo (por exemplo, a criptografia de bloco RC2), seus diferentes esquemas de preenchimento, comprimentos de chaves ou modos padrão tornam cada grupo distinto. O CryptoAPI foi projetado para que cada tipo de CSP represente uma família específica.


Nome do CSP

O nome textual do CSP. Se o CSP tiver sido assinado pela Microsoft, esse nome deverá corresponder exatamente ao nome CSP especificado no ECC (Certificado de Conformidade de Exportação).


Tipo de CSP

Indica a família CSP associada a um provedor. Quando um aplicativo se conecta a um CSP de um tipo específico, cada uma das funções CryptoAPI funcionará, por padrão, de forma prescrita pela família que corresponde a esse tipo de CSP.


CTL

Consulte a lista de confiança do certificado.


CYLINK_MEK

Um algoritmo de criptografia que usa uma variante de 40 bits de uma chave DES em que 16 bits da chave DES de 56 bits são definidos como zero. Esse algoritmo é implementado conforme especificado na especificação do Rascunho do IETF para DES de 40 bits. A especificação de rascunho, no momento dessa gravação pode ser encontrada em ftp://ftp.ietf.org/internet-drafts/draft-hoffman-des40-02.txt. Esse algoritmo é usado com o valor ALG_ID CALG_CYLINK_MEK.


DAC

Consulte o controle de acesso dinâmico.


DACL

Consulte a lista de controle de acesso discricionário.


tipo de conteúdo de dados

Um tipo de conteúdo base definido pelo PKCS nº 7. O conteúdo de dados é simplesmente uma cadeia de caracteres de octeto (byte).


criptografia de dados

Consulte criptografia.


função de criptografia de dados

Consulte as funções de criptografia e descriptografia.


Data Encryption Standard

(DES) Uma criptografia de bloco que criptografa dados em blocos de 64 bits. O DES é um algoritmo simétrico que usa o mesmo algoritmo e chave para criptografia e descriptografia.

Desenvolvido no início da década de 1970, o DES também é conhecido como DEA (Algoritmo de Criptografia de Dados) pelo ANSI e o DEA-1 pela ISO.


Datagrama

Um canal de comunicação que usa informações roteada por meio de uma rede de alternância de pacotes. Essas informações incluem pacotes separados de informações e as informações de entrega associadas a esses pacotes, como o endereço de destino. Em uma rede de alternância de pacotes, os pacotes de dados são roteado independentemente uns dos outros e podem seguir rotas diferentes. Eles também podem chegar em uma ordem diferente daquela em que foram enviados.


Decodificação

O processo de tradução de um objeto codificado (como um certificado) ou dados de volta para seu formato original.

Em termos gerais, os dados são decodificados pela camada de codificação/decodificação do protocolo de comunicação. Os certificados são decodificados por uma chamada para a função CryptDecodeObject .


Descriptografia

O processo de conversão de texto criptografado em texto sem formatação. A descriptografia é o oposto da criptografia.


modo padrão

Configurações padrão, como o modo de criptografia de bloqueio ou o método de preenchimento de criptografia de bloco.


DER

Veja Distinguished Encoding Rules.


chave derivada

Uma chave criptográfica criada por uma chamada para a função CryptDeriveKey . Uma chave derivada pode ser criada com base em uma senha ou em qualquer outro dado do usuário. As chaves derivadas permitem que os aplicativos criem chaves de sessão conforme necessário, eliminando a necessidade de armazenar uma chave específica.


DES

Consulte o Padrão de Criptografia de Dados.


DH

Consulte o algoritmo Diffie-Hellman.


DH_KEYX

O nome do algoritmo CryptoAPI para o algoritmo de troca de chaves Diffie-Hellman.

Consulte também o algoritmo Diffie-Hellman.


Algoritmo Diffie-Hellman

(DH) Um algoritmo de chave pública usado para troca de chaves seguras. Diffie-Hellman não pode ser usado para criptografia de dados. Esse algoritmo é especificado como o algoritmo de troca de chaves para tipos de provedor de PROV_DSS_DH.

Consulte também o algoritmo de troca de chaves Diffie-Hellman (store e forward) e o algoritmo de troca de chaves Diffie-Hellman (efêmero).


Algoritmo de troca de chaves Diffie-Hellman (store e forward)

Um algoritmo de Diffie-Hellman em que os valores de chave de troca são retidos (no CSP) depois que o identificador de chave foi destruído.

Consulte também o algoritmo de troca de chaves Diffie-Hellman (efêmero).


Algoritmo de troca de chaves Diffie-Hellman (efêmero)

Um algoritmo Diffie-Hellman em que o valor da chave de troca é excluído do CSP quando o identificador de chave é destruído.

Consulte também o algoritmo de troca de chaves Diffie-Hellman (store e forward).


dados digeridos

Um tipo de conteúdo de dados definido pelo PKCS nº 7 que consiste em qualquer tipo de dados mais um hash de mensagem (resumo) do conteúdo.


certificado digital

Consulte o certificado.


envelope digital

Mensagens privadas criptografadas usando a chave pública do destinatário. As mensagens em envelope só podem ser descriptografadas usando a chave privada do destinatário, permitindo que apenas o destinatário entenda a mensagem.


assinatura digital

Dados que associam a identidade de um remetente às informações que estão sendo enviadas. Uma assinatura digital pode ser empacotada com qualquer mensagem, arquivo ou outras informações codificadas digitalmente ou transmitidas separadamente. As assinaturas digitais são usadas em ambientes de chave pública e fornecem serviços de autenticação e integridade.


Algoritmo de Assinatura Digital

(DSA) Um algoritmo de chave pública especificado pelo DSS (Digital Signature Standard). O DSA é usado apenas para gerar assinaturas digitais. Ele não pode ser usado para criptografia de dados.


par de chaves de assinatura digital

Consulte o par de chaves de assinatura.


Assinatura Digital Standard

(DSS) Um padrão que especifica o Algoritmo de Assinatura Digital (DSA) para seu algoritmo de assinatura e SHA-1 como seu algoritmo de hash de mensagem. O DSA é uma codificação de chave pública que é usada apenas para gerar assinaturas digitais e não pode ser usada para criptografia de dados. O DSS é especificado por tipos de provedor PROV_DSS, PROV_DSS_DH e PROV_FORTEZZA.


lista de controle de acesso discricionário

(DACL) Uma lista de controle de acesso controlada pelo proprietário de um objeto e que especifica o acesso que determinados usuários ou grupos podem ter ao objeto.

Consulte também a lista de controle de acesso e a lista de controle de acesso do sistema.


Distinguished Encoding Rules

(DER) Um conjunto de regras para codificar dados definidos pelo ASN.1 como um fluxo de bits para armazenamento ou transmissão externo. Cada objeto ASN.1 tem exatamente uma codificação DER correspondente. O DER é definido na Recomendação CCITT X.509, Seção 8.7. Esse é um dos dois métodos de codificação usados atualmente pelo CryptoAPI.


DLL

Consulte a biblioteca de link dinâmico.


DSA

Consulte o Algoritmo de Assinatura Digital.


DSS

Consulte Assinatura Digital Standard.


Controle de Acesso Dinâmico

(DAC) A capacidade de especificar políticas de controle de acesso com base em declarações de usuário, dispositivo e recurso. Isso torna a autenticação mais flexível para aplicativos, mantendo os requisitos de segurança e conformidade.


biblioteca de link dinâmico

(DLL) Um arquivo que contém rotinas executáveis que podem ser chamadas de outros aplicativos.


BCE

Consulte o codebook eletrônico.


ECC

Consulte a criptografia de curva elíptica.


EFS

Consulte Criptografar sistema de arquivos.


EKU

Consulte o uso aprimorado de chaves.


codebook eletrônico

(BCE) Um modo de criptografia de bloco (cada bloco é criptografado individualmente) que não usa comentários. Isso significa que todos os blocos de texto sem formatação idênticos (na mesma mensagem ou em uma mensagem diferente criptografada com a mesma chave) são transformados em blocos de criptografia idênticos. Os vetores de inicialização não podem ser usados com esse modo de codificação. Se um único bit do bloco de criptografia estiver embaralhado, todo o bloco de texto sem formatação correspondente também será embaralhado.


Criptografia de curva elíptica

(ECC) Uma abordagem para criptografia de chave pública com base em propriedades de curvas elípticas. A principal vantagem do ECC é a eficiência, que se torna importante à medida que os dispositivos ficam menores e os requisitos de segurança ficam mais exigentes. Por exemplo, as chaves ECC entre 163 bits e 512 bits têm um sexto a um trigésimo do tamanho das chaves RSA de nível de segurança equivalentes. À medida que o tamanho da chave aumenta a eficiência relativa do ECC aumenta.


Codificação

O processo de transformar dados em um fluxo de bits. A codificação faz parte do processo de serialização que converte dados em um fluxo de zeros e ones.


tipo de codificação

Refere-se a qual tipo de codificação é usada para codificação de certificados e mensagens. Os tipos de codificação são especificados como um DWORD, com o tipo de codificação de certificado armazenado na palavra de baixa ordem e o tipo de codificação de mensagem armazenado na palavra de alta ordem. Embora algumas funções ou campos de estrutura exijam apenas um dos tipos de codificação, é sempre aceitável especificar ambos.


Criptografia

O processo de conversão de texto sem formatação em texto criptografado para ajudar a impedir que ele seja lido e compreendido por uma parte não autorizada. A criptografia é o oposto da descriptografia.


dados criptografados

Dados que foram convertidos de texto sem formatação em criptografia. Mensagens criptografadas são usadas para disfarçar o conteúdo de uma mensagem quando ela é enviada ou armazenada.


Criptografando sistema de arquivos

(EFS) Um recurso no sistema operacional Windows que permite que os usuários criptografem arquivos e pastas em um disco de volume NTFS para mantê-los seguros contra acesso por invasores.


Funções de criptografia e descriptografia

Funções de mensagem simplificadas usadas para codificar e criptografar (ou decodificar e descriptografar) dados. Como um conjunto, essas funções incluem suporte para criptografar e descriptografar dados simultaneamente.

Consulte também funções de mensagem simplificadas.


tipo de conteúdo aprimorado

Uma classe de dados contida em uma mensagem PKCS nº 7 que contém dados (possivelmente criptografados), além de aprimoramentos criptográficos, como hashes ou assinaturas. Os tipos de dados aprimorados definidos pelo PKCS nº 7 incluem dados assinados, dados em envelope, dados assinados e envelopes e dados digeridos (hash).


uso aprimorado de chave

(EKU) Uma extensão de certificado e um valor de propriedade estendida de certificado. Uma EKU especifica os usos para os quais um certificado é válido.


tipo de conteúdo de dados enveloped

Um conteúdo avançado PKCS nº 7 que consiste em conteúdo criptografado (de qualquer tipo) e chaves de criptografia de conteúdo (para um ou mais destinatários). A combinação de conteúdo criptografado e chave de criptografia para um destinatário é chamada de envelope digital para esse destinatário. Esse tipo de mensagem deve ser usado quando você deseja manter o conteúdo da mensagem em segredo e permitir que apenas pessoas ou entidades especificadas recuperem o conteúdo.


chave exchange

Consulte o par de chaves de troca.


trocar par de chaves

Um par de chaves pública/privada usado para criptografar chaves de sessão para que possam ser armazenadas e trocadas com outros usuários com segurança. Exchange pares de chaves são criados chamando a função CryptGenKey.

Compare o par de chaves de assinatura.


repositório externo

Um repositório de certificados que mantém seus certificados, CRLs e CTLs em um local externo à memória armazenada em cache, como em um banco de dados em um servidor de rede. Um repositório externo não lê e decodifica seus certificados, CRLs e CTL quando a função CertOpenStore é chamada. A leitura e a decodificação são adiadas até que um método de enumeração ou localização seja chamado.


GDI

Consulte a Interface do Dispositivo gráfico.


GINA

Uma DLL (biblioteca de vínculo dinâmico) de Identificação Gráfica e Autenticação. O GINA é um componente DLL substituível que é carregado pelo executável Winlogon . O GINA implementa a política de autenticação do modelo de logon interativo e espera-se que execute todas as interações do usuário de identificação e autenticação.


Interface do dispositivo gráfico

O programa executável que processa chamadas de função gráfica de um aplicativo baseado em Windows e passa essas chamadas para o driver de dispositivo apropriado, que executa as funções específicas de hardware que geram saída.


Lidar com

Um token usado para identificar ou acessar um objeto, como o identificador para um provedor criptográfico, repositório de certificados, mensagem ou par de chaves.


Hash

Um resultado de tamanho fixo obtido pela aplicação de uma função matemática (o algoritmo de hash) a uma quantidade arbitrária de dados. (Também conhecido como "resumo de mensagens".

Consulte também funções de hash.


objeto hash

Um objeto usado para hash de mensagens ou chaves de sessão. O objeto hash é criado por uma chamada para CryptCreateHash. A definição do objeto é definida pelo CSP especificado na chamada.


algoritmo de hash

Um algoritmo usado para produzir um valor de hash de alguns dados, como uma mensagem ou chave de sessão. Os algoritmos típicos de hash incluem MD2, MD4, MD5 e SHA-1.


Funções de hash

Um conjunto de funções usadas para criar e destruir objetos hash, obter ou definir os parâmetros de um objeto hash e dados de hash e chaves de sessão.


Código de autenticação de mensagem baseado em hash

(HMAC) Um algoritmo de hash com chave simétrica implementado pelos provedores de serviços criptográficos da Microsoft. Um HMAC é usado para verificar a integridade dos dados para ajudar a garantir que eles não foram modificados durante o armazenamento ou trânsito. Ele pode ser usado com qualquer algoritmo de hash criptográfico iterado, como MD5 ou SHA-1. CryptoAPI faz referência a esse algoritmo por seu identificador de algoritmo (CALG_HMAC) e classe (ALG_CLASS_HASH).

Consulte também o Código de Autenticação de Mensagem.


HCSBC

Tipo de dados que serve como um identificador para um contexto de backup dos Serviços de Certificados. Sua função é manter o estado de contexto entre o servidor e as APIs de backup quando um backup está sendo executado.


HMAC

Consulte o código de autenticação de mensagem baseado em hash.


IIS

Serviços de software que dão suporte à criação, configuração e gerenciamento de sites, juntamente com outras funções da Internet. Serviços de Informações da Internet incluem Protocolo de Transferência de Notícias de Rede (NNTP), FTP (Protocolo de Transferência de Arquivo) e Protocolo SMTP (Simple Mail Transfer). O IIS incorpora várias funções para segurança, permite aplicativos CGI e fornece servidores Gopher e FTP.


Representação

Um mecanismo que permite que um processo de servidor seja executado usando as credenciais de segurança do cliente ou de algum outro usuário usando as credenciais. Quando o servidor representa o cliente, todas as operações executadas pelo servidor são executadas usando as credenciais do cliente (representando o usuário). A representação não permite que o servidor acesse recursos remotos em nome do cliente. Isso requer delegação.


token de representação

Um token de acesso que foi criado para capturar as informações de segurança de um processo de cliente, permitindo que um servidor "represente" o processo do cliente em operações de segurança.

Veja também o token de acesso e o token primário.


vetor de inicialização

(IV) Uma sequência de bytes aleatórios acrescentados à frente do texto sem formatação antes da criptografia por uma codificação de bloco. Adicionar o vetor de inicialização ao início do texto sem formatação elimina a possibilidade de ter o bloco de criptografia inicial o mesmo para qualquer duas mensagens. Por exemplo, se as mensagens sempre começarem com um cabeçalho comum (um cabeçalho ou uma linha "De") seu texto cifrado inicial seria sempre o mesmo, assumindo que o mesmo algoritmo criptográfico e chave simétrica foram usados. Adicionar um vetor de inicialização aleatória elimina isso de acontecer.


dados internos

Todos os dados codificados usados como a mensagem para outra mensagem codificada. Por exemplo, uma mensagem em envelope e seu valor de hash podem ser os dados internos de uma segunda mensagem.


conteúdo interno

Dados aprimorados, como com uma assinatura digital. Esse termo é usado principalmente ao discutir dados aprimorados em uma mensagem PKCS nº 7.


Integridade

A integridade e a precisão de uma mensagem após ela ter sido enviada ou armazenada.


SID de integridade

Um SID ( identificador de segurança ) que representa um nível de integridade. Um SID de integridade na SACL ( lista de controle de acesso do sistema ) do descritor de segurança de um objeto especifica o nível de integridade do objeto. SIDs de integridade em um token de acesso especificam o nível de integridade do token.


IRQL

Um IRQL (nível de solicitação de interrupção) define a prioridade de hardware na qual um processador opera a qualquer momento. No modelo de driver Windows, um thread em execução em um IRQL baixo pode ser interrompido para executar o código em um IRQL mais alto.


IV

Consulte o vetor de inicialização.


KCA

Consulte a principal autoridade de certificação.


KDC

Consulte o Centro de Distribuição de Chaves.


KEA

Consulte o algoritmo de troca de chaves.


Protocolo Kerberos

Um protocolo que define como os clientes interagem com um serviço de autenticação de rede. Os clientes obtêm tíquetes do Centro de Distribuição de Chaves Kerberos (KDC) e apresentam esses tíquetes aos servidores quando as conexões são estabelecidas. Os tíquetes Kerberos representam as credenciais de rede do cliente.


BLOB de chave

Um BLOB que contém uma chave privada criptografada. Os BLOBs de chave fornecem uma maneira de armazenar chaves fora do CSP. Os BLOBs de chave são criados exportando uma chave existente do CSP chamando a função CryptExportKey . Posteriormente, o BLOB de chave pode ser importado para um provedor (geralmente um CSP diferente em um computador diferente) chamando a função CryptImportKey . Isso cria uma chave no CSP que é uma duplicata daquela que foi exportada.

Consulte também blob de chave simples, BLOB de chave pública e BLOB de chave privada.


formato blob chave

O formato do BLOB de chave quando uma chave pública ou de sessão é exportada de um CSP. O formato é especificado pelo tipo de provedor do CSP de exportação. Um BLOB de chave é criado chamando CryptExportKey.

Consulte também BLOB de chave pública e BLOB de chave simples.


autoridade de certificação chave

(KCA) Uma entidade confiável que normalmente mantém um banco de dados seguro de mensagens compostas assinadas com a chave privada da KCA. Em implementações práticas, as mensagens compostas consistem no nome do usuário, na chave pública do usuário e em qualquer outra informação importante sobre o usuário. Quando o aplicativo receptor recebe uma mensagem assinada de um usuário, o aplicativo pode verificar a chave pública recebida com a mensagem comparando-a com a chave pública armazenada no banco de dados KCA.


contêiner de chave

Uma parte do banco de dados chave que contém todos os pares de chaves (pares de chaves de troca e assinatura) pertencentes a um usuário específico. Cada contêiner tem um nome exclusivo que é usado ao chamar a função CryptAcquireContext para obter um identificador para o contêiner.


banco de dados chave

Um banco de dados que contém as chaves criptográficas persistentes para um CSP específico. O banco de dados contém um ou mais contêineres de chave, que armazenam individualmente todos os pares de chaves criptográficas para um usuário específico.

Consulte também o contêiner de chaves.


Central de Distribuição de Chaves

(KDC) Um serviço de rede que fornece tíquetes de sessão e chaves de sessão temporárias usadas no protocolo de autenticação Kerberos V5. O KDC é executado como um processo privilegiado em todos os controladores de domínio.

Consulte também o protocolo Kerberos.


algoritmo de troca de chaves

Um algoritmo usado para criptografar e descriptografar chaves de troca (chaves de sessão simétricas). Alguns algoritmos comuns de troca de chaves incluem Diffie-Hellman e KEA, o algoritmo de troca de chaves especificado por um tipo de provedor de PROV_FORTEZZA. O algoritmo KEA é uma versão aprimorada do algoritmo Diffie-Hellman. Cada tipo de provedor pode especificar apenas um algoritmo de troca de chaves.


Algoritmo de Exchange chave

(KEA) O algoritmo de troca de chaves especificado por um tipo de provedor de PROV_FORTEZZA. Esse algoritmo é uma versão aprimorada do algoritmo Diffie-Hellman.


certificado de troca de chaves

Um certificado usado para criptografar informações enviadas a outra parte. O certificado de troca de chaves da AC (autoridade de certificação) pode ser usado por um cliente para criptografar as informações enviadas à AC.


funções de troca de chaves

Um conjunto de funções usadas para trocar ou transmitir chaves. As funções de troca de chaves também podem ser usadas para implementar trocas de chaves de três fases totalmente autenticadas.


par de chaves de troca de chaves

Consulte o par de chaves do Exchange.


chave privada de troca de chaves

A chave privada de um par de chaves de troca.

Consulte também o par de chaves de troca.


protocolo de troca de chaves

Um protocolo pelo qual duas partes trocam informações para estabelecer um segredo compartilhado. O segredo compartilhado normalmente é usado como uma chave de criptografia simétrica.


chave pública de troca de chaves

A chave pública de um par de chaves de troca.

Consulte também o par de chaves de troca.


funções de geração de chave

Um conjunto de funções usadas por aplicativos para gerar e personalizar chaves criptográficas. Essas funções incluem suporte total para alterar modos de encadeamento, vetores de inicialização e outros recursos de criptografia.


comprimento da chave

Valores especificados por alguns provedores que indicam o comprimento dos pares de chaves públicas/privadas e chaves de sessão usadas com esse provedor.


par de chaves

Uma chave privada e sua chave pública relacionada.


provedor de armazenamento de chaves

(KSP) Um módulo de software independente que implementa a funcionalidade para criar, gerenciar, armazenar e recuperar chaves privadas.


KSP

Consulte o provedor de armazenamento de chaves.


LDAP

Consulte o Protocolo de Acesso ao Diretório Leve


Protocolo de Acesso ao Diretório Leve

Um subconjunto mais facilmente implementado do padrão X.500 DAP para serviços de diretório.


little-endian

Um formato de memória ou dados no qual o byte menos significativo é armazenado no endereço inferior ou chega primeiro.

Veja também big-endian.


identificador localmente exclusivo

(LUID) Um valor de 64 bits que tem a garantia de ser exclusivo no sistema operacional que o gerou até que o sistema seja reiniciado.


autoridade de registro local

(LRA) Um intermediário entre um editor e uma AC (autoridade de certificação ). O LRA pode, por exemplo, verificar as credenciais de um editor antes de enviá-las para a AC.


Autoridade de Segurança Local

(LSA) Um subsistema protegido que autentica e registra os usuários no sistema local. A LSA também mantém informações sobre todos os aspectos da segurança local em um sistema, coletivamente conhecido como Política de Segurança Local do sistema.


repositório lógico

Consulte o repositório virtual.


dados de logon

Informações apresentadas ao sistema por uma entidade de segurança para autenticação.


identificador de logon

Um LUID que identifica uma sessão de logon. Uma ID de logon é válida até que o usuário faça logon. Uma ID de logon é exclusiva enquanto o computador está em execução; nenhuma outra sessão de logon terá a mesma ID de logon. No entanto, o conjunto de possíveis IDs de logon é redefinido quando o computador é iniciado. Para recuperar a ID de logon de um token de acesso, chame a função GetTokenInformation para TokenStatistics; a ID do logon está no membro AuthenticationId .


sessão de logon

Uma sessão de logon começa sempre que um usuário faz logon em um computador. Todos os processos em uma sessão de logon têm o mesmo token de acesso primário. O token de acesso contém informações sobre o contexto de segurança da sessão de logon, incluindo o SID do usuário, o identificador de logon e o SID de logon.


SID de logon

Um SID ( identificador de segurança ) que identifica uma sessão de logon. Você pode usar o SID de logon em uma DACL para controlar o acesso durante uma sessão de logon. Um SID de logon é válido até que o usuário faça logon. Um SID de logon é exclusivo enquanto o computador está em execução; nenhuma outra sessão de logon terá o mesmo SID de logon. No entanto, o conjunto de SIDs de logon possíveis é redefinido quando o computador é iniciado. Para recuperar o SID de logon de um token de acesso, chame a função GetTokenInformation para TokenGroups.


Funções de mensagem de baixo nível

Funções de gerenciamento de mensagens que operam em um nível mais alto do que as funções criptográficas base. Essas funções fornecem funcionalidade para codificação de dados para transmissão e para decodificação de dados que foram recebidos. As funções de mensagem de baixo nível fornecem mais flexibilidade do que funções de mensagem simplificadas, mas exigem mais chamadas de função.

Consulte também funções de mensagem simplificadas.


LSA

Consulte a Autoridade de Segurança Local.


LUID

Consulte o identificador exclusivo localmente.


MAC

Consulte o código de autenticação de mensagem.


Tecla MAC

Uma chave de código de autenticação de mensagem usada com protocolos Schannel .


chave mestra

A chave usada pelo cliente e pelo servidor para toda a geração de chave de sessão. A chave mestra é usada para gerar a chave de leitura do cliente, a chave de gravação do cliente, a chave de leitura do servidor e a chave de gravação do servidor. As chaves mestras podem ser exportadas como BLOBs de chave simples.


MD2

O nome do algoritmo CryptoAPI para o algoritmo de hash MD2. Outros algoritmos de hash incluem MD4, MD5 e SHA.

Consulte também o algoritmo MD2.


Algoritmo MD2

(MD2) Um algoritmo de hash que cria um valor de hash de 128 bits. O MD2 foi otimizado para uso com computadores de 8 bits. CryptoAPI faz referência a esse algoritmo por seu tipo (CALG_MD2), nome (MAC) e classe (ALG_CLASS_HASH). O MD2 foi desenvolvido pela RSA Data Security, Inc.

Consulte também o algoritmo MD4, algoritmo MD5.


MD4

O nome do algoritmo CryptoAPI para o algoritmo de hash MD4. Outros algoritmos de hash incluem MD2, MD5 e SHA.

Consulte o algoritmo MD4.


Algoritmo MD4

(MD4) Um algoritmo de hash que cria um valor de hash de 128 bits. O MD4 foi otimizado para computadores de 32 bits. Agora é considerado quebrado porque colisões podem ser encontradas muito rapidamente e facilmente. O MD4 foi desenvolvido pela RSA Data Security, Inc.

Consulte também o algoritmo MD2, algoritmo MD5.


MD5

O nome do algoritmo CryptoAPI para o algoritmo de hash MD5. Outros algoritmos de hash incluem MD2, MD4 e SHA.

Consulte também o algoritmo MD5.


Algoritmo MD5

(MD5) Um algoritmo de hash que cria um valor de hash de 128 bits. O MD5 foi otimizado para computadores de 32 bits. CryptoAPI faz referência a esse algoritmo por seu identificador de algoritmo (CALG_MD5), nome (MD5) e classe (ALG_CLASS_HASH). O MD5 foi desenvolvido pela RSA Data Security, Inc. e é especificado pelos tipos de provedor PROV_RSA_FULL, PROV_RSA_SIG, PROV_DSS, PROV_DSS_DH e PROV_MS_EXCHANGE.

Consulte também o algoritmo MD2, algoritmo MD4.


Mensagem

Todos os dados que foram codificados para transmissão ou recebimento de uma pessoa ou entidade. As mensagens podem ser criptografadas para privacidade, assinadas digitalmente para fins de autenticação ou ambas.


resumo da mensagem

Consulte hash.


Código de Autenticação de Mensagem

(MAC) Um algoritmo de hash chave que usa uma chave de sessão simétrica para ajudar a garantir que um bloco de dados tenha mantido sua integridade desde o momento em que foi enviado até o momento em que foi recebido. Ao usar esse tipo de algoritmo, o aplicativo receptor também deve possuir a chave de sessão para recompor o valor de hash para que possa verificar se os dados base não foram alterados. CryptoAPI faz referência a esse algoritmo por seu tipo (CALG_MAC), nome (MAC) e classe (ALG_CLASS_HASH).


tipo de codificação de mensagem

Define como a mensagem é codificada. O tipo de codificação de mensagem é armazenado na palavra de alta ordem da estrutura de tipo de codificação. Os tipos de codificação definidos atualmente são: CRYPT_ASN_ENCODING, X509_ASN_ENCODING e PKCS_7_ASN_ENCODING.


Funções de gerenciamento de mensagens

Funções que fornecem dois níveis de gerenciamento de mensagens: funções de mensagem de baixo nível e funções de mensagem simplificadas. As funções de mensagem de baixo nível fornecem mais flexibilidade do que as funções de mensagem simplificadas; no entanto, eles exigem mais chamadas de função.


funções de assinatura de mensagem

Funções usadas para assinar mensagens e dados.

Consulte também funções de mensagem simplificadas.


MPR

Consulte o Roteador de Vários Provedores.


Roteador de vários provedores

(MPR) Um componente do sistema que lida com comunicações entre o sistema e todos os provedores de rede. O MPR chama as funções do provedor de rede que são expostas por cada provedor de rede.


Instituto Nacional de Padrões e Tecnologia

(NIST) Uma divisão do Departamento de Comércio Estados Unidos que publica padrões oficiais para sistemas de computadores governamentais e do setor privado. Esses padrões são publicados como publicações do FIPS (Federal Information Processing Standards). Em 1987, o NIST foi direcionado para definir padrões para garantir a segurança de informações confidenciais, mas não classificadas em sistemas de computadores governamentais.


Negociar

Um SSP ( provedor de suporte de segurança ) que atua como uma camada de aplicativo entre a SSPI (Interface do Provedor de Suporte de Segurança ) e os outros SSPs. Quando um aplicativo chama o SSPI para fazer logon em uma rede, ele pode especificar um SSP para processar a solicitação. Se o aplicativo especificar Negociar, o Negotiate analisará a solicitação e escolherá o melhor SSP para lidar com a solicitação com base na política de segurança configurada pelo cliente.


NIST

Consulte o Instituto Nacional de Padrões e Tecnologia.


Nonce

Um valor gerado aleatoriamente usado para derrotar ataques de "reprodução".


nonrepudiation

A capacidade de identificar usuários que executaram determinadas ações, contrariando irrefutavelmente todas as tentativas de um usuário de negar a responsabilidade. Por exemplo, um sistema pode registrar a ID de um usuário sempre que um arquivo for excluído.


identificador de objeto

(OID) Um número que identifica exclusivamente uma classe de objeto ou atributo. Um identificador de objeto é representado como uma cadeia de caracteres decimal pontilhada, como 1.2.3.4. Os identificadores de objeto são organizados em uma hierarquia global. Autoridades de registro nacionais emitem identificadores de objetos de raiz para indivíduos ou organizações que gerenciam a hierarquia abaixo de seu identificador de objeto de raiz.

Consulte também a Notação de Sintaxe Abstrata 1, atributo.


OCSP

Consulte o protocolo de status do certificado online.


OFB

Consulte comentários de saída.


OID

Consulte o identificador de objeto.


protocolo de status de certificado online

(OCSP) Um protocolo da Internet usado para obter o status de revogação de um certificado digital X.509.


BLOB opaco

Uma sequência de bytes usados para armazenar chaves de sessão. BLOBs opacos contêm o material de chave base e todas as informações de estado atuais. Isso inclui informações como o valor do sal, o vetor de inicialização e a tabela de chaves. O formato de BLOBs opacos não é publicado. Cada fornecedor de CSP determina seu próprio formato BLOB, que deve incluir criptografar os BLOBs opacos com algum tipo de chave simétrica.


conteúdo externo

Os aprimoramentos de alguns dados encapsulados. Esse termo é usado principalmente ao discutir dados aprimorados (o conteúdo interno) em mensagens PKCS nº 7.


Comentários de saída

(OFB) Um modo de criptografia de bloco que usa comentários semelhantes ao modo CFB (Comentários de Criptografia). A única diferença entre os dois modos é como o registro de turno é preenchido.

Consulte também Comentários de Codificação.


Preenchimento

Uma cadeia de caracteres, normalmente adicionada quando o último bloco de texto não criptografado é curto. Por exemplo, se o comprimento do bloco for de 64 bits e o último bloco contiver apenas 40 bits, 24 bits de preenchimento deverão ser adicionados ao último bloco. A cadeia de caracteres de preenchimento pode conter zeros, zeros alternados e uns ou algum outro padrão. Os aplicativos que usam CryptoAPI não precisam adicionar preenchimento ao texto sem formatação antes de serem criptografados, nem precisam removê-lo após a descriptografação. Tudo isso é tratado automaticamente.


filtro de senha

Uma DLL que fornece a imposição da política de senha e a notificação de alteração. As funções implementadas por filtros de senha são chamadas pela Autoridade de Segurança Local.


armazenamento persistente

Qualquer meio de armazenamento que permaneça intacto quando a energia dele for desconectada. Muitos bancos de dados do repositório de certificados são formas de armazenamento persistente.


PKCS

Consulte padrões de criptografia de chave pública.


PKCS nº 1

Os padrões recomendados para a implementação da criptografia de chave pública com base no algoritmo RSA, conforme definido no RFC 3447.


PKCS nº 12

As Informações Pessoais Exchange Syntax Standard, desenvolvidas e mantidas pela RSA Data Security, Inc. Esse padrão de sintaxe especifica um formato portátil para armazenar ou transportar chaves privadas, certificados e segredos diversos de um usuário.

Consulte também os padrões de criptografia de certificado e chave pública.


PKCS nº 7 dados assinados

Um objeto de dados assinado com o Padrão de Criptografia de Chave Pública nº 7 (PKCS nº 7) e que encapsula as informações usadas para assinar um arquivo. Normalmente, ele inclui o certificado do signatário e o certificado raiz.


PKCS nº 7

A Sintaxe de Mensagem Criptográfica Standard. Uma sintaxe geral para dados aos quais a criptografia pode ser aplicada, como assinaturas digitais e criptografia. Ele também fornece uma sintaxe para disseminar certificados ou listas de revogação de certificados e outros atributos de mensagem, como carimbos de data/hora, para a mensagem.


PKCS_7_ASN_ENCODING

Um tipo de codificação de mensagem. Os tipos de codificação de mensagem são armazenados na palavra de alta ordem de um DWORD (o valor é: 0x00010000).


Plaintext

Uma mensagem que não é criptografada. Às vezes, as mensagens de texto sem formatação são conhecidas como mensagens cleartext.


Imagem de PE (Executável Portátil)

O formato Windows executável padrão.


PRF

Consulte a Função Pseudo-Aleatória.


credenciais primárias

O pacote de autenticação MsV1_0 define um valor de cadeia de caracteres de chave de credencial primária: a cadeia de caracteres de credenciais primárias contém as credenciais fornecidas no momento do logon inicial. Ele inclui o nome de usuário e as formas que diferenciam maiúsculas e minúsculas da senha do usuário.

Consulte também credenciais complementares.


provedor de serviço primário

O provedor de serviços que fornece as interfaces de controle para o cartão. Cada cartão inteligente pode registrar seu provedor de serviços primário no banco de dados de cartão inteligente.


token primário

Um token de acesso que normalmente é criado apenas pelo kernel Windows. Ele pode ser atribuído a um processo para representar as informações de segurança padrão para esse processo.

Consulte também token de acesso e token de representação.


entidade de segurança

Consulte a entidade de segurança.


Privacidade

A condição de ser isolado da exibição ou do segredo. Em relação às mensagens, as mensagens privadas são mensagens criptografadas cujo texto está oculto do modo de exibição. Com relação às chaves, uma chave privada é uma chave secreta escondida dos outros.


chave privada

A metade secreta de um par de chaves usada em um algoritmo de chave pública. As chaves privadas normalmente são usadas para criptografar uma chave de sessão simétrica, assinar digitalmente uma mensagem ou descriptografar uma mensagem que foi criptografada com a chave pública correspondente.

Consulte também a chave pública.


BLOB de chave privada

Um BLOB de chave que contém um par completo de chaves públicas/privadas. BLOBs de chave privada são usados por programas administrativos para transportar pares de chaves. Como a parte da chave privada do par de chaves é extremamente confidencial, esses BLOBs normalmente são mantidos criptografados com uma codificação simétrica. Esses BLOBs de chave também podem ser usados por aplicativos avançados em que os pares de chaves são armazenados dentro do aplicativo, em vez de depender do mecanismo de armazenamento do CSP. Um BLOB de chave é criado chamando a função CryptExportKey .


Privilégio

O direito de um usuário executar várias operações relacionadas ao sistema, como desligar o sistema, carregar drivers de dispositivo ou alterar a hora do sistema. O token de acesso de um usuário contém uma lista dos privilégios mantidos pelo usuário ou pelos grupos do usuário.


Processo

O contexto de segurança no qual um aplicativo é executado. Normalmente, o contexto de segurança é associado a um usuário, portanto, todos os aplicativos em execução em um determinado processo assumem as permissões e privilégios do usuário proprietário.


PROV_DSS

Consulte PROV_DSS tipo de provedor.


PROV_DSS Tipo de Provedor

Tipo de provedor predefinido que dá suporte apenas a assinaturas digitais e hashes. Ele especifica o algoritmo de assinatura DSA e os algoritmos de hash MD5 e SHA-1.


PROV_DSS_DH

Consulte PROV_DSS_DH tipo de provedor.


PROV_DSS_DH tipo de provedor

Tipo de provedor predefinido que fornece troca de chaves, assinatura digital e algoritmos de hash. É semelhante ao tipo de provedor PROV_DSS.


PROV_FORTEZZA

Consulte PROV_FORTEZZA tipo de provedor.


PROV_FORTEZZA tipo de provedor

Tipo de provedor predefinido que fornece troca de chaves, assinatura digital, criptografia e algoritmos de hash. Os protocolos e algoritmos criptográficos especificados por esse tipo de provedor pertencem ao NIST (National Institute of Standards and Technology).


PROV_MS_EXCHANGE

Consulte PROV_MS_EXCHANGE tipo de provedor.


PROV_MS_EXCHANGE tipo de provedor

Tipo de provedor predefinido projetado para as necessidades do Microsoft Exchange, bem como outros aplicativos compatíveis com o Microsoft Mail. Ele fornece troca de chaves, assinatura digital, criptografia e algoritmos de hash.


PROV_RSA_FULL

Consulte PROV_RSA_FULL tipo de provedor.


PROV_RSA_FULL tipo de provedor

Tipo de provedor predefinido definido pela Microsoft e RSA Data Security, Inc. Esse tipo de provedor de uso geral fornece troca de chaves, assinatura digital, criptografia e algoritmos de hash. Os algoritmos de troca de chaves, assinatura digital e criptografia são baseados na criptografia de chave pública RSA.


PROV_RSA_SIG

Consulte PROV_RSA_SIG tipo de provedor.


PROV_RSA_SIG tipo de provedor

Tipo de provedor predefinido definido pela Microsoft e RSA Data Security. Esse tipo de provedor é um subconjunto de PROV_RSA_FULL que fornece apenas algoritmos de assinatura digital e hash. O algoritmo de assinatura digital é um algoritmo de chave pública RSA.


PROV_SSL

Consulte PROV_SSL tipo de provedor.


PROV_SSL tipo de provedor

Tipo de provedor predefinido que dá suporte ao protocolo SSL (Secure Sockets Layer). Esse tipo fornece criptografia de chave, assinatura digital, criptografia e algoritmos de hash. Uma especificação que explica o SSL está disponível na Netscape Communications Corp.


Provedor

Consulte o Provedor de Serviços Criptográficos.


nome do provedor

Um nome usado para identificar um CSP. Por exemplo, o Microsoft Base Cryptographic Provider versão 1.0. O nome do provedor normalmente é usado ao chamar a função CryptAcquireContext para se conectar a um CSP.


tipo de provedor

Um termo usado para identificar um tipo de CSP (provedor de serviços criptográficos). Os CSPs são agrupados em diferentes tipos de provedor que representam famílias específicas de formatos e protocolos de dados padrão. Em contraste com o nome de provedor exclusivo de um CSP, os tipos de provedor não são exclusivos para um determinado CSP. Normalmente, o tipo de provedor é usado ao chamar a função CryptAcquireContext para se conectar a um CSP.


função pseudo-aleatória

(PRF) Uma função que usa uma chave, um rótulo e uma semente como entrada e produz uma saída de comprimento arbitrário.


par de chaves públicas/privadas

Um conjunto de chaves criptográficas usadas para criptografia de chave pública. Para cada usuário, um CSP geralmente mantém dois pares de chaves públicos/privados: um par de chaves de troca e um par de chaves de assinatura digital. Ambos os pares-chave são mantidos de sessão em sessão.

Consulte o par de chaves de troca e o par de chaves de assinatura.


chave pública

Uma chave criptográfica normalmente usada ao descriptografar uma chave de sessão ou uma assinatura digital. A chave pública também pode ser usada para criptografar uma mensagem, garantindo que somente a pessoa com a chave privada correspondente possa descriptografar a mensagem.

Consulte também a chave privada.


algoritmo de chave pública

Uma criptografia assimétrica que usa duas chaves, uma para criptografia, a chave pública e outra para descriptografia, a chave privada. Conforme implícito pelos nomes de chave, a chave pública usada para codificar texto sem formatação pode ser disponibilizada para qualquer pessoa. No entanto, a chave privada deve permanecer em segredo. Somente a chave privada pode descriptografar o texto criptografado. O algoritmo de chave pública usado nesse processo é lento (na ordem de 1.000 vezes mais lento que algoritmos simétricos) e normalmente é usado para criptografar chaves de sessão ou assinar digitalmente uma mensagem.

Consulte também chave pública e chave privada.


BLOB de chave pública

Um BLOB usado para armazenar a parte de chave pública de um par de chaves públicas/privadas. BLOBs de chave pública não são criptografados, pois a chave pública contida dentro não é secreta. Um BLOB de chave pública é criado chamando a função CryptExportKey .


Padrões de criptografia de chave pública

(PKCS) Um conjunto de padrões de sintaxe para criptografia de chave pública que abrange funções de segurança, incluindo métodos para assinatura de dados, troca de chaves, solicitação de certificados, criptografia e descriptografia de chave pública e outras funções de segurança.


criptografia de chave pública

Criptografia que usa um par de chaves, uma chave para criptografar dados e a outra chave para descriptografar dados. Por outro lado, algoritmos de criptografia simétrica que usam a mesma chave para criptografia e descriptografia. Na prática, a criptografia de chave pública normalmente é usada para proteger a chave de sessão usada por um algoritmo de criptografia simétrica. Nesse caso, a chave pública é usada para criptografar a chave de sessão, que, por sua vez, foi usada para criptografar alguns dados e a chave privada é usada para descriptografia. Além de proteger chaves de sessão, a criptografia de chave pública também pode ser usada para assinar digitalmente uma mensagem (usando a chave privada) e validar a assinatura (usando a chave pública).

Consulte também o algoritmo de chave pública.


RC2

O nome do algoritmo CryptoAPI para o algoritmo RC2.

Consulte também o algoritmo de bloco RC2.


Algoritmo de bloco RC2

Um algoritmo de criptografia de dados baseado na criptografia de bloco simétrico de RC2 de 64 bits. O RC2 é especificado por tipos de provedor PROV_RSA_FULL. CryptoAPI faz referência a esse algoritmo por seu identificador (CALG_RC2), nome (RC2) e classe (ALG_CLASS_DATA_ENCRYPT).


RC4

O nome do algoritmo CryptoAPI para o algoritmo RC4.

Consulte também o algoritmo de fluxo RC4.


Algoritmo de fluxo RC4

Um algoritmo de criptografia de dados baseado na codificação de fluxo simétrico RC4. O RC4 é especificado por tipos de provedor PROV_RSA_FULL. CryptoAPI faz referência a esse algoritmo por seu identificador (CALG_RC4), nome (RC4) e classe (ALG_CLASS_DATA_ENCRYPT).


RDN

Consulte o nome distinto relativo.


Leitor

Um dispositivo padrão dentro do subsistema de cartão inteligente . Um IFD (dispositivo de interface) que dá suporte a entrada/saída bidirecional para um cartão inteligente. Ele pode estar associado a um sistema inteiro, a um ou mais grupos de leitores ou a um terminal específico. O subsistema de cartão inteligente permite que um leitor seja dedicado ao terminal ao qual é atribuído. No entanto, atualmente, existe apenas um terminal em um computador.


driver de leitor

Um driver específico que mapeia os serviços de driver para um dispositivo de leitor de hardware específico. Ele deve comunicar eventos de inserção e remoção de cartão para o driver de classe de cartão inteligente para encaminhamento para o gerenciador de recursos de cartão inteligente e deve fornecer recursos de troca de dados para o cartão por qualquer protocolo bruto, T=0, T=1 ou PTS.


grupo de leitores

Um grupo lógico de leitores. Os grupos de leitores podem ser definidos pelo sistema ou criados por usuários ou administradores. Os grupos de leitores são usados por funções de cartão inteligente que podem atuar em grupos de leitores. Para evitar a nomenclatura de colisões com grupos definidos pelo usuário, a Microsoft reserva o uso de qualquer nome que contenha o sinal de dólar ($).


driver auxiliar do leitor

Fornece rotinas comuns de suporte ao driver de cartão inteligente e suporte adicional de protocolo T=0 e T=1 para drivers específicos, conforme necessário.


contagem de referência

Um valor inteiro usado para controlar um objeto COM. Quando um objeto é criado, sua contagem de referência é definida como uma. Sempre que uma interface é associada ao objeto, sua contagem de referência é incrementada; quando a conexão de interface é destruída, a contagem de referência é decrementada. O objeto é destruído quando a contagem de referência atinge zero. Todas as interfaces para esse objeto não são válidas.


nome distinto relativo

(RDN) Uma entidade incluída como assunto em uma solicitação de um certificado. Os elementos em um RDN são definidos por seus atributos e não precisam incluir um nome. Com relação ao CryptoAPI, um RDN é definido por uma estrutura CERT_RDN, que, por sua vez, aponta para uma matriz de estruturas de atributo CERT_RDN_ATTR. Cada estrutura de atributo especifica um único atributo.


identificador relativo

(RID) A parte de um SID ( identificador de segurança ) que identifica um usuário ou grupo em relação à autoridade que emitiu o SID.


repositório realocado

Um repositório de certificados que foi movido de seu local de registro padrão para um local diferente no registro.


repositório remoto

Um repositório de certificados localizado em outro computador, como um servidor de arquivos ou algum outro computador remoto compartilhado.


APDU de resposta

Uma APDU ( unidade de dados de protocolo de aplicativo ) enviada em resposta a uma APDU recebida.


Repúdio

A capacidade de um usuário negar falsamente ter realizado uma ação enquanto outras partes não puderem provar o contrário. Por exemplo, um usuário que excluiu um arquivo e que pode negar com êxito ter feito isso.


gerenciador de recursos

O módulo do subsistema de cartão inteligente que gerencia o acesso a vários leitores e cartões inteligentes. O gerenciador de recursos identifica e rastreia recursos, aloca leitores e recursos em vários aplicativos e dá suporte a primitivos de transação para acessar serviços disponíveis em um determinado cartão.


API do gerenciador de recursos

Um conjunto de funções Windows que fornecem acesso direto aos serviços do gerenciador de recursos.


contexto do gerenciador de recursos

O contexto usado pelo gerenciador de recursos ao acessar o banco de dados de cartão inteligente. O contexto do gerenciador de recursos é usado principalmente pelas funções de consulta e gerenciamento ao acessar o banco de dados. O escopo do contexto do gerenciador de recursos pode ser o usuário atual ou o sistema.


lista de revogação

Consulte a Lista de Revogação de Certificados.


LIVRAR

Consulte o identificador relativo.


autoridade raiz

A AC (autoridade de certificação ) no topo de uma hierarquia de AC. A autoridade raiz certifica as ACs no próximo nível da hierarquia.


certificado raiz

Um certificado de AUTORIDADE de certificação autoassinada (AC) que identifica uma AC. Ele é chamado de certificado raiz porque é o certificado para a AC raiz. A AC raiz deve assinar seu próprio certificado de AC porque, por definição, não há autoridade de certificação mais alta para assinar seu certificado de AC.


RSA

RSA Data Security, Inc., um grande desenvolvedor e editor de padrões de criptografia de chave pública (PKCS). O "RSA" no nome significa os nomes dos três desenvolvedores da empresa e os proprietários: Rivest, Shamir e Adleman.


RSA_KEYX

O nome do algoritmo CryptoAPI para o algoritmo de troca de chaves RSA. CryptoAPI também faz referência a esse algoritmo por seu identificador de algoritmo (CALG_RSA_KEYX) e classe (ALG_CLASS_KEY_EXCHANGE).


RSA_SIGN

O nome do algoritmo CryptoAPI para o algoritmo de assinatura RSA. CryptoAPI também faz referência a esse algoritmo por seu identificador de algoritmo (CALG_RSA_SIGN) e classe (ALG_CLASS_SIGNATURE).


Algoritmo de chave pública RSA

Um algoritmo de troca de chaves e assinatura com base na popular codificação de chave pública RSA. Esse algoritmo é usado por tipos de provedor PROV_RSA_FULL, PROV_RSA_SIG, PROV_MS_EXCHANGE e PROV_SSL. CryptoAPI faz referência a esse algoritmo por seus identificadores (CALG_RSA_KEYX e CALG_RSA_SIGN), nomes (RSA_KEYX e RSA_SIGN) e classe (ALG_CLASS_KEY_EXCHANGE).


S/MIME

Consulte Extensões de Email de Internet Segura/Multipurpose.


SACL

Consulte a lista de controle de acesso do sistema.


valor de sal

Dados aleatórios que às vezes são incluídos como parte de uma chave de sessão. Quando adicionados a uma chave de sessão, os dados de sal sem texto são colocados na frente dos dados de chave criptografados. Valores de sal são adicionados para aumentar o trabalho necessário para montar um ataque de força bruta (dicionário) contra dados criptografados com uma codificação de chave simétrica. Os valores de sal são gerados chamando CryptGenRandom.


SAM

Consulte o Gerenciador de Contas de Segurança.


nome higienizado

A forma de um nome de autoridade de certificação (AC) que é usada em nomes de arquivo (como para uma lista de revogação de certificado) e em chaves do Registro. O processo de limpeza do nome da AC é necessário para remover caracteres que são ilegais para nomes de arquivo, nomes de chave do Registro ou valores de Nome Diferenciado ou que são ilegais por motivos específicos da tecnologia. Nos Serviços de Certificados, o processo de sanitização converte qualquer caractere ilegal no nome comum da AC em uma representação de 5 caracteres no formato **!**xxxx, onde ! é usado como um caractere de escape e xxxx representa quatro inteiros hexadecimais que identificam exclusivamente o caractere que está sendo convertido.


SAS

Confira a sequência de atenção segura.


SCard$DefaultReaders

Um grupo de leitores de terminal que contém todos os leitores atribuídos a esse terminal, no entanto, ele não é reservado para esse uso específico.


SCard$AllReaders

Um grupo de leitores de cartão inteligente em todo o sistema que inclui todos os leitores introduzidos no gerenciador de recursos de cartão inteligente. Os leitores são adicionados automaticamente ao grupo quando são introduzidos no sistema.


SCARD_AUTOALLOCATE

Uma constante do sistema de cartão inteligente que informa ao gerenciador de recursos de cartão inteligente para alocar memória suficiente em si, retornando um ponteiro para o buffer alocado em vez de preencher um buffer fornecido pelo usuário. Em seguida, o buffer retornado deve ser liberado chamando SCardFreeMemory.


SCEP

Consulte protocolo SCEP


Schannel

Um pacote de segurança que fornece autenticação entre clientes e servidores.


sequência de atenção segura

(SAS) Uma sequência de chaves que inicia o processo de logon ou desativação. A sequência padrão é CTRL+ALT+DEL.


Transação eletrônica segura

(SET) Um protocolo para transações eletrônicas seguras pela Internet.


Algoritmo de hash seguro

(SHA) Um algoritmo de hash que gera um resumo de mensagem. SHA é usado com o Algoritmo de Assinatura Digital (DSA) no DSS (Digital Signature Standard), entre outros locais. CryptoAPI faz referência a esse algoritmo pelo identificador do algoritmo (CALG_SHA), nome (SHA) e classe (ALG_CLASS_HASH). Há quatro variedades de SHA: SHA-1, SHA-256, SHA-384 e SHA-512. SHA-1 gera um resumo de mensagem de 160 bits. SHA-256, SHA-384 e SHA-512 geram resumos de mensagens de 256 bits, 384 bits e 512 bits, respectivamente. SHA foi desenvolvido pelo Instituto Nacional de Padrões e Tecnologia (NIST) e pela Agência Nacional de Segurança (NSA).


Padrão de Hash Seguro

Um padrão projetado pelo NIST e pela NSA. Esse padrão define o Algoritmo de Hash Seguro (SHA-1) para uso com o DSS (Digital Signature Standard).

Consulte também o Algoritmo de Hash Seguro.


Protocolo De Camada de Soquetes Seguros

(SSL) Um protocolo para comunicações de rede segura usando uma combinação de tecnologia de chave pública e secreta.


Extensões de Email de Internet Segura/Multiuso

(S/MIME) Um padrão de segurança de email que usa a criptografia de chave pública.


Gerenciador de Contas de Segurança

(SAM) Um serviço de Windows usado durante o processo de logon. O SAM mantém informações da conta de usuário, incluindo grupos aos quais um usuário pertence.


contexto de segurança

Os atributos de segurança ou as regras que estão em vigor no momento. Por exemplo, o usuário atual fez logon no computador ou no número de identificação pessoal inserido pelo usuário do cartão inteligente. Para SSPI, um contexto de segurança é uma estrutura de dados opaca que contém dados de segurança relevantes para uma conexão, como uma chave de sessão ou uma indicação da duração da sessão.


descritor de segurança

Uma estrutura e dados associados que contêm as informações de segurança de um objeto protegível. Um descritor de segurança identifica o proprietário do objeto e o grupo primário. Ele também pode conter uma DACL que controla o acesso ao objeto e um SACL que controla o registro em log de tentativas de acessar o objeto.

Consulte também descritor de segurança absoluto, lista de controle de acesso discricionário, descritor de segurança auto-relativo, lista de controle de acesso do sistema.


identificador de segurança

(SID) Uma estrutura de dados de comprimento variável que identifica contas de usuário, grupo e computador. Cada conta em uma rede recebe um SID exclusivo quando a conta é criada pela primeira vez. Processos internos em Windows referem-se ao SID de uma conta em vez do nome de usuário ou grupo da conta.


pacote de segurança

A implementação de software de um protocolo de segurança. Os pacotes de segurança estão contidos em DLLs do provedor de suporte de segurança ou DLLs de pacote de autenticação/provedor de suporte de segurança.


protocolo de segurança

Uma especificação que define objetos de dados relacionados à segurança e regras sobre como os objetos são usados para manter a segurança em um sistema de computador.


entidade de segurança

Uma entidade reconhecida pelo sistema de segurança. As entidades de segurança podem incluir usuários humanos, bem como processos autônomos.


provedor de suporte de segurança

(SSP) Uma DLL (biblioteca de vínculo dinâmico) que implementa o SSPI disponibilizando um ou mais pacotes de segurança para aplicativos. Cada pacote de segurança fornece mapeamentos entre as chamadas de função SSPI de um aplicativo e as funções de um modelo de segurança real. Os pacotes de segurança dão suporte a protocolos de segurança, como a autenticação Kerberos e o Microsoft LAN Manager.


Interface do provedor de suporte de segurança

(SSPI) Uma interface comum entre aplicativos de nível de transporte, como a RPC (Chamada de Procedimento Remoto da Microsoft) e provedores de segurança, como Windows Segurança Distribuída. A SSPI permite que um aplicativo de transporte chame um dos vários provedores de segurança para obter uma conexão autenticada. Essas chamadas não exigem amplo conhecimento dos detalhes do protocolo de segurança.


descritor de segurança auto-relativo

Um descritor de segurança que armazena todas as suas informações de segurança em um bloco contíguo de memória.

Consulte também o descritor de segurança.


Serializar

O processo de converter dados em uma cadeia de caracteres de zeros e uns para que possam ser transmitidos em série. A codificação faz parte desse processo.


Formato do Repositório de Certificados Serializado

(SST) O formato do Repositório de Certificados Serializado é o único formato que preserva todas as propriedades do repositório de certificados. Ela é útil em casos como quando as raízes foram configuradas com propriedades personalizadas de EKU e você deseja movê-las para outro computador.


Servidor

Um computador que responde a comandos de um computador cliente. O cliente e o servidor trabalham juntos para executar a funcionalidade de aplicativo distributivo.

Consulte também o cliente.


certificado do servidor

Refere-se a um certificado usado para autenticação de servidor, como autenticar um servidor Web em um navegador da Web. Quando um cliente do navegador da Web tenta acessar um servidor Web seguro, o servidor envia seu certificado para o navegador para permitir que ele verifique a identidade do servidor.


criptografia com portão de servidor

(SGC) Uma extensão da SSL (Secure Sockets Layer) que permite que organizações, como instituições financeiras, que têm versões de exportação de Serviços de Informações da Internet (IIS) usem criptografia forte (por exemplo, criptografia de 128 bits).


nome da entidade de serviço

(SPN) O nome pelo qual um cliente identifica exclusivamente uma instância de um serviço. Se você instalar várias instâncias de um serviço em computadores em uma floresta, cada instância deverá ter seu próprio SPN. Uma determinada instância de serviço pode ter vários SPNs se houver vários nomes que os clientes podem usar para autenticação


provedor de serviços (cartão inteligente)

Um componente de subsistema de cartão inteligente que fornece acesso a serviços específicos de cartão inteligente por meio de interfaces COM.

Consulte também o provedor de serviços primário.


Sessão

Uma troca de mensagens sob a proteção de uma única parte do material de chave. Por exemplo, as sessões SSL usam uma única chave para enviar várias mensagens para frente e para trás sob essa chave.


chave de sessão

Uma chave criptográfica relativamente curta, geralmente negociada por um cliente e um servidor com base em um segredo compartilhado. O tempo de vida de uma chave de sessão é limitado pela sessão à qual ela está associada. Uma chave de sessão deve ser forte o suficiente para resistir à criptanalise para o tempo de vida da sessão. Quando as chaves de sessão são transmitidas, elas geralmente são protegidas com chaves de troca de chaves (que geralmente são chaves assimétricas) para que somente o destinatário pretendido possa acessá-las. As chaves de sessão podem ser derivadas de valores de hash chamando a função CryptDeriveKey .


esquema de derivação de chave de sessão

Especifica quando uma chave é derivada de um hash. Os métodos usados dependem do tipo CSP.


DEFINIR

Consulte Transação Eletrônica Segura.


SHA

O nome CryptoAPI para o Algoritmo de Hash Seguro, SHA-1. Outros algoritmos de hash incluem MD2, MD4 e MD5.

Consulte também o Algoritmo de Hash Seguro.


SHS

Consulte Secure Hash Standard.


SID

Consulte o identificador de segurança.


Funções de assinatura e verificação de dados

Funções de mensagem simplificadas usadas para assinar mensagens de saída e verificar a autenticidade das assinaturas aplicadas em mensagens recebidas e dados relacionados.

Consulte funções de mensagem simplificadas.


certificado de assinatura

Um certificado que contém uma chave pública usada para verificar assinaturas digitais.


arquivo de assinatura

Um arquivo que contém a assinatura de um CSP ( provedor de serviços criptográficos ) específico. O arquivo de assinatura é necessário para garantir que o CryptoAPI reconheça o CSP. CryptoAPI valida essa assinatura periodicamente para garantir que o CSP não tenha sido adulterado.


funções de assinatura

Funções usadas para criar e verificar assinaturas digitais.

Consulte também funções de mensagem simplificadas.


par de chaves de assinatura

O par de chaves pública/privada usado para autenticar mensagens (assinatura digital). Pares de chave de assinatura são criados chamando CryptGenKey.

Consulte também o par de chaves de troca.


chave privada de assinatura

A chave privada de um par de chaves de assinatura.

Consulte o par de chaves de assinatura.


dados assinados e envelopes

Um tipo de conteúdo de dados definido pelo PKCS nº 7. Esse tipo de dados consiste em conteúdo criptografado de qualquer tipo, chaves de criptografia de conteúdo criptografadas para um ou mais destinatários e hashes de mensagem criptografados duplamente para um ou mais signatários. A criptografia dupla consiste em uma criptografia com a chave privada de um signatário seguida de uma criptografia com a chave de criptografia de conteúdo.


dados assinados

Um tipo de conteúdo de dados definido pelo PKCS nº 7. Esse tipo de dados consiste em qualquer tipo de conteúdo mais hashes de mensagem criptografados (resumos) do conteúdo para zero ou mais signatários. Os hashes resultantes podem ser usados para confirmar quem assinou a mensagem. Esses hashes também confirmam que a mensagem original não foi modificada desde que a mensagem foi assinada.


protocolo SCEP

(SCEP) Um acrônimo que significa protocolo SCEP. Atualmente, o protocolo é um padrão de Internet de rascunho que define a comunicação entre dispositivos de rede e uma RA (autoridade de registro) para registro de certificado. Para obter mais informações, consulte o White Paper de Implementação do Microsoft SCEP.


BLOB de chave simples

Uma chave de sessão criptografada com a chave pública de troca de chaves do usuário de destino. Esse tipo de BLOB de chave é usado ao armazenar uma chave de sessão ou transmitir uma chave de sessão para outro usuário. Um BLOB de chave é criado chamando CryptExportKey.


Funções de mensagem simplificadas

Funções de gerenciamento de mensagens, como criptografia de mensagens, descriptografia, assinatura e funções de verificação de assinatura. As funções de mensagem simplificadas operam em um nível mais alto do que as funções criptográficas base ou as funções de mensagem de baixo nível. As funções de mensagem simplificadas encapsulam várias das funções base de criptografia, mensagem de baixo nível e certificado em uma única função que executa uma tarefa específica de maneira específica, como criptografar uma mensagem PKCS nº 7 ou assinar uma mensagem.

Consulte também funções de mensagem de baixo nível.


logon único

(SSO) A capacidade de vincular uma conta microsoft (como uma conta microsoft Outlook.com) com uma conta local para que um logon permita que o usuário use outros aplicativos que dão suporte à entrada com sua conta Microsoft.


SIP

Consulte o pacote de interface do assunto.


certificado do site

Certificados de servidor e certificados de autoridade de certificação (AC) às vezes são chamados de certificados de site. Ao fazer referência a um certificado de servidor, o certificado identifica o servidor Web que apresenta o certificado. Ao fazer referência a um certificado de AC, o certificado identifica a AC que emite certificados de autenticação de servidor e/ou cliente para os servidores e clientes que solicitam esses certificados.


Skipjack

Um algoritmo de criptografia especificado como parte do pacote de criptografia fortezza. Skipjack é uma codificação simétrica com um comprimento de chave fixo de 80 bits. Skipjack é um algoritmo classificado criado pela Agência de Segurança Nacional (NSA) do Estados Unidos. Os detalhes técnicos do algoritmo Skipjack são secretos.


cartão inteligente

Um ICC (cartão de circuito integrado) de propriedade de um indivíduo ou um grupo cujas informações devem ser protegidas de acordo com atribuições de propriedade específicas. Ele fornece seu próprio controle de acesso físico; sem o subsistema de cartão inteligente colocando controle de acesso adicional no cartão inteligente. Um cartão inteligente é um cartão plástico que contém um circuito integrado compatível com o ISO 7816.


Caixa de diálogo comum do cartão inteligente

Uma caixa de diálogo comum que auxilia o usuário na seleção e localização de um cartão inteligente. Ele funciona com os serviços de gerenciamento de banco de dados de cartão inteligente e serviços de leitor para ajudar o aplicativo e, se necessário, o usuário, para identificar qual cartão inteligente usar para uma determinada finalidade.


banco de dados de cartão inteligente

O banco de dados usado pelo gerenciador de recursos para gerenciar recursos. Ele contém uma lista de cartões inteligentes conhecidos, as interfaces e o provedor de serviços primário de cada cartão e leitores de cartão inteligente conhecidos e grupos de leitores.


subsistema de cartão inteligente

O subsistema usado para fornecer um link entre leitores de cartão inteligente e aplicativos com reconhecimento de cartão inteligente.


Certificado de Publisher de software

(SPC) Um objeto de dados assinados PKCS nº 7 que contém certificados X.509.


SPC

Consulte o Certificado de Publisher de Software.


SPN

Consulte o nome da entidade de serviço.


SSL

Consulte o protocolo Secure Sockets Layer.


Algoritmo de Autenticação de Cliente SSL3

Um algoritmo usado para autenticação de cliente no Secure Sockets Layer (SSL) versão 3. No protocolo SSL3, uma concatenação de um hash MD5 e um hash SHA-1 é assinada com uma chave privada RSA. O CryptoAPI e os provedores criptográficos avançados e base da Microsoft dão suporte ao SSL3 com o tipo de hash CALG_SSL3_SHAMD5.


Protocolo SSL3

Versão 3 do protocolo SSL (Secure Sockets Layer).


SSO

Veja logon único.


SSP

Consulte o provedor de suporte à segurança.


SSPI

Consulte a interface do provedor de suporte à segurança.


SST

Consulte o formato do Repositório de Certificados Serializado.


Estado

O conjunto de todos os valores persistentes associados a uma entidade criptográfica, como uma chave ou um hash. Esse conjunto pode incluir coisas como o vetor de inicialização (IV) que está sendo usado, o algoritmo que está sendo usado ou o valor da entidade já calculado.


codificação de fluxo

Uma criptografia que criptografa dados serialmente, um bit de cada vez.

Consulte também a codificação de blocos.


Pacote de subautenticação

Uma DLL opcional que fornece funcionalidade de autenticação adicional, geralmente estendendo o algoritmo de autenticação. Se um pacote de subautenticação for instalado, o pacote de autenticação chamará o pacote de subautenticação antes de retornar seu resultado de autenticação para a Autoridade de Segurança Local (LSA).

Consulte também a Autoridade de Segurança Local.


pacote de interface do assunto

(SIP) Uma especificação proprietária da Microsoft para uma camada de software que permite que os aplicativos criem, armazenem, recuperem e verifiquem uma assinatura de assunto. Os sujeitos incluem, mas não estão limitados a imagens executáveis portáteis (.exe), imagens de gabinete (.cab), arquivos simples e arquivos de catálogo. Cada tipo de assunto usa um subconjunto diferente de seus dados para cálculo de hash e requer um procedimento diferente para armazenamento e recuperação. Portanto, cada tipo de assunto tem uma especificação de pacote de interface de assunto exclusiva.


Suite B

Um conjunto de algoritmos criptográficos declarados abertamente pela Agência de Segurança Nacional dos EUA como parte de seu programa de modernização criptográfica.


credenciais suplementares

Credenciais para uso na autenticação de uma entidade de segurança para domínios de segurança estrangeira.

Consulte também as credenciais primárias.


algoritmo simétrico

Um algoritmo criptográfico que normalmente usa uma única chave, geralmente conhecida como chave de sessão, para criptografia e descriptografia. Algoritmos simétricos podem ser divididos em duas categorias, algoritmos de fluxo e algoritmos de bloco (também chamados de criptografiasde fluxo e bloco).


criptografia simétrica

Criptografia que usa uma única chave para criptografia e descriptografia. A criptografia simétrica é preferencial ao criptografar grandes quantidades de dados. Alguns dos algoritmos de criptografia simétrica mais comuns são RC2, RC4 e DES ( Data Encryption Standard ).

Consulte também a criptografia de chave pública.


chave simétrica

Uma chave secreta usada com um algoritmo criptográfico simétrico (ou seja, um algoritmo que usa a mesma chave para criptografia e descriptografia). Essa chave precisa ser conhecida por todas as partes comunicantes.


lista de controle de acesso do sistema

(SACL) Uma ACL que controla a geração de mensagens de auditoria para tentativas de acessar um objeto protegível. A capacidade de obter ou definir o SACL de um objeto é controlada por um privilégio normalmente mantido somente pelos administradores do sistema.

Veja também lista de controle de acesso, lista de controle de acesso discricionário, privilégio.


interface do programa do sistema

O conjunto de funções fornecidas por um CSP ( provedor de serviços criptográficos ) que implementa as funções de um aplicativo.


Protocolo T=0

Um protocolo de transmissão meio duplex assíncrono orientado a caracteres.


Protocolo T=1

Um protocolo de transmissão meio duplex assíncrono orientado a blocos.


Terminal

Uma combinação de monitor, teclado, mouse e periféricos co-localizados, como leitores de cartão inteligente. Vários processos podem estar associados a um único terminal, mas apenas um processo controla o terminal a qualquer momento.


protocolo de troca de chaves de três fases

Um protocolo usado para gerar uma conexão autenticada e criptografada entre dois usuários em uma rede não seguras. Os usuários trocam um conjunto de mensagens para negociar um par de chaves de criptografia. Uma chave é usada pelo remetente para criptografar mensagens enviadas ao receptor e a outra é usada pelo receptor para criptografar mensagens enviadas ao remetente. Esse protocolo garante que ambos os usuários estejam ativos e estejam enviando mensagens diretamente uns para os outros.


Impressão digital

O hash SHA-1 de um certificado.


TLS

Consulte o protocolo segurança da camada de transporte.


Token

Consulte o token de acesso.


Transação

Uma operação que permite que você execute várias interações como uma única operação. As etapas intermediárias não são realmente executadas até que todas as interações sejam concluídas com êxito. Se alguma interação falhar, todas as etapas serão retornadas para a configuração original.


camada de transporte

A camada de rede responsável pela qualidade do serviço e pela entrega precisa de informações. Entre as tarefas executadas nessa camada estão a detecção e correção de erros.


Protocolo de segurança da camada de transporte

(TLS) Um protocolo que fornece privacidade e segurança de comunicações entre dois aplicativos que se comunicam por uma rede.


DES triplo

Uma variação do algoritmo de criptografia de bloco de DES que criptografa texto sem formatação com uma chave, criptografa o texto cifrado resultante com uma segunda chave e, por fim, criptografa o resultado da segunda criptografia com uma terceira chave. O DES triplo é um algoritmo simétrico que usa o mesmo algoritmo e chaves para criptografia e descriptografia.


Administrador

A conta de usuário, a conta de grupo ou a sessão de logon à qual uma ACE (entrada de controle de acesso) se aplica. Cada ACE em uma ACL (lista de controle de acesso) se aplica a um administrador.

Consulte também a lista de controle de acesso e entrada de controle de acesso.


lista de confiança

Consulte a lista de confiança do certificado.


provedor de confiança

O software que decide se um determinado arquivo é confiável. Essa decisão é baseada no certificado associado ao arquivo.


UCS

Consulte o conjunto de caracteres universal.


Unicode

Um padrão de codificação de caracteres em todo o mundo que permite que mais informações sejam contidas em cada cadeia de caracteres definindo cadeias de caracteres de 16 bits em vez das cadeias de caracteres padrão de 8 bits. O Unicode permite a troca universal de dados e melhora o processamento de texto multilíngue. Cadeias de caracteres Unicode também são chamadas de cadeias de caracteres largas.


Conjunto universal de caracteres

(UCS) Um conjunto de caracteres de 16 bits.


identificador de segurança universal conhecido

Um SID ( identificador de segurança ) conhecido em todos os sistemas que seguem o modelo de segurança com base em usuários autenticados e controle de acesso discricionário.


UPN

Consulte o nome da entidade de segurança do usuário.


Usuário

Um usuário de um sistema é identificado por um procedimento de logon, que estabelece um processo pelo qual os aplicativos podem ser executados e acessar outros objetos relevantes à segurança. Um exemplo de procedimento de logon é usar um cartão inteligente, possivelmente em conjunto com uma senha ou um PIN (número de identificação pessoal).


interface do usuário (Cartão Inteligente)

Uma caixa de diálogo comum que permite que o usuário se conecte a um cartão inteligente e use-o em um aplicativo. Usando a caixa de diálogo, o usuário pode especificar um cartão específico ou pesquisar o cartão inteligente a ser aberto.


nome da entidade de usuário

(UPN) Um nome de conta de usuário (às vezes chamado de nome de logon de usuário) e um nome de domínio que identifica o domínio no qual a conta de usuário está localizada. Esse é o uso padrão para fazer logon em um domínio Windows. O formato é: someone@example.com (quanto a um endereço de email).


loja virtual

Um repositório de certificados que consiste em uma coleção de outros repositórios de certificados. Uma única função de pesquisa ou enumeração em uma loja virtual pesquisará todas as lojas que são membros do conjunto de lojas virtuais. Qualquer adição a uma loja virtual adicionará um elemento a um dos membros desse repositório.


Virtualização

Um recurso do Controle de Conta de Usuário (UAC) que permite que as operações de registro e arquivo por computador direcionem locais virtuais, por usuário e de registro, em vez dos locais reais por computador.


Winlogon

Uma parte do sistema operacional Windows que fornece suporte a logon interativo. O Winlogon foi projetado em torno de um modelo de logon interativo que consiste em três partes: o executável Winlogon, uma DLL (biblioteca de vínculo dinâmico) de Identificação Gráfica e Autenticação conhecida como GINA e qualquer número de provedores de rede.


X.200

Um padrão de INTERconexão de Sistemas Abertos (OSI).


X.208

O padrão ITU que define o ASN.1.


X.209

O padrão ITU que define codificações BER para objetos ASN.1.

Consulte também Regras básicas de codificação.


X.400

O padrão ITU que define tokens de mensagem.


X.500

O padrão ITU que define a estrutura de um dicionário global.


X.509

Um padrão reconhecido internacionalmente para certificados que definem suas partes necessárias.


X509_ASN_ENCODING

Tipo de codificação que especifica a codificação de certificado. Os tipos de codificação de certificado são armazenados na palavra de baixa ordem de um DWORD (o valor é: 0x00000001). Esse tipo de codificação é funcionalmente o mesmo que CRYPT_ASN_ENCODING.


XOR

OR exclusivo. Uma operação booliana que só produzirá true se um de seus operandos for verdadeiro e o outro for falso. Se ambos os operandos forem iguais (verdadeiros ou falsos), a operação produzirá false.