Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Alcuni termini usati per discutere della sicurezza potrebbero non essere familiari. In questo argomento vengono fornite brevi spiegazioni di alcuni termini di sicurezza, ma non è prevista la documentazione completa per ogni elemento.
Per altre informazioni sui termini usati nella documentazione di Windows Communication Foundation (WCF), vedere Concetti fondamentali di Windows Communication Foundation.
elenco di controllo di accesso (ACL)
Elenco di protezioni di sicurezza applicabili a un oggetto . Un oggetto può essere un file, un processo, un evento o qualsiasi altro elemento con un descrittore di sicurezza. Una voce in un elenco di controllo di accesso è una voce di controllo di accesso (ACE). Esistono due tipi di ACL: discrezionale e sistema.
autenticazione
Il processo per verificare che un utente, un computer, un servizio o un processo sia chi o cosa dichiara di essere.
autorizzazione
L'atto di controllare l'accesso e i diritti di una risorsa. Ad esempio, consentendo ai membri di un gruppo di leggere un file, ma consentendo solo ai membri di un altro gruppo di modificare il file.
Certificato dell'autorità di certificazione (CA)
Identifica la CA che rilascia certificati di autenticazione client e server ai server e ai client che richiedono questi certificati. Poiché contiene una chiave pubblica usata nelle firme digitali, viene anche definita certificato di firma. Se la CA è un'autorità radice, il certificato della CA può essere definito certificato radice. A volte noto anche come certificato del sito.
Gerarchia dell'Autorità di Certificazione
Una gerarchia CA contiene più CA. È organizzato in modo che ogni CA sia certificata da un'altra CA in un livello superiore della gerarchia fino al raggiungimento del vertice della gerarchia, noto anche come autorità radice.
certificato
Attestato dotato di firma digitale contenente informazioni su un'entità e sulla relativa chiave pubblica. Un certificato consente quindi di associare fra loro questi due dati. Un certificato viene emesso da un'organizzazione attendibile (o da un'entità), denominata autorità di certificazione, dopo che l'autorità ha verificato che l'entità è chi è.
I certificati possono contenere vari tipi di dati. Ad esempio, un certificato X.509 contiene il formato del certificato, il numero di serie del certificato, l'algoritmo utilizzato per firmare il certificato, il nome della CA che ha rilasciato il certificato, il nome e la chiave pubblica dell'entità che richiede il certificato e la firma della CA.
archivio certificati
Un archivio certificati è in genere un archivio permanente in cui vengono memorizzati i certificati, gli elenchi di revoche di certificati (CRL, Certificate Revocation List) e gli elenchi di certificati attendibili (CTL, Certificate Trust List). Quando si utilizzano certificati che non richiedono un'archiviazione permanente è tuttavia possibile creare e aprire un archivio certificati che risiede soltanto in memoria.
rivendicazioni
Informazioni passate da un'entità a un'altra usate per stabilire l'identità del mittente. Ad esempio, un nome utente e un token di password o un certificato X.509.
certificato del client
Fa riferimento a un certificato usato per l'autenticazione client, ad esempio l'autenticazione di un Web browser in un server Web. Quando un client del Web browser tenta di accedere a un server Web protetto, il client invia il certificato al server per consentirgli di verificare l'identità del client.
credenziali
Dati di accesso autenticati in precedenza usati da un'entità di sicurezza per stabilire la propria identità, ad esempio una password o un ticket di protocollo Kerberos. Le credenziali vengono usate per controllare l'accesso alle risorse.
dati elaborati
Tipo di contenuto di dati definito da PKCS (Public Key Cryptographic Standard) #7 costituito da qualsiasi tipo di dati e da un hash del messaggio (digest) del contenuto.
firma digitale
Dati che associano l'identità di un mittente alle informazioni inviate. Una firma digitale può essere in bundle con qualsiasi messaggio, file o altre informazioni codificate digitalmente o trasmesse separatamente. Le firme digitali vengono usate negli ambienti a chiave pubblica e forniscono servizi di autenticazione e integrità.
codifica
Modalità di conversione dei dati in flussi di bit. La codifica è una parte del processo di serializzazione che converte i dati in un flusso di zero e uno.
coppia di chiavi di scambio
Coppia di chiavi pubblica/privata utilizzata per crittografare le chiavi di sessione affinché possano essere archiviate e scambiate in modo sicuro con altri utenti.
Hash
Valore numerico a dimensione fissa ottenuto applicando una funzione matematica (vedere algoritmo hash) a una quantità arbitraria di dati. I dati in genere includono dati casuali, noti come nonce. Sia il servizio che il client contribuiscono allo scambio di nonces per aumentare la complessità del risultato. Il risultato è conosciuto anche come digest del messaggio. L'invio di un valore hash è più sicuro rispetto all'invio di dati sensibili, ad esempio una password, anche se la password è crittografata. Il mittente e il ricevitore hash devono accettare l'algoritmo hash e i nonce in modo che, una volta ricevuti, sia possibile verificare un hash.
algoritmo hash
Algoritmo utilizzato per generare un valore hash relativo a un dato, ad esempio un messaggio o una chiave di sessione. Alcuni esempi tipici di algoritmi di hash sono MD2, MD4, MD5 e SHA-1.
Protocollo Kerberos
Protocollo che definisce la modalità di interazione fra i client e il servizio di autenticazione di rete. I client ottengono ticket dal centro di distribuzione chiave Kerberos (KDC, Kerberos Key Distribution Center) e quindi presentano questi ticket ai server durante la procedura di connessione. I ticket Kerberos rappresentano le credenziali di rete del client.
autorità di sicurezza locale (LSA)
Sottosistema protetto che autentica e registra gli utenti nel sistema locale. LSA gestisce anche informazioni su tutti gli aspetti della sicurezza locale in un sistema, collettivamente noti come criteri di sicurezza locali del sistema.
Negoziare
Provider di supporto per la sicurezza (SSP) che funge da livello applicativo tra l'Interfaccia Provider di Supporto per la Sicurezza (SSPI) e gli altri provider di servizi di sicurezza. Un'applicazione che chiama l'interfaccia SSPI per accedere a una rete può specificare un provider SSP per l'elaborazione della richiesta. Se l'applicazione specifica Negotiate, Negotiate analizza la richiesta e seleziona il provider di servizi condivisi migliore per gestire la richiesta in base ai criteri di sicurezza configurati dal cliente.
nonce
Valore generato in modo casuale usato per sconfiggere gli attacchi "replay".
non ripudio
La possibilità di identificare gli utenti che hanno eseguito determinate azioni, in modo inconfutabile di contrastare eventuali tentativi da parte di un utente di negare la responsabilità. Ad esempio, un sistema può registrare l'ID di un utente ogni volta che un file viene eliminato.
PkCS (Public Key Cryptography Standard)
Specifiche prodotte da RSA Data Security, Inc. in collaborazione con sviluppatori di sistemi sicuri in tutto il mondo per accelerare la distribuzione della crittografia a chiave pubblica.
PKCS #7
Standard della sintassi dei messaggi crittografati. Si tratta di una sintassi generale per dati crittografabili, come firme digitali e crittografia, Fornisce inoltre la sintassi per la diffusione di certificati o elenchi di revoche di certificati e altri attributi del messaggio, ad esempio timestamp, al messaggio.
Plaintext
Un messaggio che non è crittografato. I messaggi di testo non crittografato vengono talvolta definiti messaggi di testo non crittografato .
privilegio
Diritto di un utente a eseguire varie operazioni di sistema, come l'arresto del sistema, il caricamento dei driver di periferica o la modifica dell'ora del sistema. Il token di accesso di un utente contiene un elenco dei privilegi contenuti dall'utente o dai gruppi dell'utente.
chiave privata
Metà segreta di una coppia di chiavi usata in un algoritmo a chiave pubblica. Le chiavi private vengono in genere utilizzate per crittografare una chiave di sessione simmetrica, includere una firma digitale in un messaggio o decrittografare un messaggio crittografato con la chiave pubblica corrispondente. Vedere anche "chiave pubblica".
processo
Contesto di sicurezza in cui un'applicazione viene eseguita. In genere, il contesto di sicurezza è associato a un utente, pertanto tutte le applicazioni che sono in esecuzione all'interno di un dato processo ereditano le autorizzazioni e i privilegi dell'utente che le possiede.
coppia di chiavi pubblica/privata
Coppia di chiavi di crittografia utilizzata nella crittografia a chiave pubblica. Per ogni utente, un provider di servizi di crittografia (CSP) mantiene in genere due coppie di chiavi pubbliche/private: una coppia di chiavi di scambio e una coppia di chiavi di firma digitale. Entrambe le coppie di chiavi vengono mantenute di sessione in sessione.
chiave pubblica
Chiave di crittografia in genere utilizzata per decrittografare una chiave di sessione o una firma digitale. La chiave pubblica può inoltre essere utilizzata per crittografare un messaggio in modo che possa essere decrittografato soltanto tramite la chiave privata corrispondente.
crittografia della chiave pubblica
Crittografia basata su una coppia di chiavi, una per crittografare i dati e l'altra per decrittografarli. Gli algoritmi di crittografia simmetrica utilizzano invece un'unica chiave sia per crittografare sia per decrittografare i dati. In pratica, la crittografia a chiave pubblica viene in genere usata per proteggere la chiave di sessione usata da un algoritmo di crittografia simmetrica. In questo caso, la chiave pubblica viene utilizzata per crittografare la chiave di sessione che a sua volta è stata utilizzata per crittografare i dati, mentre la chiave privata viene utilizzata per la decrittografia. Oltre a proteggere le chiavi di sessione, la crittografia a chiave pubblica può essere utilizzata per includere una firma digitale in un messaggio (tramite la chiave privata) e convalidare tale firma (tramite la chiave pubblica).
infrastruttura a chiave pubblica (PKI)
Infrastruttura che fornisce un set integrato di servizi e strumenti di amministrazione per la creazione, la distribuzione e la gestione di applicazioni a chiave pubblica.
ripudio
Possibilità di un utente di negare falsamente l'esecuzione di un'azione mentre altre parti non possono dimostrare diversamente. Ad esempio, un utente che elimina un file e che può negare l'esecuzione di questa operazione.
autorità radice
Autorità di Certificazione (CA) al vertice di una gerarchia di Autorità di Certificazione. L'autorità di root certifica le CA nel livello successivo della gerarchia.
Secure Hash Algorithm (SHA)
Algoritmo hash che genera un digest del messaggio. SHA è utilizzato insieme a molte tecnologie, fra cui l'algoritmo Digital Signature Algorithm (DSA) dello standard Digital Signature Standard (DSS). Esistono quattro versioni di SHA: SHA-1, SHA-256, SHA-384 e SHA-512. SHA-1 genera un digest del messaggio a 160 bit. SHA-256, SHA-384 e SHA-512 generano rispettivamente un digest del messaggio a 256, 384 e 512 bit. SHA è stato sviluppato dall'istituto National Institute of Standards and Technology (NIST) e dall'agenzia National Security Agency (NSA).
SSL (Secure Sockets Layer)
Protocollo per comunicazioni di rete sicure tramite una combinazione di tecnologia a chiave pubblica e privata.
contesto di sicurezza
Attributi o regole di sicurezza correntemente applicati. Ad esempio, l'utente attualmente connesso al computer o il numero di identificazione personale inserito dall'utente della smart card. Per l'interfaccia SSPI, un contesto di sicurezza è una struttura non trasparente di dati che contiene dati di sicurezza relativi a una connessione, ad esempio una chiave di sessione o un'indicazione della durata della sessione.
principale di sicurezza
Entità riconosciuta dal sistema di sicurezza. I principali possono includere utenti umani così come processi autonomi.
fornitore di supporto alla sicurezza (SSP)
Libreria a collegamento dinamico (DLL) che implementa SSPI rendendo disponibili uno o più pacchetti di sicurezza per le applicazioni. Ogni pacchetto di sicurezza fornisce associazioni tra le chiamate di funzione dell'interfaccia SSPI di un'applicazione e le funzioni di un modello di sicurezza effettivo. I pacchetti di sicurezza supportano protocolli di sicurezza come l'autenticazione Kerberos e Microsoft LAN Manager (LanMan).
Interfaccia del Provider di Supporto alla Sicurezza (SSPI)
Interfaccia comune tra applicazioni a livello di trasporto, come RPC (Remote Procedure Call) di Microsoft, e provider di sicurezza, come Windows Distributed Security. L'interfaccia SSPI consente a un'applicazione a livello di trasporto di chiamare uno dei diversi provider di sicurezza per ottenere una connessione autenticata. Queste chiamate non richiedono una conoscenza approfondita dei dettagli del protocollo di sicurezza.
servizio token di sicurezza
Servizi progettati per rilasciare e gestire token di sicurezza personalizzati (token emessi) in uno scenario multiservizio. I token personalizzati sono in genere token SAML (Security Assertions Markup Language) che includono credenziali personalizzate.
certificato del server
Fa riferimento a un certificato usato per l'autenticazione server, ad esempio l'autenticazione di un server Web in un Web browser. Quando un client del Web browser tenta di accedere a un server Web protetto, il server invia il certificato al browser per consentirne la verifica dell'identità del server.
sessione
Scambio di messaggi sotto la protezione di un'unica chiave crittografica. Ad esempio, le sessioni SSL utilizzano un'unica chiave per inviare più messaggi avanti e indietro sotto quella chiave.
chiave di sessione
Chiave generata in modo casuale che viene usata una sola volta e quindi eliminata. Le chiavi di sessione sono simmetriche (usate sia per la crittografia che per la decrittografia). Vengono inviati con il messaggio, protetti dalla crittografia tramite una chiave pubblica del destinatario designato. Una chiave di sessione è costituita da un numero casuale di circa 40-2.000 bit.
credenziali supplementari
Credenziali da usare per l'autenticazione di un'entità di sicurezza nei domini di sicurezza esterni.
crittografia simmetrica
Crittografia che utilizza un'unica chiave sia per la crittografia sia per la decrittografia. La crittografia simmetrica è preferibile quando si esegue la crittografia di notevoli quantità di dati. Alcuni degli algoritmi di crittografia simmetrica più comuni sono RC2, RC4 e Data Encryption Standard (DES).
Vedere anche "crittografia a chiave pubblica".
chiave simmetrica
Una singola chiave usata sia per la crittografia che per la decrittografia. Le chiavi di sessione sono in genere simmetriche.
token (token di accesso)
Un token di accesso contiene le informazioni di sicurezza per una sessione di accesso. Il sistema crea un token di accesso quando un utente accede e ogni processo eseguito per conto dell'utente ha una copia del token. Il token identifica l'utente, i gruppi dell'utente e i privilegi dell'utente. Il sistema usa il token per controllare l'accesso a oggetti a protezione diretta e per controllare la capacità dell'utente di eseguire varie operazioni correlate al sistema nel computer locale. Esistono due tipi di token di accesso: primario e di sostituzione.
livello di trasporto
Livello di rete responsabile sia per la qualità del servizio sia per l'affidabilità di recapito delle informazioni. Fra le attività eseguite in questo livello vi sono il rilevamento e la correzione degli errori.
elenco di attendibilità (elenco di attendibilità dei certificati o CTL)
Elenco predefinito di elementi firmati da un'entità attendibile. Un CTL può presentarsi in varie forme, ad esempio un elenco di hash di certificati o un elenco di nomi di file. Tutti gli elementi dell'elenco sono autenticati (ovvero approvati) dall'entità che li ha firmati.
provider di fiducia
Software che decide se un determinato file è attendibile. La decisione si basa sul certificato associato al file.
nome principale utente (UPN)
Un nome di account utente (talvolta definito nome di accesso utente) e un nome di dominio che identifica il dominio in cui si trova l'account utente. Questo è l'utilizzo standard per l'accesso a un dominio Windows. Il formato è: someone@example.com (come per un indirizzo di posta elettronica).
Annotazioni
Oltre al formato UPN standard, WCF accetta UPN in formato di livello inferiore, ad esempio cohowinery.com\someone.
X.509
Standard riconosciuto a livello internazionale che definisce le parti obbligatorie dei certificati.