Secure E-Mail Gateway - Glossar
| Asymmetrische Verschlüsselung | Die asymmetrische Verschlüsselung kennt zwei zueinanderpassende asymmetrische Schlüssel, einen öffentlichen und einen privaten. Beide Schlüssel sind unabhängig voneinander und es besteht auch keine Möglichkeit mit einem Schlüssel den anderen zu berechnen. Jeder Benutzer kann den öffentlich zugänglichen Schlüssel zur Verschlüsselung von Nachrichten nutzen. Die verschlüsselte Nachricht kann jedoch nur von dem Empfänger entschlüsselt werden, der den privaten Schlüssel besitzt.
|
| CA (Certification Authority) | Certification Authority ist eine Ausgabestelle für Zertifikate innerhalb einer PKI. Ihr obliegt es auch, die Korrektheit des Zertifikatsinhaltes vor der Zertifizierung zu verifizieren. |
| CRL (Certificate Revocation List) OCSP (Online Certificate Status Protocol) | CRL / OCSP sind verschiedenen Verfahren, um die Gültigkeit eines Zertifikates zu überprüfen. |
| Digitale Signatur Digitale Unterschrift
|
Aus dem geheimen Schlüssel und einer Datei / E-Mail wird durch Anwendung einer Hash-Funktion eine eindeutige Zeichenfolge gebildet (elektronisch Signatur = verschlüsselter Hash-Wert). Mit Hilfe des öffentlichen Schlüssels kann nun jeder überprüfen, ob die Datei tatsächlich von dem angegebenen Urheber bzw. Absender stammt und ob der Inhalt verfälscht wurde. Die digitale Signatur ermöglicht die Integrität und Authentizität eines elektronischen Dokumentes zu verifizieren.
|
| Geheimer Schlüssel Secret Key / Privat Key |
Ein geheimer Schlüssel ist ein asymmetrischer Schlüssel, der sowohl das Signieren als auch entschlüsseln von Nachrichten ermöglicht. Zum Überprüfen der Signatur sowie zum Verschlüsseln genügt der öffentliche Schlüssel. |
| Hash-Funktion Hash-Algorithmus Kryptographische Prüfsumme | Eine Hashfunktion ist eine Funktion, die aus einer Datei eine eindeutige Prüfsumme fester Länge errechnet. Diese hat die Eigenschaft, dass sie sich ändert, wenn die Datei / E-Mail modifiziert wird. |
| Hybride Verschlüsselung |
Die hybride Verschlüsselung ist ein Verschlüsselungs- verfahren, bei dem sowohl symmetrische als auch asymmetrische Verschlüsselungsalgorithmen einge- setzt werden. Bei S/MIME und GnuPG werden beispielsweise die eigentlichen Daten mit einem zufällig erzeugten symmetrischen Sitzungsschlüssel (Session Key) verschlüsselt. Dieser Sitzungsschlüssel wird dann, um einen sicheren Schlüsseltauch zu ermöglichen, mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und zu einem Paket zusammengepackt. Auf der Empfängerseite wird zuerst mit dem geheimen Schlüssel des Empfängers der Sitzungsschlüssel entschlüsselt, mit dem die ursprünglichen Daten wieder hergestellt werden können.
|
| Integritätsprüfung |
Bei der Integritätsprüfung wird die Signatur beim Empfänger überprüft. Sind die beiden Hashwerte identisch, so wurde die Nachrit nicht verfälscht.
|
| LDAP | LDAP ist ein moderner Verzeichnisdienst („Telefon-buch“) im Internet, der sich unter anderem zur Einrichtung von Keyservern einsetzen lässt (z.B. Publizieren von S/MIME-Zertifikaten). |
| Öffentlicher Schlüssel Public Key |
Der öffentliche Schlüssel ist bei asymmetrischen und hybriden Verschlüsselungsverfahren der frei zugäng- liche Schlüssel, der das Überprüfen einer Signatur und das Verschlüsseln von Nachrichten ermöglicht. Zum Signieren sowie zum Entschlüsseln ist der geheime Schlüssel erforderlich. |
| Open PGP | Open PGP ist ein RFC-Standard für Internet-Protokolle und Datenformate von verschlüsselten Nachrichten, Signaturen und Schlüsseln. Es unterstützt das Web of Trust-Modell zur Zertifizierung. |
| PGP - Pretty Good Privacy | PGP ist eine von Philip Zimmermann in den USA entwickelte Verschlüsselungssoftware, die lange Zeit für Privatanwender als freie Software vertrieben wurde. Für kommerzielle Anwender erfordert PGP den Erwerb einer Lizenz für den patentierten Algorithmus IDEA. Neuere Versionen sind darüber hinaus keine freie Software mehr (kein offener Quelltext) und werden von Experten in ihrer Integrität in Frage gestellt. Das zu PGP kompatible GnuPG hat dieses Problem nicht. Das GnuPG ist eine von Werner Koch in Deutschland entwickelte Verschlüsselungssoftware, die den Open PGP-Standard implementiert. |
| PKI (Public Key Infrastruktur) | Das PKI ist eine Infrastruktur, die durch Nutzung kryptographischer Verfahren Vertrauensverhältnisse sicherstellt. |
| PKIX (Public Key Infrastruktur Exchange) | Mit PKIX wurde ein Standard für den Schlüsselaus-tausch im Internet entwickelt, mit dem X.509-basierte PKI-Systeme unterstützt werden. PKIX basiert auf dem Authentifikationsstandard X.509. |
| Root CA | Root CA ist in der Hierarchie einer PKI der höchste Punkt, der sogenannte Trust-Anchor. Wenn man einer Root CA sein Vertrauen ausspricht, vertraut man der gesamten PKI. |
| Schlüssel | Der Schlüssel ist eine Datensequenz die benutzt wird, um mit einer Verschlüsselungssoftware aus einem Klartext einen Geheimtext zu erzeugen (Verschlüsse- lung) und um aus einem Geheimtexte den Klartext wieder herzustellen (Entschlüsselung). Auch zum Signieren und Überprüfen einer digitalen Signatur wird ein Schlüssel benötigt. |
| Schlüssellänge | Wie bei symmetrischen Verschlüsselungen beruht die Sicherheit auch bei einer Public Key-Verschlüsselung ganz und gar auf dem Schlüssel. Deshalb ist die Schlüsselgröße maßgeblich für die Sicherheit des Systems. Man kann jedoch die Größe eines symmetrischen Schlüssels nicht mit der eines Schlüssels einer Public Key-Verschlüsselung vergleichen, um Rückschlüsse auf ihre relative Sicherheit ziehen zu können. |
| Schlüsselpaar | Ein Schlüsselpaar besteht aus einem privaten Schlüssel und einem öffentlichen Schlüssel. Zum einen der symmetrische Schlüssel, mit dem die eigentlichen Daten / E-Mails verschlüsselt werden und zum anderen der Sitzungsschlüssel selbst. Dieser wird dann mit dem asymmetrischen öffentlichen Schlüssel verschlüsselt. Auf diese Weise kann der Sitzungsschlüssel sicher übertragen werden. |
| S/MIMME (Secure/Multipurpose Internet Mail Extension) | S/MIMME ist die Sicherheitserweiterung des Standard E-Mail-Formats MIME. Mit MIME ist es möglich beliebige Arten von Daten per E-Mail zu verschicken. |
| SSL (Secure Socket Laye) TLS (Transport Layer Security) |
Secure Socket Layer und Transport Layer Security (TLS) sind Verfahren, um technische Übertragungsprotokolle abzusichern. |
| Security-Token |
Ein Token oder Security-Token enthält die kryptographi- schen Schlüssel, um kryptographische Anwendungen zu nutzen. Bei einem Token kann es sich sowohl um ein Hardware-Token (Smart Card oder auch Chipkarte, HSM-Hardware Security Modul) als auch ein Software-Token handeln. |
| Smart Card | Eine Smart Card ist eine Hardware-Chipkarte, die über einen kryptographischen Schlüssel und einen Mikropro-zessor mit Signatur- und Verschlüsselungsfunktionen verfügt. |
| Symmetrische Verschlüsselung Symmetric-Key-Kryptographie |
Bei der symmetrischen Verschlüsselung handelt es sich um ein Verfahren, bei dem für die Ver- und Entschlüsselung derselbe Schlüssel erforderlich ist. Beim Einsatz symmetrischer Verschlüsselung für die Kommunikation ist die Übertragung des Schlüssels über einen zusätzlichen sicheren Kanal notwendig. Für diesen zusätzlichen Kanal wird heute meistens die asymmetrische Verschlüsslung verwendet.
|
| Trustcenter | Ein Trustcenter ist ein PKI Infrastruktur-Provider, der Zertifikate ausstellt. Ein Trustcenter muss besonders hohen Sicherheitsanforderungen genügen. Keiner seiner CA- oder Root-CA-Keys darf kompromittiert werden. |
| Verschlüsselung | Die Verschlüsselung ist das Verändern eines Textes, eines Bildes, einer E-Mail bzw. allgemein einer Datei unter Verwendung eines Schlüssels und nach einen festgelegten Verfahren (Verschlüsselungsalgorithmus). Ziel ist es, die Inhalte für andere unkenntlich zu machen, wobei der Vorgang unter Verwendung des Schlüssels wieder umkehrbar ist. |
| Verschlüsselungsalgorithmus | Der Verschlüsselungsalgorithmus ist eine Methode, nach der aus dem Klartext der Geheimtext erzeugt wird. Man unterscheidet zwischen symmetrischen und asymmetrischen Verschlüsselungsalgorithmen. Bei- spiele für Verschlüsselungsalgorithmen: 3DES, Blow- fisch, ElGamal und Twofish. |
| Web of Trust | Web of Trust ist ein nicht-hierarchisches Zertifizie-rungsmodell für die Authentizität von wichtigen Daten, speziell öffentlichen Schlüsseln. Im Web of Trust benennt jeder Teilnehmer Personen und Instanzen, auf deren Urteil er sich bei der Echtheit von Daten verlassen will. Computerprogramme wie GnuPG können auf dieser Grundlage die Echtheit eines Schlüssels überprüfen. Hierarchische Zertifizierungsmodelle wie S/MIME lassen sich problemlos durch ein Web of Trust realisieren. Umgekehrt ist das nicht möglich. |
| X.509-Zertifikat | X.509 ist ein Standard der ITU-T für digitale Zertifikate und Authentifizierungsdienste, aus dem die Namen und die digitale Signatur des Ausstellers hervorgehen. Bei diesen nach X.509 standardisierten Zertifikaten kann es sich auch um E-Mail-Zertifikate handeln, die der sicheren Übertragung von E-Mails und Dateien dienen und auch zur Identifikation gegenüber Websites benutzt werden. |
.jpg)
