1.7. Glossary of Terms (Glossar der Begriffe)
1.7. Glossary of Terms (Glossar der Begriffe)
Im Folgenden finden Sie eine Liste von Begriffen, die in diesem Dokument verwendet werden.
Authentication (Authentifizierung)
Überprüfung der behaupteten Identität eines Principals.
Authentication header (Authentifizierungsheader)
Ein Datensatz, der ein Ticket und einen Authenticator enthält, die einem Server als Teil des Authentifizierungsprozesses präsentiert werden sollen.
Authentication path (Authentifizierungspfad)
Eine Sequenz von Zwischenrealms, die im Authentifizierungsprozess durchlaufen werden, wenn von einem Realm zu einem anderen kommuniziert wird.
Authenticator
Ein Datensatz, der Informationen enthält, von denen gezeigt werden kann, dass sie kürzlich unter Verwendung des Session Key generiert wurden, der nur dem Client und dem Server bekannt ist.
Authorization (Autorisierung)
Der Prozess der Bestimmung, ob ein Client einen Dienst nutzen darf, auf welche Objekte der Client zugreifen darf und welche Art von Zugriff für jedes Objekt erlaubt ist.
Capability (Fähigkeit)
Ein Token, das dem Inhaber die Berechtigung gewährt, auf ein Objekt oder einen Dienst zuzugreifen. In Kerberos könnte dies ein Ticket sein, dessen Verwendung durch den Inhalt des Authorization Data-Feldes eingeschränkt ist, aber das keine Netzwerkadressen auflistet, zusammen mit dem Session Key, der zur Verwendung des Tickets notwendig ist.
Ciphertext (Geheimtext)
Die Ausgabe einer Verschlüsselungsfunktion. Verschlüsselung transformiert Plaintext in Ciphertext.
Client
Ein Prozess, der einen Netzwerkdienst im Namen eines Benutzers nutzt. Beachten Sie, dass in einigen Fällen ein Server selbst ein Client eines anderen Servers sein kann (z.B. kann ein Druckserver ein Client eines Dateiservers sein).
Credentials (Berechtigungsnachweise)
Ein Ticket plus der geheime Session Key, der notwendig ist, um dieses Ticket erfolgreich in einem Authentifizierungsaustausch zu verwenden.
Encryption Type (etype, Verschlüsselungstyp)
Bei verschlüsselten Daten identifiziert ein Verschlüsselungstyp den Algorithmus, der zur Verschlüsselung der Daten verwendet wurde, und wird verwendet, um den geeigneten Algorithmus zur Entschlüsselung der Daten auszuwählen. Encryption Type Tags werden in anderen Nachrichten kommuniziert, um Algorithmen aufzuzählen, die erwünscht, unterstützt, bevorzugt oder zur Verschlüsselung von Daten zwischen Parteien zugelassen sind. Diese Präferenz wird mit lokalen Informationen und Richtlinien kombiniert, um einen zu verwendenden Algorithmus auszuwählen.
KDC
Key Distribution Center (Schlüsselverteilungszentrum). Ein Netzwerkdienst, der Tickets und temporäre Session Keys liefert; oder eine Instanz dieses Dienstes oder der Host, auf dem er läuft. Der KDC bedient sowohl Initial Ticket- als auch Ticket-Granting Ticket-Anfragen. Der Initial Ticket-Teil wird manchmal als Authentication Server (oder Service) bezeichnet. Der Ticket-Granting Ticket-Teil wird manchmal als Ticket-Granting Server (oder Service) bezeichnet.
Kerberos
Der Name, der dem Authentifizierungsdienst des Project Athena, dem von diesem Dienst verwendeten Protokoll oder dem Code, der zur Implementierung des Authentifizierungsdienstes verwendet wird, gegeben wurde. Der Name ist vom dreiköpfigen Hund übernommen, der Hades bewacht.
Key Version Number (kvno, Schlüsselversionsnummer)
Ein Tag, das mit verschlüsselten Daten verbunden ist, identifiziert, welcher Schlüssel für die Verschlüsselung verwendet wurde, wenn sich ein langlebiger Schlüssel, der mit einem Principal verbunden ist, im Laufe der Zeit ändert. Es wird während des Übergangs zu einem neuen Schlüssel verwendet, so dass die Partei, die eine Nachricht entschlüsselt, feststellen kann, ob die Daten mit dem alten oder dem neuen Schlüssel verschlüsselt wurden.
Plaintext (Klartext)
Die Eingabe für eine Verschlüsselungsfunktion oder die Ausgabe einer Entschlüsselungsfunktion. Entschlüsselung transformiert Ciphertext in Plaintext.
Principal
Eine benannte Client- oder Server-Entität, die an einer Netzwerkkommunikation teilnimmt, mit einem Namen, der als kanonisch betrachtet wird.
Principal identifier (Principal-Identifikator)
Der kanonische Name, der verwendet wird, um jeden unterschiedlichen Principal eindeutig zu identifizieren.
Seal (Versiegeln)
Verschlüsseln eines Datensatzes, der mehrere Felder enthält, auf eine Weise, dass die Felder nicht einzeln ersetzt werden können, ohne Kenntnis des Verschlüsselungsschlüssels zu haben oder Beweise für Manipulationen zu hinterlassen.
Secret key (Geheimer Schlüssel)
Ein Verschlüsselungsschlüssel, der von einem Principal und dem KDC geteilt wird, außerhalb der Grenzen des Systems verteilt wird und eine lange Lebensdauer hat. Im Fall des Principals eines menschlichen Benutzers KANN der geheime Schlüssel von einem Passwort abgeleitet werden.
Server
Ein bestimmter Principal, der eine Ressource für Netzwerkclients bereitstellt. Der Server wird manchmal als Application Server bezeichnet.
Service (Dienst)
Eine Ressource, die Netzwerkclients zur Verfügung gestellt wird; oft von mehr als einem Server bereitgestellt (z.B. Remote-Dateidiensst).
Session key (Sitzungsschlüssel)
Ein temporärer Verschlüsselungsschlüssel, der zwischen zwei Principals verwendet wird, mit einer Lebensdauer, die auf die Dauer einer einzelnen Login-"Sitzung" beschränkt ist. Im Kerberos-System wird ein Session Key vom KDC generiert. Der Session Key unterscheidet sich vom Sub-Session Key, der als nächstes beschrieben wird.
Sub-session key (Teilsitzungsschlüssel)
Ein temporärer Verschlüsselungsschlüssel, der zwischen zwei Principals verwendet wird, von den Principals unter Verwendung des Session Key ausgewählt und ausgetauscht wird, und mit einer Lebensdauer, die auf die Dauer einer einzelnen Verbindung beschränkt ist. Der Sub-Session Key wird auch als Subkey bezeichnet.
Ticket
Ein Datensatz, der einem Client hilft, sich bei einem Server zu authentifizieren; er enthält die Identität des Clients, einen Session Key, einen Timestamp und andere Informationen, alles versiegelt mit dem geheimen Schlüssel des Servers. Es existiert nur, um dem Client zu helfen, sich bei einem bestimmten Server zu authentifizieren; eine bestimmte Anwendung kann es verwenden, und es kann nicht wiederverwendet werden.