Simboli |
|---|
| 3DES | | Standard per la tripla crittografia dei dati. Algoritmo di crittografia a blocchi a chiave simmetrica che codifica i dati tre volte, usando ogni volta una diversa chiave a 56 bit (168 bit per le chiavi). 3DES è adatto alla cifratura di grandi volumi di dati.
|
|---|
A |
|---|
| ACL | | Lista di controllo dell'accesso. Elenco o database che definisce a quali risorse gli utenti o altri responsabili possono accedere ed il tipo di accesso.
|
|---|
| AES | | Advanced Encryption Standard. Un algoritmo di crittografia a blocchi a chiave simmetrica. HP-UX IPSec supporta AES con una chiave a 128 bit. AES è adatto alla cifratura di grandi volumi di dati.
|
|---|
| AH | | Intestazione di autenticazione. AH garantisce l'integrità dei dati, l'autenticazione a livello di sistema e può fornire protezione antireplay. AH fa parte della suite del protocollo IPsec.
|
|---|
| attacco "man-in-the-middle" | | Vedere attacco da parte di terzi.
|
|---|
| attacco con overflow del buffer | | Metodo di attacco dei sistemi che causa errori di un processo, o che costringe un processo ad eseguire codice illecito. questo risultato è normalmente ottenuto con sovraccaricando l'input nel buffer dello stack. Questo provoca la violazione della memoria o un altro errore, che termina il processo, oppure lo costringe ad eseguire del codice illecito. Vedere anche attacco con overflow del buffer dello stack.
|
|---|
| attacco con overflow del buffer dello stack | | Metodo per attaccare un sistema, costringendo un processo ad eseguire codice illecito. Solitamente, provoca l'overflow del buffer dello stack per inserire codice illecito, modificando quindi il puntatore di stack in modo da eseguirlo. Vedere anche attacco con overflow del buffer.
|
|---|
| attacco da parte di terzi | | In un attacco da parte di terzi, l'attaccante intercetta i pacchetti scambiati dalle due parti attaccate, A e B. A e B presumono di scambiare messaggi l'una con l'altra, ma in realtà stanno scambiando messaggi con un terzo. L'attaccante assume l'identità di A per scambiare messaggi con B, ed assume l'identità di B per scambiare messaggi con A. Chiamato anche attacco "man-in-the-middle".
|
|---|
| attacco di negazione del servizio | | Attacco in cui si impedisce ad sistema di rispondere ai pacchetti di rete, in modo che non sia in grado di soddisfare le richieste che riceve. Gli attacchi di negazione del servizio possono essere realizzati inviando ad un sistema vulnerabile un gran numero di false richieste che consumano un'ingente quantità di risorse. Gli attacchi di negazione del servizio spesso sono utilizzati insieme allo spoofing di un host, per impedire all'host che ha subito lo spoofing (l'host con l'indirizzo IP utilizzato dall'attaccante) di partecipare allo scambio tra chi esegue lo spoofing e il sistema a cui quest'ultimo tenta di accedere.
|
|---|
| auditing | | Registrazione selettiva degli eventi allo scopo di analizzare e rilevare le violazioni della protezione. Il sistema di auditing di HP-UX fornisce un meccanismo per il controllo di utenti e processi.
|
|---|
| autenticazione | | Procedura di controllo dell'identità di un soggetto (utente, host, dispositivo o altra entità in una rete informatica). L'autenticazione è spesso un prerequisito per consentire l'accesso alle risorse di sistema. In alternativa, la procedura di controllo dell'integrità dei dati, o dell'identità della parte che ha trasmesso i dati.
|
|---|
| autenticazione challenge-response | | Forma di autenticazione in cui chi la esegue invia un valore casuale, detto challenge, all'utente o al responsabile di sistema che deve essere autenticato. L'utente invia una risposta basata sul valore challenge e su un valore segreto comune, stabilito in precedenza insieme a chi esegue l'autenticazione, come un valore hash MD5. A differenza di un normale scambio di password, l'interazione challenge-response può variare, in modo che sia impossibile per un intruso ripetere la risposta dell'utente per ottenere l'autenticazione.
|
|---|
| Autorità di certificazione | | Vedere CA.
|
|---|
| autorizzazione | | Procedura di valutazione delle informazioni di controllo dell'accesso, per determinare se un soggetto (utente, host, dispositivo, o altra entità in una rete informatica) è autorizzato a svolgere un'operazione con una particolare risorsa o oggetto. L'autorizzazione avviene solitamente dopo che è stata autenticata l'identità del soggetto. Nel contesto RBAC, l'autorizzazione si riferisce specificamente alla coppia formata da un'operazione ed un oggetto, ed è anche definita autorizzazione. Vedere RBAC.
|
|---|
B |
|---|
| bastion host | | Sistema di computer che protegge una rete interna dagli intrusi. Vedere anche firewall e sistema rafforzato.
|
|---|
C |
|---|
| CA | | Autorità di certificazione. Società o organizzazione terza di fiducia che autentica gli utenti e rilascia i certificati. Oltre a stabilire un vincolo di fiducia tra la chiave pubblica dell'utente e le altre informazioni relative alla protezione di un certificato, l'autorità di certificazione pone una firma digitale al certificato utilizzando la sua chiave privata.
|
|---|
| certificato | | Certificato di protezione che associa (o vincola) una chiave pubblica ad un responsabile – una determinata persona, un sistema, un dispositivo o un'altra entità. Il certificato di protezione è rilasciato da un ente, che gli utenti giudicano affidabile, chiamato autorità di certificazione (CA – Certificate Authority), che garantisce o conferma l'identità del titolare (persona, dispositivo o altra entità) della chiave privata corrispondente. L'autorità di certificazione pone la firma digitale al certificato con la sua chiave privata, in modo che sia possibile controllarlo con la chiave pubblica dell'autorità di certificazione. Il formato più comunemente utilizzato per i certificati a chiave pubblica è lo standard International Organization for Standardization (ISO) X.509, versione 3.
|
|---|
| Certificato di protezione | | Vedere certificato.
|
|---|
| chiavi manuali | | Chiavi crittografiche configurate manualmente per IPSec. Alternativa all'uso del protocollo Internet Key Exchange (IKE), per generare chiave crittografiche ed altre informazioni per le Security Associations (SA) di IPSec.
|
|---|
| chiavi precondivise | | Valore crittografico concordato da due sistemi per la crittografia o l'autenticazione. La chiave è scambiata prima della comunicazione tramite computer, solitamente attraverso uno scambio di chiavi fuori banda (come uno scambio verbale, faccia a faccia). Vedere anche crittografia a chiave condivisa.
|
|---|
| compartimenti | | Metodo per isolare l'uno dall'altro i componenti di un sistema. Configurati in modo appropriato, i compartimenti sono un metodo efficace per proteggere il proprio sistema HP-UX e i dati che contiene.
|
|---|
| contenimento | | Meccanismo o insieme di meccanismi per limitare il diritto d'accesso dei processi. Nel contesto RBAC, il contenimento è una combinazione di controllo dell'accesso obbligatorio e privilegi ad alta definizione. Vedere RBAC.
|
|---|
| criterio IPSec | | I criteri IPSec specificano le regole in base alle quali i dati sono trasferiti in modo protetto. I criteri IPSec generalmente contengono informazioni di filtro dei pacchetti e un'azione. Il filtro dei pacchetti è usato per scegliere un criterio per un pacchetto e l'azione è applicata ai pacchetti usando quel criterio.
|
|---|
| crittografia | | Processo di codifica di dati normali (o in chiaro) in modo che siano decifrabili solamente da chi possiede informazioni specifiche.
|
|---|
| crittografia | | Processo che converte dati, per ragioni di riservatezza, da un formato leggibile ad un formato non leggibile. Le funzioni di crittografia solitamente utilizzano come input i dati ed una chiave crittografica (valore o sequenza di bit).
|
|---|
| crittografia a chiave asimmetrica | | Vedere crittografia a chiave pubblica.
|
|---|
| crittografia a chiave condivisa | | Metodo crittografico in cui due parti usano la stessa chiave (le due parti condividono la stessa chiave) per crittografare o autenticare dei dati. Per consentire la riservatezza o l'autenticazione dei dati, soltanto le due parti devono conoscere il valore della chiave (la chiave deve essere privata). Per crittografare i dati, la crittografia a chiave condivisa è più efficace di quella a chiave pubblica/privata, è quindi sovente utilizzata per la cifratura di grandi volumi di dati. Tuttavia, la distribuzione o la definizione di una chiave condivisa richiede uno scambio fuori banda (come uno scambio verbale faccia a faccia), uno scambio Diffie-Hellman o un altro meccanismo. Chiamata anche crittografia a chiave privata o crittografia a chiave simmetrica.
|
|---|
| crittografia a chiave privata | | Vedere crittografia a chiave condivisa.
|
|---|
| crittografia a chiave pubblica | | Metodo crittografico che usa due chiavi matematicamente correlate (ad esempio, chiave_1 e chiave_2) in modo che sia possibile decifrare i dati crittografati con la chiave_1 soltanto con la chiave_2. Inoltre, gran parte degli algoritmi garantisce che soltanto il proprietario della chiave_1 può cifrare correttamente i dati decifrabili con la chiave_2. Una chiave deve essere privata (nota soltanto al proprietario), ma la seconda chiave può essere nota (pubblica), il che rende facilmente gestibile la distribuzione delle chiavi. La crittografia a chiave pubblica utilizza una gran quantità di risorse del computer, non è quindi pratica per la cifratura di grandi volumi di dati. La crittografia a chiave pubblica è usata solitamente per autenticare i dati. Chiamata anche crittografia a chiave asimmetrica (le due chiavi non sono uguali) o crittografia a chiave pubblica/privata.
|
|---|
| crittografia a chiave pubblica/privata | | Vedere crittografia a chiave privata.
|
|---|
| crittografia a chiave simmetrica | | Vedere crittografia a chiave condivisa.
|
|---|
| CRL | | Elenco dei certificati revocati. I certificati rilasciati hanno una validità limitata nel tempo, definita da una data/ora di inizio e da una data/ora di scadenza. Tuttavia possono verificarsi casi, come la compromissione di un valore chiave, che impongono la revoca del certificato. In questo caso, l'autorità di certificazione può revocare il certificato. Ciò avviene inserendo il numero di serie del certificato nell'elenco dei certificati revocati, aggiornato e pubblicato a scadenze regolari dall'autorità di certificazione, e trasmesso agli utenti dei certificati. Vedere CA.
|
|---|
D |
|---|
| Data Encryption Standard | | Vedere DES.
|
|---|
| DES | | Standard per la crittografia dei dati. Usa una chiave a 56 bit per la crittografia a blocchi a chiave simmetrica. DES è adatto alla cifratura di grandi volumi di dati. DES è stato forzato (i dati codificati con DES sono stati decifrati da terzi).
|
|---|
| Diameter Base | | Protocollo che offre servizi di autenticazione, autorizzazione e gestione degli account (AAA) basati sul protocollo RADIUS. Il protocollo Diameter offre la stessa funzionalità di RADIUS, con maggior affidabilità, migliore protezione ed un'infrastruttura più solida. Vedere anche RADIUS.
|
|---|
| Diffie-Hellman | | Metodo a chiave pubblica per generare una chiave simmetrica, con il quale due parti possono scambiare valori pubblicamente e generare la stessa chiave simmetrica. Inizia con un numero primo p ed un generatore g, che possono essere noti pubblicamente (solitamente si tratta di numeri di un gruppo Diffie-Hellman). Ogni parte sceglie un valore privato (a e b) e genera un valore pubblico (g**a mod p) e (g**b mod p). Quindi si scambiano i valori pubblici. Ogni parte usa quindi il proprio valore privato e quello pubblico dell'altra parte per generare la stessa chiave simmetrica, (g**a)**b mod p e (g**b)**a mod p, che valutano entrambe g**(a*b) mod p per le comunicazioni future. Per impedire attacchi "man-in-the-middle" o di terzi (spoofing), il metodo Diffie-Hellman deve essere combinato con l'autenticazione. Ad esempio, Diffie-Hellman può essere utilizzato con l'autenticazione con certificati o chiavi precondivise.
|
|---|
E |
|---|
| EAP | | Extensible Authentication Protocol. Protocollo che offre una struttura per l'uso di più metodi e protocolli di autenticazione, tra cui password, Kerberos e protocolli challenge-response.
|
|---|
| Elenco dei certificati revocati | | Vedere CRL.
|
|---|
| Encapsulating Security Payload | | Vedere ESP.
|
|---|
| ESP | | Encapsulating Security Payload. Fa parte della suite del protocollo IPsec. ESP garantisce la riservatezza (crittografia) ed un servizio antireplay. Deve essere usato insieme all'autenticazione, con il campo facoltativo di autenticazione ESP (ESP autenticato) o annidata nell'intestazione del messaggio di autenticazione. ESP autenticato inoltre consente l'autenticazione dell'origine dei dati e l'integrità senza connessione. Usato in modalità canale, ESP consente inoltre di ottenere la riservatezza caratteristica di un flusso di traffico limitato.
|
|---|
| evento | | Azione come la creazione di un file, l'apertura di un file o l'accesso ad un sistema.
|
|---|
| Extensible Authentication Protocol | | Vedere EAP.
|
|---|
F |
|---|
| filtro | | Meccanismo per individuare oggetti non desiderati, o i parametri che specificano gli oggetti ai quali è concesso o negato l'accesso. Solitamente, si utilizza un filtro per individuare pacchetti di rete indesiderati (un filtro dei pacchetti).
|
|---|
| filtro dei pacchetti | | Filtro usato per selezionare o limitare i pacchetti di rete. I filtri dei pacchetti specificano le caratteristiche dei pacchetti di rete. I filtri dei pacchetti solitamente specificano gli indirizzi IP di origine e destinazione, i protocolli del livello superiore (come TCP o UDP) ed i numeri di porta TCP o UDP. I filtri dei pacchetti possono anche definire altri campi dei pacchetti, come il tipo di intestazione IPv6, il tipo di messaggio di livello superiore (ad esempio, il tipo di messaggio ICMP) e gli stati delle connessioni TCP.
|
|---|
| filtro per i pacchetti di stato | | Tipo di filtro per i pacchetti, che utilizza i campi del protocollo dei livelli superiori e le informazioni di stato, come gli stati delle connessioni TCP.
|
|---|
| firewall | | Uno o più dispositivi o sistemi informatici usati come barriera per proteggere una rete da utenti indesiderati o da applicazioni dannose o intrusive. Vedere anche bastion host e sistema rafforzato.
|
|---|
| firma digitale | | Le firme digitali sono una variante degli algoritmi hash a chiave, che usano coppie di chiavi pubblica/privata. Chi trasmette usa la sua chiave privata ed i dati come input per creare un valore di firma digitale.
|
|---|
H |
|---|
| HMAC | | Hashed Message Authentication Code. Vedere anche MAC.
|
|---|
I |
|---|
| IKE | | Internet Key Exchange (IKE) fa parte della suite del protocollo IPsec. IKE è usato prima degli scambi del protocollo IPsec ESP o AH, per determinare quali servizi di crittografia e/o di autenticazione saranno utilizzati. IKE inoltre gestisce la distribuzione e l'aggiornamento delle chiavi crittografiche simmetriche (condivise) usate da ESP e AH. Vedere anche ESP ed AH.
|
|---|
| intestazione di autenticazione | | Vedere AH.
|
|---|
J |
|---|
| jail di chroot | | Metodo per limitare i file e le directory a cui possono accedere un processo e gli utenti di quel processo. Il processo inizia in una directory di base specificata (root) e non può accedere a directory o file situati ad un livello superiore a quello della directory root.
|
|---|
K |
|---|
| Kerberos | | Protocollo di autenticazione, progettato per offrire una rigida autenticazione delle applicazioni client o server. Kerberos consente agli utenti di autenticarsi senza trasmettere in rete password non crittografate.
|
|---|
L |
|---|
| Lightweight Directory Access Protocol (LDAP). | | Il protocollo LDAP consente l'accesso alle directory di rete. LDAP usa una struttura di directory simile al servizio di directory OSI X.500, ma archivia i dati come stringhe ed usa lo stack di rete TCP/IP invece dello stack di rete OSI.
|
|---|
M |
|---|
| MAC | | Il codice di autenticazione del messaggio (MAC) è un tag di autenticazione di un messaggio, detto anche checksum, derivato dall'applicazione di un algoritmo di autenticazione, insieme ad una chiave segreta. I MAC sono calcolati e controllati con la stessa chiave, in modo da poter essere controllati soltanto da chi deve riceverli, a differenza delle firme digitali. I MAC basati su funzioni hash (HMACS) usano una o più chiavi insieme ad una funzione hash per produrre un checksum allegato al messaggio. Un esempio è il metodo di autenticazione dei messaggi a chiave MD5. I MAC possono essere anche derivati da cifrature a blocchi. I dati sono crittografati usando blocchi di messaggi DES CBC e il blocco finale del testo crittografato è utilizzato come checksum. Lo standard DES-CBC MAC è largamente diffuso negli Stati Uniti ed a livello internazionale.
|
|---|
| MD5 | | Message Digest-5. Algoritmo d'autenticazione sviluppato da RSA. MD5 genera una firma digitale di 128 bit usando una chiave a 128 bit. IPSec tronca la firma digitale a 96 bit.
|
|---|
N |
|---|
| NAT | | Network Address Translation. Metodo che consente a più sistemi in una rete privata interna di condividere un indirizzo IP Internet pubblico. Un gateway NAT quando indirizza i pacchetti dalla rete interna ad Internet, sostituisce (traduce) gli indirizzi IP interni e le porte interne con i loro indirizzi IP pubblici ed esegue l'operazione inversa per il percorso di ritorno.
|
|---|
O |
|---|
| oggetto | | Macchina o risorsa di rete come un sistema, un file, una stampante, un terminale, il record di un database. Nel contesto dell'autorizzazioni, l'autorizzazione è concessa all'operazione che un soggetto compie con un oggetto.
|
|---|
| operazione | | Modalità specifica di accesso ad uno o più oggetti. Ad esempio, la scrittura in un file. Nel contesto dell'autorizzazioni, l'autorizzazione è concessa all'operazione che un soggetto compie con un oggetto.
|
|---|
P |
|---|
| PAM | | Pluggable Authentication Module. Struttura d'autenticazione, che consente agli amministratori di sistema di configurare i servizi d'autenticazione, la gestione degli account, delle sessioni e delle password per le utility HP-UX, come quella per l'accesso al sistema.
|
|---|
| password shadow | | Struttura per offrire ulteriore protezione alle password degli utenti. La struttura della password shadow (spwd) contiene le password degli utenti crittografate ed altre informazioni usate con la struttura passwd. La struttura della password shadow è archiviata in un file solitamente leggibile soltanto da utenti privilegiati.
|
|---|
| Perfect Forward Secrecy (PFS) | | Con Perfect Forward Secrecy, l'esposizione di una chiave consente l'accesso soltanto ai dati protetti da quella chiave.
|
|---|
| Pluggable Authentication Module | | Vedere PAM.
|
|---|
| privilegi ad alta definizione | | Autorizzazione ad eseguire un'operazione specifica, di basso livello (ad esempio l'autorizzazione per eseguire una specifica chiamata di sistema).
|
|---|
| privilegio | | Autorizzazione per eseguire un'azione in un sistema informatico.
|
|---|
R |
|---|
| RADIUS | | Il protocollo Remote Authentication Dial-In User Service (RADIUS) è ampiamente utilizzato ed implementato per gestire l'accesso ai servizi di rete. Definisce uno standard per lo scambio di informazioni fra un dispositivo d'accesso alla rete e un server d'autenticazione, autorizzazione e gestione degli account (AAA), allo scopo di eseguire operazioni di autenticazione, autorizzazione e gestione degli account. Un server RADIUS AAA può gestire i profili degli utenti per l'autenticazione (controllo di nome utente e password), le informazioni di configurazione che specificano il tipo di servizio che deve essere fornito ed i criteri da applicare che possono limitare l'accesso degli utenti. Il protocollo RADIUS offre soltanto la struttura per lo scambio di autenticazione e può essere usato con numerosi metodi di autenticazione.
|
|---|
| RBAC | | Controllo dell’accesso basato sui ruoli. Meccanismo di HP-UX per fornire privilegi ad alta definizione alle risorse di sistema, ai comandi ed alle chiamate di sistema. Agli utenti sono assegnati dei ruoli ed i privilegi per l'accesso sono assegnati agli utenti in base a questi ruoli.
|
|---|
| relazioni di fiducia transitive | | Estensione delle relazioni di fiducia ad altre entità affidabili. Se A e B ritengono entrambe affidabile C, A e B possono usare una relazione di fiducia transitiva nei confronti di C. In una struttura gerarchica, A e B possono stabilire una relazione transitiva di fiducia se possono stabilire una relazione di fiducia che le lega ad una root comune.
|
|---|
| responsabile | | Persona, sistema, dispositivo o altra entità.
|
|---|
| Role-Based Access Control | | Vedere RBAC.
|
|---|
| RSA | | Rivest, Shamir, and Adelman. Sistema crittografico a chiave pubblica/privata che può essere usato per la riservatezza (crittografia) e l'autenticazione (firme). Per la crittografia, il sistema A può inviare i dati crittografati con la chiave pubblica del sistema B. Soltanto la chiave privata del sistema B può decifrare i dati. Per l'autenticazione, il sistema A invia i dati insieme ad una firma digitale, un firma o hash cifrati con la chiave privata del sistema A. Per controllare la firma, il sistema B usa la chiave pubblica del sistema A per decifrare la firma e confrontare l'hash o il valore decifrati con quelli calcolati dal sistema B per il messaggio.
|
|---|
| ruolo | | Una funzione operativa, nel contesto di un'organizzazione, con associate delle semantiche che riguardano l'autorità e la responsabilità attribuita agli utenti assegnati a quel ruolo.
|
|---|
S |
|---|
| SASL | | Simple Authentication and Security Layer. Protocollo usato per aggiungere servizi di autenticazione alle applicazioni di rete basate sulla connessione. L'API di SASL offre una struttura flessibile, che consente ai programmatori di usare un'interfaccia comune per accedere a più servizi di autenticazione.
|
|---|
| scambio di chiavi fuori banda | | Scambio di chiavi che usa un canale protetto all'esterno dei normali canali di comunicazione del computer, come un incontro fra due persone o una telefonata.
|
|---|
| secure shell | | Vedere SSH.
|
|---|
| Secure Sockets Layer | | Vedere SSL.
|
|---|
| Server AAA | | Server per l'autenticazione, l'autorizzazione e gli account. Un server AAA offre servizi di autenticazione, autorizzazione e gestione degli account per l'accesso degli utenti nei punti di ingresso della rete. HP-UX offre server AAA basati sul protocollo RADIUS e sul protocollo Diameter Base.
|
|---|
| SHA1 | | Secure Hash Algorithm-1. Algoritmo di autenticazione, che genera una firma digitale a 160 bit usando una chiave a 160 bit.
|
|---|
| sistema rafforzato | | Sistema informatico con un numero minimo di funzionalità del sistema operativo, di utenti e di applicazioni, usato come barriera per proteggere una rete da utenti indesiderati o da applicazioni dannose o intrusive. Chiamato anche bastion host.
|
|---|
| soggetto | | Utente, host, dispositivo o altra entità in una rete di computer. Nel contesto delle autorizzazioni, chi origina un'operazione con un oggetto che richiede la decisione riguardo ad un'autorizzazione.
|
|---|
| SSH | | Secure Shell. Insieme di servizi di rete, che consente l'accesso remoto protetto, il trasferimento protetto di file e l'esecuzione protetta remota di comandi. SSH inoltre consente l'uso di canali protetti, il port forwarding e dispone di un agente SSH che conserva le chiavi private nel client.
|
|---|
| SSL | | Secure Sockets Layer. Protocollo usato per crittografare i dati di rete. Il protocollo SSL è situato in cima a TCP nello stack dei dati. SSL usa chiavi pubbliche/private per autenticare i responsabili e scambiare una chiave privata (condivisa). SSL quindi usa la chiave privata per crittografare i dati.
|
|---|
V |
|---|
| VPN | | Virtual Private Network. Rete privata all'interno di una rete pubblica, come Internet. Una VPN è virtuale perché usa dei canali per creare all'interno di una rete fisica una rete logica effettivamente separata. Una VPN è privata perché gli utenti esterni non possono vedere o modificare i dati trasmessi. Le VPN che usano l'autenticazione dell'identità dell'host offrono anche protezione contro lo spoofing degli indirizzi IP.
|
|---|
Versione stampabile
