Das vorliegende Fachwortverzeichnis ergänzt das Kapitel 4 „Definitions“ in der PKCS#11-Spezifikation.

AES (Advanced Encryption Standard)
Der AES ist eine FIPS-Veröffentlichung, die den Behörden der USA einen kryptographischen Algorithmus vorgibt. AES ist mittlerweile der Standard-Blockchiffrierer. AES wude von den belgischen Kryptologen Dr. Joan Daemen und Dr. Vincent Rijmen entwickelt.

ANSI (American National Standards Institute)
Entwickelt Standards über verschiedene akkreditierte Normen-Gremien (Accredited Standards Committee; ASC). Das X9-Komitee beschäftigt sich vorwiegend mit Sicherheitsstandards für Finanzdienstleistungen.

Asymmetrische Schlüssel (Asymmetric keys)
Ein zwar separates, jedoch integriertes Benutzerschlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Es handelt sich dabei um Einwegschlüssel, d. h. ein Schlüssel, der zur Verschlüsselung bestimmter Daten verwendet wurde, kann nicht zur Entschlüsselung derselben Daten benutzt werden.

Blockchiffrierer (Block cipher)
Ein symmetrischer Chiffriercode, der auf der Basis von Blöcken (in der Regel 128-bit-Blöcke) von Klartext und verschlüsseltem Text funktioniert.

CBC (Cipher Block Chaining)
Der CBC-Modus ist eine Betriebsart für Blockchiffrierer. Ein Klartextblock wird hierbei mit Hilfe des XOR-Operators mit dem vorherigen chiffrierten Textblock (oder dem IV) verknüpft, bevor dieser verschlüsselt wird. So wird einem Blockchiffrierer ein Rückkopplungsmechanismus hinzugefügt.

CCM (Counter with CBC-MAC)
Der CCM-Modus ist eine Betriebsart für Blockchiffrierer. Er macht aus einem Blockchiffrierer ein Verfahren für authentifizierte Verschlüsselung, das sowohl Vertraulichkeit als auch Integrität sicherstellen soll.

CFB oder CFM (Cipher Feedback Mode)
Ein Blockchiffrierer, der als selbstsynchronisierender Stromchiffriercode implementiert ist. Dabei wird eine vorgegebene Anzahl von Bits des Chiffrats als Eingabedaten für die Blockchiffre zurückgekoppelt und mit einem festen Schlüssel verschlüsselt.

Chiffrierter Text oder Chiffrat (Cipher text)
Das Ergebnis der Veränderung von Buchstaben oder Bits durch Ersetzung, Vertauschungoder beides.

Cryptoki
Programm-Schnittstelle zu Geräten, die kryptographische Informationen speichern und kryptographische Funktionen ausführen; spezifiziert vom PKSC#11-Standard.

CTR (Counter Mode)
Der Counter Modus ist eine Betriebsart für Blockchiffrierer, um einen Stromchiffriercode zu erzeugen.

DES (Data Encryption Standard; Datenverschlüsselungsstandard)
Ein 64-bit-Blockchiffrierer oder symmetrischer Algorithmus, der auch als Data Encryption Algorithm (DEA) (von ANSI) bzw. DEA-1 (von ISO) bezeichnet wird. 1976 übernommen als „FIPS 46“.

Diffie-Hellman
Der erste Verschlüsselungsalgorithmus für öffentliche Schlüssel, der diskrete Logarithmen in einem endlichen Feld verwendete. Er wurde 1976 erfunden.

DSA (Digital Signature Algorithm)
Ein vom NIST entworfener digitaler Unterschriftenalgorithmus für öffentliche Schlüssel zur Verwendung in DSS.

DSS (Digital Signature Standard)
Ein vom NIST vorgeschlagener Standard (FIPS) für digitale Unterschriften unter Verwendung des DSA.

ECB (electronic codebook)
Ein Blockchiffrierer, bei dem der Klartextblock direkt als Eingabe für den Verschlüsselungs-Algorithmus verwendet wird. Der aus der Verschlüsselung resultierende Ausgabeblock wird unmittelbar als Chiffrat verwendet.

Entschlüsselung (Decryption)
Der Prozess des Rück-Umwandelns von chiffriertem (verschlüsseltem) Text in Klartext.

FIPS (Federal Information Processing Standard)
Eine vom NIST veröffentlichte Norm der Regierung der USA.

GCM (Galois/Counter Mode)
Der GCM ist eine Betriebsart für Blockchiffrierer. Er macht aus einem Blockchiffrierer ein Verfahren für authentifizierte Verschlüsselung, das sowohl Vertraulichkeit als auch Integrität sicherstellen soll.

Geheimer Schlüssel (Secret key)
Der „Sitzungsschlüssel“ in symmetrischen Algorithmen.

Handle
Ein Wert zur Identifizierung einer Sitzung oder eines Objektes, den Cryptoki zuordnet (siehe auch PKCS#11-Spezifikation, Abschnitt 6.6.5 „Session handles and object handles“).

Hash-Funktion (Hash function)
Eine Einweg-Hash-Funktion ist eine Funktion, die einen Nachrichtenkern erzeugt, der nicht zur Erzeugung des Originals umgekehrt werden kann.

HMAC
Eine schlüsselabhängige Einweg-Hash-Funktion, die speziell für die Verwendung mit MAC (Message Authentication Code) gedacht ist und auf IETF RFC 2104 basiert.

IETF (Internet Engineering Task Force)
Eine umfangreiche offene internationale Gemeinschaft, bestehend aus Netzwerk-Entwicklern, Betreibern, Händlern und Forschungsspezialisten, deren Aufgabe die Entwicklung der Internetarchitektur und des reibungslosen Betriebs des Internets ist. Eine Mitarbeit steht jedem Interessenten offen.

Initialisierungsvektor (Initialization vector, IV)
Ein Block aus willkürlichen Daten, der unter Verwendung eines „Chaining Feedback Mode“ (siehe „Cipher Block Chaining“) als Ausgangspunkt für einen Blockchiffrierer dient.

Integrität (Integrity)
Ein Beleg dafür, dass Daten bei der Speicherung oder Übertragung (durch unbefugte Personen) nicht verändert werden.

ISO (International Organization for Standardization)
Diese Organisation ist für eine Vielzahl von Normen verantwortlich, wie das OSI-Modell sowie internationale Beziehungen mit dem ANSI bezüglich X. 509.

Klartext (Plain text oder clear text)
Daten oder Nachrichten in einer für den Menschen lesbaren Form vor dem Verschlüsseln – auch unverschlüsselter Text genannt.

MAC (Message Authentication Code)
Eine schlüsselabhängige Einweg-Hash-Funktion, bei der zur Verifizierung des Hash der identische Schlüssel benötigt wird.

MD2 (Message Digest 2)
Eine von einer Zufallspermutation von Bytes abhängige Einweg-Hash-Funktion mit 128 bit.Sie wurde von Ron Rivest entwickelt.

MD4 (Message Digest 4)
Eine Einweg-Hash-Funktion mit 128 bit, in der ein einfacher Satz von Bit-Manipulationen mit 32-bit-Operanden verwendet wird. Sie wurde von Ron Rivest entwickelt.

MD5 (Message Digest 5)
Eine verbesserte, komplexere Version von MD4. Es handelt sich jedoch immer noch um eine Einweg-Hash-Funktion mit 128 bit.

Mechanismus
Prozess zur Implementierung von kryptographischen Operationen.

Message Digest
Eine Prüfsumme, die aus einer Nachricht berechnet wird. Wenn Sie ein einziges Zeichen in der Nachricht verändern, hat die Nachricht einen anderen Message Digest.

Mutex-Objekte
Mutex abgleitet von Mutual Exclusion;
einfache Objekte, die sich zu jeder Zeit nur in einem von zwei Zuständen befinden können: ge- oder entsperrt (siehe auch PKCS#11-Spezifikation, Abschnitt 6.5.2 „Applications and threads“).

NIST (National Institute for Standards and Technology)
Eine Abteilung des „U.S. Department of Commerce“ (Wirtschaftsministerium der USA). Veröffentlicht Normen bezüglich der Kompatibilität (FIPS).

NSA (National Security Agency)
Eine Abteilung des „U.S. Department of Defense“.

Öffentlicher Schlüssel (Public key)
Die öffentlich verfügbare Komponente eines integrierten asymmetrischen Schlüsselpaares,die oft als Verschlüsselungsschlüssel bezeichnet wird.

OFB (Output Feedback Mode)
Wie beim CFB wird eine Blockchiffre als Stromchiffre eingesetzt. Anders als beim CFB werden die Bits der Ausgabe direkt zurückgekoppelt. Außerdem ist OFB nicht selbstsynchronisierend.

Operation
Abfolge mehrerer kryptographischer Funktionen.

PKCS (Public Key Crypto Standards)
Eine Reihe von De-facto-Normen zur Verschlüsselung mit öffentlichen Schlüsseln, die in Zusammenarbeit mit einem informellen Konsortium (Apple, DEC, Lotus, Microsoft, MIT, RSA und Sun) entwickelt wurden. Dazu gehören Algorithmen-spezifische und von Algorithmen unabhängige Implementierungsnormen. Spezifikationen zur Definition von Nachrichtensyntax und anderen Protokollen, die von RSA Data Security, Inc., gesteuert werden.

Privater Schlüssel (Private key)
Die im privaten Besitz befindliche „geheime“ Komponente eines integrierten asymmetrischen Schlüsselpaares, die oft als Entschlüsselungsschlüssel bezeichnet wird.

Pseudo-Zufallszahl (Pseudo-random number)
Eine Zahl, die aus der Anwendung von Algorithmen errechnet wird, die Zufallswerte auf Eingabewerte erzeugen, die aus der Computerumgebung abgeleitet sind (z. B. Mauskoordinaten). Siehe Zufallszahl.

RC2 (Rivest Cipher 2)
Symmetrischer 64-bit-Blockchiffrierer mit variabler Schlüsselgröße, ein brancheninterner Schlüssel von RSA, SDI.

RC4 (Rivest Cipher 4)
Stromchiffriercode mit variabler Schlüsselgröße, war früher Eigentum von RSA Data Security, Inc. Da RC4 mittlerweile zu viele Schwächen zeigt, wird von seiner Verwendung dringend abgeraten. Siehe hierzu auch RFC 7465 "Prohibiting RC4 Cipher Suites".

RFC (Request for Comment)
Ein IETF-Dokument aus der Untergruppe FYI RFC, die Überblicke und Einführungen gibt, oder aus der Untergruppe STD RFC, die Internet-Normen angibt. Die Abkürzung FYI steht für „For Your Information“ – zu Ihrer Information. Jeder RFC hat zur Indizierung eine RFC-Nummer, anhand derer er abgerufen werden kann (www.ietf.org).

RSA
Abkürzung von RSA Data Security, Inc. Steht auch für die Firmenchefs Ron Rivest, Adi Shamir und Len Adleman oder bezieht sich auf den von ihnen erfundenen Algorithmus. Der RSA-Algorithmus wird in der Kryptographie mit öffentlichen Schlüsseln verwendet. Seine Funktionsweise beruht auf der Tatsache, dass zwei große Primzahlen zwar leicht miteinander zu multiplizieren sind, aber das Produkt nur schwer wieder in sie zu zerlegen ist.

Salt
Eine zufällige Zeichenkette, die mit Passwörtern (oder Zufallszahlen) verknüpft wird, bevor an ihnen mit einer Einweg-Funktion Operationen durchgeführt werden. Durch diese Verkettung wird das Passwort effektiv verlängert und verfremdet. Damit ist der chiffrierte Text besser gegen Wörterbuchangriffe geschützt.

Schlüssel (Key)
Ein Mittel zur Gewährung bzw. Verweigerung von Zugriff, Eigentumsrechten oder Steuerungsbefugnissen. Wird durch eine beliebige, große Anzahl von Werten dargestellt.

Schlüsselaustausch (Key exchange)
Ein Schema mit zwei oder mehreren Knoten zum Übertragen eines geheimen Sitzungsschlüssels über einen nicht gesicherten Kanal.

Schlüssellänge (Key length)
Die Anzahl der Bits zur Darstellung der Schlüsselgröße. Je länger der Schlüssel, desto stärker ist er.

Schlüsselverwaltung (Key management)
Das Verfahren zum sicheren Speichern und Verteilen akkurater kryptographischer Schlüssel. Der Gesamtprozess des sicheren Erstellens und Verteilens von kryptographischen Schlüsseln an befugte Empfänger.

SHA-1 (Secure Hash Algorithm)
Die 1994 vorgenommene Überarbeitung des vom NIST entwickelten SHA (FIPS 180-1). SHA-1 wird zusammen mit DSS zur Erzeugung eines 160-bit-Hash verwendet. Es ähnelt dem sehr beliebten und weitverbreiteten MD4.

SHA-2 (Secure Hash Algorithm)
SHA-2 ist der Sammelbegriff für die Hash-Funktionen SHA-224, SHA-256, SHA-384, SHA512, SHA-512/224 und SHA-512/256. Es wird seit längerem empfohlen, statt SHA-1 Funktionen aus der SHA2-Familie zu verwenden.

Sitzungsschlüssel (Session key)
Der geheime (symmetrische) Schlüssel zum Verschlüsseln aller Datensätze auf Transaktionsbasis. Für jede Kommunikationssitzung wird ein anderer Sitzungsschlüssel verwendet.

Slot
Über die PKCS#11 können gemäß Definition logische kryptographische Funktionseinheiten (Slots) simultan zu einander genutzt werden. In CRYPT wird derzeit nur ein Slot unterstützt.

SSL (Secure Socket Layer)
Wurde von Netscape zur Gewährleistung von Sicherheit und zur Geheimhaltung im Internet entwickelt. Unterstützt die Server- und Client-Authentisierung und gewährleistet die Sicherheit und Integrität des Übertragungskanals. Wirkt auf der Übertragungsebene und dient als „Socket-Bibliothek“, wodurch eine anwendungsunabhängige Wirkungsweise ermöglicht wird. Verschlüsselt den gesamten Kommunikationskanal.

Stromchiffriercode (Stream cipher)
Eine Klasse der symmetrischen Schlüsselverschlüsselung, bei der die Umwandlung für jedes zu verschlüsselnde Symbol des Klartextes geändert werden kann; wird für Umgebungen mit geringer Speicherkapazität zum Puffern von Daten empfohlen.

Symmetrischer Algorithmus (Symmetric algorithm)
Wird auch als konventioneller, geheimer Schlüssel- oder Einzelschlüsselalgorithmus bezeichnet. Der Verschlüsselungsschlüssel ist entweder mit dem Entschlüsselungsschlüssel identisch, oder ein Schlüssel kann aus dem anderen abgeleitet werden. Es gibt zwei Unterkategorien – Block und Strom.

TLS (Transport Layer Security)
Ein IETF-Entwurf. Die Version 1 basiert auf der Version 3.0 des SSL-Protokolls und dient zur Wahrung der Privatsphäre bei der Kommunikation über das Internet.

Triple-DES
Eine Verschlüsselungskonfiguration, in der der DES-Algorithmus dreimal mit drei unterschiedlichen Schlüsseln verwendet wird.

Unverschlüsselter Text
siehe Klartext.

Zufallszahl (Random number)
Ein wichtiger Aspekt für viele Verschlüsselungssysteme sowie ein notwendiges Element beim Erzeugen von eindeutigen Schlüsseln, die für Gegner nicht berechenbar sind. Echte Zufallszahlen werden normalerweise aus analogen Quellen abgeleitet und erfordern in der Regel den Einsatz von besonderer Hardware.