CA : Oznacza jednostkę certyfikująca, zaufaną jednostkę, która wydaje certyfikaty cyfrowe
CA certificate [certyfikat CA] : Certyfikat , który weryfikuje tożsamość jednostki certyfikującej. Aby certyfikaty wystawiane przez jednostkę certyfikującą były uznane za zaufane, muszą być podpisane przez samą CA. Aby podpisać certyfikaty, CA wymaga własnego certyfikatu, który jest nazywany certyfikatem CA. Ten certyfikat zawiera klucz publiczny CA i jest używany do podpisywania certyfikatów wydawanych użytkownikom, aplikacjom i systemom ich wymagających. Jeśli CA jest częścią łańcucha hierarchii CA, certyfikat CA jest zazwyczaj podpisywany przez nadrzędna CA w hierarchii. Jeśli CA jest na szczycie hierarchii, CA zazwyczaj sam podpisuje własne certyfikaty, nazywane certyfikatami głównymi
CA hierarchy [hierarchia CA] : Zwana również hierarchią zaufania , hierarchiczny zbiór jednostek certyfikujących połączonych razem przez związki zaufania. W dużej organizacji, jak agencja rządowa lub międzynarodowa firma, pojedynczy departament lub komórka mogą musieć zarządzać swoimi własnymi certyfikatami przez stworzenie własnego CA. Abyu certyfikaty wydane przez jedne dział były akceptowane przez podmioty w innym dziale, należy ustanowić zaufanie między CA w różnych działach. Najczęstszym sposobem zrobienia tego jest ustanowienie hierarchii CA, w której każde CA wydaje i podpisuje certyfikaty dla CA dla CA podrzędnych. Szczyt hierarchii CA nazywa się głównym urzędem certyfikującym i jest powszechnie zaufany przez wszystkie CA w agencji lub przedsiębiorstwie. Główny urząd podpisuje własny certyfikat, aby zagwarantować jego tożsamość oraz kwestie podpisywania certyfikatów urzędów niższego szczebla, gwarantując ich tożsamości. Główny urząd sam nie może wydawać certyfikatów innym podmiotom bezpośredni, a jednostki takie jak użytkownicy, aplikacje lub systemy muszą skontaktować się z CA podrzędnym w swoim dziale dla uzyskania certyfiaktu.
cache poisoning : Metoda używana do niewłaściwego kierowania pewnego typu ruchu sieciowego .Wiele form usług sieciowych wykorzystuje buforowanie w celu poprawy wydajności. Przykładem jest Domain Name System, (DNS) .Zatruwanie DNS możan zabezpieczyć przez załatanie serwerów DNS najnowszą wersja ich oprogramowanie, ale ze względu na rozproszony charakter DNS i korzystanie z kwerend rekurencyjnych,cache poisoningowi można zapobiec jedynie przez wspólny wysiłek całej społeczności internetowej, w tym agencji zarządzających domenami najwyższego poziomu. Innym przykładem jesy AddressResolution Protocol (ARP), Transmission Control Protocol/Internet Protocol (TCP/IP) któy dostarcza adresy Internet Protocol do Media Access Control (MAC) warstwy adresowej. ARP cache rozwiązauje odwzorowanie adresów dla zmniejszenia zbędnego ruchu w sieci i przyspiesza komunikację między hostami w sieci. Oba te protokoły są celem cache poisoningu, w którym sfałszowane pakiety są używane do modyfikacji buforowanych informacji aby w przyszłości żądać takich informacji w niewłaściwym ruchu.
callback [oddzwanianie] : Metoda zabezpieczeń używana przy zdalnym dostępie, Kiedy klient próbuje się uwierzytelnić z serwera zdalnego dostępu na którym został skonfigurowany callback, serwer dostępu kończy próbę połączenia a potem wywołuje ponownie klienta z wcześniej skonfigurowanego numeru telefonu. Pomaga to zweryfikować tożsamość klienta na serwerze, ponieważ tylko klient może odpowiedzieć spod skonfigurowanego numeru, chociaż w rzeczywistości jest to stosunkowo słaba ochrona. Callback może służyć również do zmiany opłat za połączenia klienta, pomagając klientom unikać opłat za rozmowy zamiejscowe.
canonicalization error [błąd kanonizacji] : Błąd kodowania, który może spowodować,że aplikacje będą podatne na atak. Kanonizacja jest to proces, w którym rózne formy nazw są przekształcane do pojedynczej, standardowej nazwy, zwanej nazwą kanoniczna. Błąd kanonizacji jest błędem analizy, który pozwala atakującemu na wysłanie zniekształconej nazwy (zwykle zniekształconego URL′a, wysłanego do serwera sieciowego), która powoduje nieprawidłowe uprawnienia stosowane do zasobów będących dostępnymi. Zasoby systemu plików zazwyczaj dziedziczą uprawnienia folderu w którym się znajdują, ale gdy występuje błąd kanonizacji, plik może uzyskać uprawnienia od dziadka, tzn. folderu wyżej w łańcuchu hierarchii. Jeśli folder dziadka ma mniej restrykcyjne uprawnienia niż folder nadrzędny, atakujący z powodzeniem uzyska dodatkowe uprawnienia i jest możliwość wykorzystania tych dodatkowych uprawnień do uruchomienia jakiegoś ataku.
CAPI : Oznacza Microsoft CryptoAPI., zbiór interfejsów programowania aplikacji (API) dla kryptografii wbudowanych na platformie Microsoft Windows.
CAPICOM : Interfejs Component Object Model (COM) dla interfejsu programistycznego Microsoft CryptoAPI.CAPICOM jest kontrolką ActiveX, która dostarcza interfejsu COM dla CryptoAPI. CAPICOM eksponuje funkcje kryptograficzne CryptoAPI (CAPI) używając COM tak więc projektanci mogą łatwo pisać aplikacje, które szyfrują i deszyfrują dane, cyfrowo podpisują wiadomości, generują i zarządzają kluczami, lub wykonują inne kryptograficzne działania. Ponieważ CAPICOM jest interfejsem COM, może być dostępny z różnych środowisk programistycznych w tym Active Server Pages (ASP) i ASP.NET, Visual Basic Scripting Edition (VBScript), Jsript, C++, C# i VB.NET. Ponieważ CAPICOM jest implementowany jako kontrolka ActiveX, łatwo może być osadzony na stronach internetowych dla kryptograficznych możliwości aplikacji sieciowych
Carnivore : Obecnie nazwane DCS-1000. Technologia używana przez FBI dla monitorowania e-maili
CAS : Oznacza code access security, mechanizm zabezpieczania kodu wbudowany w Microsoft Windows .NET Framework
CAST : Rodzina symetrycznych algorytmów szyfrowania. CAST jest symetrycznym szyfrem blokowym stworzonym przez Carlise′a Adamsa. CAST jest podobny w działaniu do Data Encryption Standard (DES). W oryginalnej formie, CAST-128, używa 128 bitowego klucza z 16 kolejnymi zaokrąglenia aplikacji na 64 bitowym bloku tekstu jawnego. Rozszerzenie o nazwie CAST-256 używa klucza dwa razy większego niż wersja pierwotna. CAST jest dostępny nieodpłatnie dla celów komercyjnych lub prywatnych. CAST został wykorzystany w kilku produktach począwszy od Pretty Good Privacy (PGP) do Microsoft CryptoAPI. Szczegóły działania CAST są opisane w RFC 2144
CBC : Oznacza cipher block chaining, mechanizm sprzężenia zwrotnego powszechnie używanego w szyfrach blokowych
CCA : Oznacza Common Cryptographic Architecture, architekturę kryptograficzną stworzoną przez IBM< dla swoich platform.
cDc : Oznacza Cult of the Dead Cow, znana grupę hackerów
Center for Internet Security : Organizacja non-profit, która pomaga organizacjom w zarządzaniu ryzykiem zawiązanym z bezpieczeństwem systemów informatycznych. CIS to zbiór ponad 170 organizacji biznesowych, naukowych, rządowych, organów ścigania i stowarzyszeń zawodowych, które współpracują w celu zapewnienia narzędzi i zaleceń dla pomia, monitorowania i poprawy bezpieczeństwa systemów informatycznych. Aby osiągnąć te cele, CIS opracowuje i publikuje odniesienia ,które przedstawiają najlepsze praktyki w zabezpieczeniu systemów operacyjnych takich jak Windows, Solaris, HP-UX, Linux i IOS.
CERT/CC : Oznacza CERT Coordination Center, centrum ekspertyz bezpieczeństwa Internetu, działające przy Uniwersytecie Carnegie Mellon. Rozpoczęło działanie w 1988 roku jako projekt Defense Advance Research Projects Agency (DARPA). CERT/CC bada słabości w Internecie, publikuje ostrzeżenia i odnotowuje incydenty, zaleca najlepsze praktyki dla zabezpieczenia sieci, i prowadzi szkolenia. CERT/CC zajmuje technologicznie neutralne podejście. CERT/CC jest powszechnie uznawana za lidera w bezpieczeństwie systemów informatycznych oraz współpracuje z biznesem i przemysłem w celu uczynienia Internetu bezpieczniejszym miejscem.
certificate [certyfikat] : Właściwie certyfikat cyfrowe, zaszyfrowane informacje , które gwarantują ,że klucz szyfrowania należy do użytkownika.
certificate authority (CA)[urząd certyfikacji] : Zaufana jwednostka , która wystawia certyfikaty cyfrowe. Urzędy certyfikacji (CA) stanowią podstawę systemów Infrastruktury Klucza Publicznego (PKI) i odpowiadają za wydawanie certyfikatów cyfrowych w odpowiedzi na żądanie certyfikatu, przy zachowaniu wydawanych certyfikatów, i zarządzanie i publikowanie wygasłych ,nieważnych lub zagrożonych list odwołań certyfikatów (CRL).CA może być samodzielnym podmiotem lub częścią hierarchii lub sieci zaufania. Na szczycie hierarchii stoi główny urząd certyfikacji, który wydaje certyfikaty dla innych urzędów w celu ustalenia ich tożsamości (główny urząd certyfikacji wystawia certyfikaty samemu sobie dla ustalenia własnej tożsamości). W zależności jak jest realizowany PKI, CA mogą współistnieć lub współpracować z urzędami rejestracyjnymi (RA) w celu sprawdzania tożsamości użytkowników żądających certyfikatów
certificate-based authentication [uwierzytelnianie w oparciu o certyfikat] : Uwierzytelniania użytkowników przez certyfikaty cyfrowe może być wykorzystane dla zewnętrznych użytkowników dla bezpiecznego dostępu do zasobów w sieci. Użytkownik zewnętrzny najpierw uzyskuje certyfikat z zaufanego urzędu certyfikacji (CA), Konto użytkownika jest następnie tworzone w katalogu firmowym a odwzorowanie jest ustanawiane między certyfikatem a kontem. Kiedy zewnętrzny użytkownik chce dostępu do zasobów w sieci firmowej, użytkownik przedstawia certyfikat dla serwera uwierzytelniania, który sprawdza go i udziela dostępu na podstawie listy kontroli dostępu (ACL) dla przypisania do konta. Zaletą tego podejścia jest to ,że jeden certyfikat może być przypisywany do wielu kont, dzięki czemu dział z jednej firmy ,na przykład, ma dostęp do zasobów w innej spółce w ramach związku łańcucha dostaw lub partnerstwa biznesowego. Uwierzytelnianie oparte na certyfikacji jest obsługiwane przez usługę katalogową Active Directory na platformie Microsoft Windows.
Certificate Information Systems Auditor (CISA) : Powszechnie akceptowana certyfikacja w zakresie audytu, kontroli i bezpieczeństwa systemów informatycznych. CISA jest certyfikatem wydawanymi przez Information Systems Audit and Control Association (ISACA). Badania certyfikacji sprawdzają wiedzę i praktykę w kilku obszarach, w tym usuwanie skutków awarii i
certificate request [wniosek o certyfikat] : Specjalnie sformatowana wiadomość z wnioskiem o certyfikat z urzędu certyfikacji. Aby podmiot taki jak użytkownik lub aplikacja uzyskała cyfrowy certyfikat, wniosek musi być wysłane do właściwego CA. Ten wniosek musi musi być właściwie sformatowany i zawierać informacje konieczne aby urząd przetworzył wniosek. Podmiot wysyła wniosek wraz z kluczem publicznym do CA, który potem wydaje certyfikat. D Standardowy format w systemie PKI jest format wiadomości z wnioskiem o certyfikat X.509, opisany w RFC 2511
certificate revocation list (CRL) [lista unieważnionych certyfikatów] : Lista unieważnionych certyfikatów zarządzana przez urząd certyfikacji. Certyfikaty są cyfrowo podpisanymi oświadczeniami wydawanymi przez CA na wniosek podmiotów. Te certyfikaty mogą potem być użyte do wykonania bezpiecznej transakcji elektronicznej. W celu uniknięcia nadużywania takich przywilejów, certyfikaty które zostały zgubione, skradzione lub wygasły muszą być łatwo rozpoznawalne dla zaangażowanych stron, a do tych celów CA prowadzi i publikuje listy CRL wydanych wcześniej certyfikatów, które nie są już ważne. W drodze konsultacji takiej listy przed zakończeniem transakcji, podmioty komercyjne są chronione od zobowiązań wynikłych z nieprawidłowych certyfikatów
certificate server [serwer certyfikacji] : Serwer, który wydaje certyfikat dla urzędu certyfikacji (CA). Cyfrowe certyfikaty są wydawane i zarządzane przez aplikacje nazywane serwerami certyfikatów. Aplikacje te są stworzone do automatycznego przetwarzania wniosków o certyfikat, zarządzania centralną bazą danych wydanych certyfikatów, i publikowaniem listy unieważnionych certyfikatów jakie wygasły, zostały zgubione lub skradzione. Serwery certyfikatów stanowią podstawę funkcjonowania systemów PKI, od których zależą bezpieczne transakcje elektroniczne, takie jak bankowość online czy e-commerce.
certificate store [baza certyfikatów] : Centralna baza certyfikatów wydanych i zarządzanych przez urząd certyfikacji CA. Kiedy CA wydaje certyfikat podmiotowi, urząd musi utrzymać kopię certyfikatu dla celów porównawczych. Te certyfikaty są przechowywane w specjalnej bazie danych zwaną bazą certyfikatów, która zwykle zawiera trzy rzeczy:
*Certyfikaty wydane jednostkom wnioskującym o nie
*Listę unieważnionych certyfikatów (CRL), wygasły, zostały zgubione lub skradzione
*Listę zaufanych certyfikatów (CTL) zaufanych urzędów certyfikacji i innych zaufanych podmiotów.
certificate trust list (CTL) [lista zaufanych certyfikatów] : Grupa pozycji podpisanych przez zaufany urząd certyfikacji (CA). Lista zaufanych certyfikatów może zawierać informacje podpisane przez zaufany podmiot, takie jak dokumenty, lista nazw plików, lub lista hash′y certyfikatów. Poprzez te pozycje podpisane przez zaufaną jednostkę, ich autentyczność i własność jest potwierdzona i zapewniona. Na przykład, CA same zarządzają CTL′ami w swoich bazach certyfikatów d;la identyfikacji innych CA również zaufanych. Innym przykładem są serwery sieciowe, które uwierzytelniają klientów w oparciu o certyfikaty klientów. Takie serwery mogą zarządzać własnymi CTL′ami zawierającymi informacje o tym jakie CA są zaufane dla serwera. Jeśli klient próbuje się uwierzytelnić przy użyciu certyfikatu podpisanego przez urząd nie występujący w CTL serwera, serwer odrzuca próbę uwierzytelnienia. Przeglądarki sieciowe również muszą utrzymywać swoje własne CTL′e określające jakie CA są zaufane. Jest to konieczne kiedy przeglądarka musi zweryfikować tożsamość serwera sieciowego używającego własnego certyfikatu serwera,na przykład w bezpiecznej bankowości online.
Certified Information Systems Security Professional (CISSP) : Powszechnie akceptowana certyfikacja specjalistów ds. bezpieczeństwa komputerowego. CISSP jest certyfikatem wydawanym przez International Information Systems Security Certification Consortium, lub (ISC)2 Certyfikacja ta została powszechnie uznana w społeczności IT jako złoty standard dla specjalistów ds. bezpieczeństwa. Certyfikacja CISSP jest trudna do uzyskania . Certyfikacja wymaga doświadczenia, a kandydaci muszą przejść rygorystyczny egzamin z opanowania wspólnego zasobu wiedzy obejmującego 10 pól, w tym kontrolę dostępu, rozwój systemu, kryptografię, etykę i praktyki w zakresie bezpieczeństwa
CFB : Oznacza sprzężenie zwrotne zaszyfrowanego , mechanizm sprzężenia zwrotnego używane do szyfru blokowego o niskiej szybkości transmisji danych
chaining mode [tryb łańcuchowy] : Tryb sprzężenia zwrotnego działania dla szyfrów blokowych. Sprzężenie zwrotne, które polega na kierowaniu niektórych wyjść procesu do jego wejścia, jest szeroko używane w kryptografii dla tworzenia większej losowości w zaszyfrowanej informacji. Niektóre szyfry blokowe mogą działać w trybie łańcuchowym, w którym część danych wyjściowych jednej aplikacji szyfru jest połączone z kolejnym blokiem tekstu jawnego do przetworzenia. Ma to wyraźną przewagę nad prostymi szyframi, które przetwarzają bloki tekstu jawnego niezależnie od innych, dla takich szyfrów generowany jest identyczny tekst zaszyfrowany kiedy tekst jawny jest taki sam. Najczęstszy typ trybu łańcuchowego używanego w szyfrach blokowych jest nazywany wiązaniem bloków zaszyfrowanych (CBC), który używa prostego matematycznego algorytmu, który ma minimalny wpływ na wydajność działania szyfru.
Challenge Handshake Authentication Protocol (CHAP) : Schemat uwierzytelniania wyzwanie-odpowiedź używany przy zdalnym dostępie. Challenge Handshake Authentication Protocol (CHAP) został zdefiniowany w RFC 1994 i jest jednym z kilku schematów uwierzytelniania używanym przez Point-to-Point Protocol (PPP) i jest dziedziczony. CHAP jest oparty na mechanizmie wezwanie-odpowiedź i uwierzytelnia użytkowników bez konieczności transmisji ich haseł w połączeniu w dowolnej formie,albo jawnej albo zaszyfrowanej. Zamiast tego, CHAP używa standardu przemysłowego algorytmu Message Digest 5 (MD5) do hashowania haseł użytkowników i przekazywania ich hash jednokierunkowo. Aby uniknąć ataku metodą powtórzeń, CHAP kontynuuje wysyłanie wyzwań w losowych przedziałach czasu podczas sesji klienta. CHAP jest obsługiwany przez większość serwerów dostępu, w tym routery Ciosco i routing and Remote Access Service (RRAS) na platformach Microsoft Windows.
challenge response authentication [uwierzytelnianie challenge repsonse] : Schemat uwierzytelniania w którym hasła nie są przekazywane w połączeniu. Uwierzytelnianie takie jest bezpiecznym schematem uwierzytelniania w którym klient najpierw kontaktuje się z serwerem prosząc o uwierzytelnienie. Serwer odpowiada wysyłając klientowi losowo wygenerowany łańcuch bajtów nazwanych wezwaniem. Klient hashuje łańcuch wezwania z hasłem użytkownika a wynik wysyła w odpowiedzi do serwera. Następnie serwer wykonuje takie samo hashowanie używając wezwania i hasła użytkownika,które pobiera z bazy danych zabezpieczonych kont. Serwer porównuje odpowiedzi od klienta z własnymi hashami i jeśli dwa są takie same, serwer uwierzytelnia klienta i pozwala na dostęp do sieci. Formy uwierzytelnienia challenge response stanowią podstawę uwierzytelniania LAN Manager (NTLM) na platformie Microsoft Windows NT.
Czernobyl : Powszechnie znany wirus z destrukcyjną zawartością. Wirus Czarnobyl jest wirusem wypełniaczem przestrzeni, który wypełnia całą dostępną przestrzeń na dysku twardym komputera. Wirus stara się zastąpić Flash BIOS, co może spowodować ,że system będzie niezdolny do uruchomienia. Infekcja może spowodować nie tylko utratę danych, ale również realne uszkodzenia kości BIOS i płyt głównych. Czarnobyl był pierwszym znanym wirusem komputerowym który mógł fizycznie uszkodzić komputer. Czarnobyl po raz pierwszy pojawił się w 1998 roku i siał spustoszenie kiedy został uruchomiony 16 kwietnia 1999 roku,w 13 rocznicę katastrofy w Czarnobylu w ZSRR. Czasami nazywa się CIH, dla inicjałów autora, Chen Ing-hau, studenta inżynierii komputerowej na Tajwanie. Nowe szczepy CIH nadal się pojawiają , od czasu jego pierwszego uruchomienia.
chief security officer (CSO) [osoba odpowiedzialna za bezpieczeństwo] : Osoba odpowiedzialna za bezpieczeństwo firmowej sieci i systemów łączności. Przy coraz większych problemach w dziedzinie bezpieczeństwa systemów informatycznych i zasobów, nowym miejscem na mapie dużej organizacji pojawił się CSO. Typowe obowiązki CSO to:
*Opracowanie polityki bezpieczeństwa i praktyki dla uwierzytelniania i kontroli dostępu i zapewnienie ich przestrzegania
*Pozyskiwanie sprzętu i oprogramowania niezbędnego dla zapewnienia bezpieczeństwa sieci , systemów komunikacyjnych i zasobów
*Szkolenie i kształcenie użytkowników w dziedzinie świadomości bezpieczeństwa i najlepszych praktyk
*Bezpieczne zarządzanie aktywami informacji dla użytkowników stałych i mobilnych
W zależności od wielkości firmy, CSO może raportować dyrektorowi ds. informatycznych lub nawet dyrektorowi naczelnemu, a jedną z tych ról może łączyć w mniejszych firmach.
chosen ciphertet attack [atak za pomocą wybranego tekstu zaszyfrowanego] : Kryptoanalityczny atak używający wybranego tekstu zaszyfrowanego do pracy. W ataku tym, atakujący odszyfrowuje wybrane fragmenty tekstu zaszyfrowanego przy użyciu nieznanego klucza do kryptosystemu. Przez porównanie zwykłego tekstu z wybranym tekstem zaszyfrowanym używając metod kryptoanalitycznych, atakujący próbuje określić klucz deszyfrujący używany przez system. Ta metoda może być skuteczna przeciwko systemom szyfrowania kluczem publicznym, w których jeden klucz jest używany do szyfrowania informacji , a drugi do odszyfrowywania.
chosen plaintext attack [atak wybranym tekstem jawnym] : Kryptoanalityczny atak używający wybranego tekstu jawnego. W ataku tym, atakujący szyfruje wybraną częścią tekstu jawnego używając nieznanego klucza dla kryptosystemu. Przez porównanie wynikowego tekstu jawnego z wybranym tekstem jawnym używając metod kryptoanalitycznych, atakujący próbuj określić klucz szyfrujący używanych przez ten system. Ponieważ ta metoda może określić tylko klucz szyfrujący, jest skuteczny tylko przeciwko rewersyjnym systemom szyfrowania które używają tego samego klucza dla szyfrowania i deszyfrowania informacji.
chroot jail : Środki bezpieczeństwa w celu ograniczenia dostępu do plików w UNIX/Linux. Ten środek bezpieczeństwa zabezpiecza aplikacje i demony (usługi) przed dostępem do plików poza określonym drzewem katalogów. Ogranicza to szkody jakie można zrobić w przypadku kiedy aplikacja lub słabość mogą zostać naruszone przez złośliwego atakującego. Na przykład można skonfigurować demona Berkeley Internet Name Domain (BIND) tak aby działał chrooted do katalogu chroot/nazwany. Wynik jest taki ,że BIND widzi ten katalog jako główny (/) i tym samym nie jest w stanie wyświetlić lub mieć dostęp do czegoś poza drzewem katalogów przy podstawie /chroot/nazwany/ Innym typowym przykładem jest demon FTP, gdzie katalog domowy pojawia się jako katalog główny maszyny użytkowników FTP.
CIAC : Oznacza Computer Incident Advisory Capabilitym, gałąź Departamentu Energetyki USA, który zapewnia pomoc w przypadku wystąpienia incydentów z bezpieczeństwem komputerowym.
cipher[szyfr] : Inna nazwa dla algorytmu szyfrowania, matematyczna procedura dla konwersji tekstu jawnego do tekstu zaszyfrowanego
cipher block chaining [wiązanie bloków zaszyfrowanych] : Mechanizm sprzężenia zwrotnego powszechnie używany w szyfrach blokowych. Wiązanie odnosi się do procesu łączenia poprzednio wygenerowanego tekstu zaszyfrowanego z nowym tekstem jawnym. Zamiast szyfrowania każdego bloku tekstu jawnego niezależnie, blok tekstu jawnego jest najpierw XOR′owany z ostatnim wygenerowanym blokiem tekstu zaszyfrowanego, a wtedy szyfr blokowy jest stosowany jako wynik. Pierwszy blok tekstu jawnego, nie mający poprzedzającego bloku zaszyfrowanego tekstu do użycia w tym procesie, to zamiast tego XOR′owany jest z losowo wygenerowanym seedem zwanym wektorem inicjującym. Wynikowy tekst zaszyfrowany jest trudniejszy do odszyfrowania niż w przypadku wiązania, ponieważ identyczne bloki tekstu jawnego nie tworzą identycznego tekstu zaszyfrowanego. CBC jest domyślnym trybem szyfrowania używanym w Microsoft CryptoAPI (CAPI)
cipher feddback (CFB) [szyfrowe sprzężenie zwrotne] : Mechanizm sprzężenia zwrotnego używany dla szyfrów blokowych o niskiej szybkości transmisji danych. Sprzężenie zwrotne jet mechanizmem używanym do zapobiegania szyfrowm blokowym przez przekształceniem identycznych bloków tekstu jawnego w identyczny tekst zaszyfrowany. Najpopularniejszy mechanizmem sprzężenia zwrotnego używany to tryb łańcuchowy, który łączy razem całe bloki tekstu jawnego i zaszyfrowanego Innym podejściem czasami używanym jest szyfrowe sprzężenie zwrotne, w którym małe przyrosty teksty jawnego są przekształcane w szyfr zamiast przetwarzania całych bloków naraz. Dla standardowego 64 bitowego, blok zazwyczaj jest dzielony na osiem części po 8 bitów, każdy używający rejestru przesuwnego. Następnie dla każdego cyklu szyfrowania, rejestr przesuwny jest najpierw wypełnianym wektorem inicjalizacji, losowym seedem używanym dla rozpoczęcia procesu szyfrowania. Cały blok jest potem szyfrowany, 8 bitów z lewej strony jest łączone z pierwszymi 8 bitami tekstu jawnego, a wynik jest 8 bitowym tekstem zaszyfrowanym. Rejestr przesuwny przesuwa wtedy 8 bitów w lewo, 8 bitów wcześniej wygenerowanych jest przesuwane do prawych 8 bitów rejestru, i proces się powtarza. Szyfrowe sprzężenie zwrotne jest zazwyczaj stosowane w sytuacjach w których szybkość transmisji danych przychodzących jest wolna, na przykład, kiedy dane pochodzą z klawiatury.
cipher mode [tryb szyfrowania] : Tryb działania dla szyfru blokowego. Szyfry blokowe są algorytmami szyfrowania, który szyfruje tekst jawny we fragmentach zwanych blokami. Można to wykonać na dwa sposoby
*Każdy blok tekstu jawnego może być przetworzony niezależnie do innych. Jest to najszybsza metoda ale cierpi z powodu słabości ,ze identyczne bloki tekstu jawnego są przekształcane w identyczne bloki tekstu zaszyfrowanego .Proces ten jest zwykle nazywany Elektroniczną Książką Kodów (ECB), w uznaniu ,że ta metoda nosi podobieństwo do książek kodowych używanych w czasie wojny, przed pojawieniem się komputerów.
*Tekst jawny można łączyć z tekstem zaszyfrowanym dla dalszego kodowania wyniku, tak ,że identyczne bloki testu jawnego nie tworzą dłużej identycznego tekstu zaszyfrowanego. Jedną z popularnych metod zrobienia tego nazywa się wiązaniem szyfru blokowego (CBC), który łączy każdy blok tekstu jawnego z poprzednim blokiem tekstu zaszyfrowanego przed zaszyfrowaniem wyniku. Innym podejściem jest szyfrowe sprzężenie zwrotne (CFB), które łączy mniejsze części tekstu jawnego z tekstem zaszyfrowanym przed zaszyfrowaniem wyniku
ciphertext [tekst zaszyfrowany] : Informacje, które zostały zaszyfrowane. Szyfrowanie to proces przekształcania tekstu jawnego w tekst zaszyfrowany. Tekst jawny jest to informacja czytelna dla człowieka, na przykład wiadomość e-mail wpisane w edytorze tekstowym. Aby zapobiec odczytaniu informacji poufnych przez kogoś kto ją przechwycił, wiadomość może być zaszyfrowana przy użyciu procedury matematycznej nazwanej algorytmem szyfrowania. W wyniku zastosowania tego algorytmu do tej informacji mamy tekst zaszyfrowany, ciąg bitów nadal zawiera oryginalne informacje, ale które nie mogą być odczytane przez nikogo, dopóki nie zostaną odszyfrowane dla przekształcenia ich z powrotem do tekstu jawnego.
ciphertext-only attack [atak zaszyfrowanym tekstem] : Atak kryptoanalityczny używający tylko tekstu zaszyfrowanego do pracy. W tym ataku, atakujący ma tylko próbkę tekstu zaszyfrowanego. Nic nie wiadomo o tekście jawnym, z którego ta próbka została wygenerowana, co sprawia ,że niezwykle trudno złamać używany system szyfrowania. Ogólnie rzecz biorąc , tego typu ataki mogą być skuteczne tylko kiedy jest bardzo duża ilość próbek tekstu zaszyfrowanego aby wykonać analizę statystyczną w połączeniu z odgadywaniem pewnych właściwości oryginalnego tekstu jawnego. Inna nazwa tego typu ataku to atak rozpoznawalnym tekstem jawnym
CIS : Oznacza Cenetr for Internet Security, organizacja non-profit, która pomaga organizacjom zarządzać ryzykiem związanym w bezpieczeństwem systemów informatycznyh
CISA : Oznacza Certificate Information System Auditro, szeroko akceptowalny certyfikacja w audytowaniu, kontroli i zabezpieczeniach systemów informatycznych
cleartext [tekst jawny] : Inna nazwa dla tekstu jawnego, informacja która jest łatwo odczytywana przez człowieka
clogging attack [atak zatkania] : Atak Denial of Service (DoS) przeciwko systemowi kryptografii kluczem publicznym. W tym ataku. Atakujący wysyła kopię klucza publicznego do użytkownika docelowego ze sfałszowanych adresów źródłowych legalnych użytkowników. Użytkownik docelowy szybko staje się przeładowany weryfikacją tych kluczy, a wynikiem jest zablokowanie legalnych użytkowników próbujących się skontaktować z użytkownikiem docelowym. Pewne algorytmy szyfrowania takie jak Diffie-Hellman są podatne na ataki zatykające. Protokół wymiany klucza Oakley jest oparty na DH ale ma usprawnienia, które zapobiegają zatykaniu. Simple Key-Management for Internet Protocols (SKIP), prptokół stworzony przez Sun Microstystems dla zarządzania kluczami w sieciach IP. Jest rów odporny na ataki zatykające.
code access permissiona [uprawnienia dostępu kodu] : Uprawnienia używane w Microsoft .NET Framework dla ochrony zasobów dostępnych przez kod przed nieautoryzowanym dostępem. Uprawnienia dostępu kodu są wykorzystywane do wymuszania ograniczeń bezpieczeństwa zarządzanego kodu i wdrożenia zabezpieczeń dostępu kodu na platformie. Uprawnienia dostępu kodu ułatwiają pisanie bezpiecznego kodu przez dostarczanie wbudowanego mechanizmu dla kontroli dostępu do chronionych zasobów systemu operacyjnego i działań, Microsoft .NET Framework definiuje szereg wbudowanych uprawnień dostępu kodu, które mogą być używane do kontroli dostępu do usług katalogowych, DNS, zmiennych środowiskowych, dziennika zdarzeń, systemu plików, kolejki komunikatów, liczników wydajności, drukarek, rejestru, usług i innych zasobów. Dodatkowo, programiści mogą także zdefiniować swoje własne uprawnienia gdy wbudowane uprawnienia są niewystarczające dla kontroli dostępiu
code access security (CAS) : Mechanizm zabezpieczenia kodu wbudowany w Microsoft .NET Framework. CAS jest zaprojektowany dla ochrony komputerów przed złośliwym kodem, na przykład, w oprogramowaniu pobieranym z Internetu. CAS jest również stworzony tak aby kod z niezaufanego miejsca pochodzenia uruchamiał się bezpiecznie i zapobiega temu aby zaufany kod przypadkowo lub celowo naraził bezpieczeństwo systemu. CAS definiuje różne poziomy zaufania, które zależą od tego , skąd pochodzi kod i stosuje mechanizmy , które wymuszają te poziomy zaufania. Dzięki zastosowaniu CAS, prawdopodobieństwo wprowadzenia szkodliwego kodu jest zmniejszone, a poziom uszkodzeń mogą ulec zmniejszeniu.
code signing : Podpisanie kodu z certyfikatem cyfrowym sprawdza jego autentyczność i integralność. Ważnym pytaniem dla użytkowników , którzy pobierają oprogramowanie z Internetu jest pytanie czy mogą zaufać integralności i autentyczności oprogramowania/ w tym kontekście, integralność oznacza ,że oprogramowanie nie zostało zmodyfikowane kiedy był projektowany. Podczas gdy autentyczność gwarantuje ,że oprogramowanie pochodzi stad , gdzie jest to napisane. Rozwiązaniem tych problemów jest podpisanie kodu używając cyfrowych certyfikatów wydawanych przez zaufany urząd, ale niezależną urząd certyfikacji, lub samego sprzedawcę oprogramowania. Microsoft Authenticode jest popularnym przykładem mechanizmu podpisywania kodu w celu zapewnienia użytkowników ,że oprogramowanie , które pobierają z Internetu jest autentyczne i nie zostało zmodyfikowane. Należy pamiętać ,że podpisywanie kodu nie musi koniecznie oznaczać ,że takie oprogramowanie jest bezpieczne dla użytkowników je instalujących, ponieważ oprogramowanie może być autentyczne i integralne , ale zawierające błędy
Common Criteria & Methodology for Information Technology Security Evaluation : Zwykle nazywane Common Criteria, międzynarodowe wysiłki na rzecz ujednolicenia kryteriów oceny bezpieczeństwa systemów informatycznych. Common Criteria jest wynikiem szeregu działań kilku państw, które zaczęły we wczesnych latach osiemdziesiątych XX wieku od Trusted Computer Systems Evaluation Crietria (TCSEC) lub Ornage Book, opracowaną przez Departament Obrony USA. Wysiłki te w połączeniu z European Informatopn Technology Security Evaluation (ITSEC) z lat dziewięćdziesiątych stworzyły Projekt Common Criteria, którego pierwsza wersja Common Criteria została wydana w 1996 roku, Zmieniona wersja tych kryteriów przekształciła się w normę ISO 15408 w 1999 roku. Common Criteria zapewnia wspólny język dla określenia wymogów bezpieczeństwa i opisuje możliwości w zakresie bezpieczeństwa produktów. To także szereg poziomów pewności oceny (EAL), międzynarodowy progragram dla akredytacji laboratoriów dla testowania i oceny bezpieczeństwa produktów.
Common Cryptographic Architecture (CCA) : Architektura kryptograficzna stworzona przez IBM dla swoich platform komputerowych. CCA definiuje zbiór API dla dostarczania usług kryptograficznych dla aplikacji. Te API obejmują funkcję poufności, integralność danych i uwierzytelniania wiadomości .Architektura jest oparta na Data Encryption Standard (DES) i znalazł szerokie zastosowanie w bankowości i finansach w IBM 4758, zabezpieczonych kart PCI, które dołączone do PC dostarczają funkcji kryptograficznych dla bezpiecznej komunikacji
Common Vulnerabilities and Exposure (CVE) [Znane luki i zagrożenia] : Branżowy standard nazewnictwa luk w zabezpieczeniach i inne zagrożeń bezpieczeństwa informacji CVE jest zarządzane przez MITRE Corportation we współpracy z ekspertami ds. bezpieczeństwa, instytucjami naukowymi, instytucjami rządowymi i dostawcami narzędzi bezpieczeństwa. CVE został opracowany w celu ujednolicenia nazewnictwa luk w zabezpieczeniach, tak aby informacje mogły być współdzielone między różne bazy danych i narzędzia bezpieczeństwa. CVE funkcjonuje jako rodzaj słownika wszystkich publicznie znanych luk i zagrożeń dla systemów operacyjnych i aplikacji National Institute of Standards and Technology (NIST) uznał znaczenie CVE jaki wschodzącego standardu przemysłowego
compromised system [system naruszony] : System komputerowy z naruszoną integralnością ponieważ atakujący uzyskał nielegalny dostęp. Cele złośliwego pojedynczego ataku na system komputerowy jest naruszeniem systemu. Naruszenie systemu oznacza penetrację obrony zabezpieczeń systemu i uzyskanie dostępu do pewnego poziomu kontroli nad jego procesami i informacją. Są różne poziomy na których system może być zagrożony, począwszy od stosunkowo łagodnych, takich jak oszpecenie witryny internetowej do bardzo niebezpiecznych ,takich jak uzyskanie dostępu do konta administratora. Gdy system zopstał naruszony, atakujący umieścił exploit. Może być wtedy wykorzystany dlaje ,jak np. w Distributed Denial of Service (DdoS), w których systemy naruszone, zwane zombie, są używane do przeprowadzania ataków na inne systemy. CERT Coordination Center (CERT/CC) oferuje rekomendacje dotyczące procedury w przypadku naruszenia systemu .Zalecane kroki to:
*Konsultacje z zarządzającymi,radcą prawnym i organami ścigania
*Odłączenie systemu od sieci
*Wykorzystanie systemów do analizy włamań
*Wyszukiwanie modyfikacji w systemie, konfiguracji i plikach danych
*Badanie innych systemów w sieci w celu wykrycia naruszenia
*Zgłoszenie wypadku do centrum reagowania
*Przywrócenie systemu z czystej instalacji i utrudnienie przed podobnymi włamaniami w przyszłości.
computer forensic [informatyka śledcza] :Uzyskanie dowodów działalności przestępczej z systemów informatycznych. Informatyka śledcza wymaga zastosowania zarówno technologii komputerowej i ekspertyz prawnych w celu uzyskania ze sprzętu komputerowego i oprogramowania dowodów włamania, niewłaściwego wykorzystania, kradzieży lub innej przestępczej działalności. Informatyka śledcza jest zatem gałęzią bardziej ogólnych tematów śledczych, zastosowania nauki i technologii do śledztw. Wraz z szybkim rozwojem Internetu i e-commerce, nastąpił wzrost przestępczości komputerowej, a organy ściągania musiały zastosować nowoczesne metody ścigania i aresztowania tych ,którzy popełniają te przestępstwa Informatyka śledcza jest czymś więcej niż odzyskiwaniem danych usuniętych z dysku twardego. Jest to metodyczny proces pozyskania, identyfikowania, dokumentowania i ochrony zasobów cyfrowych w formie która spełnia potrzeby organów ścigania, prokuratorów, sądów, firm ubezpieczeniowych. Podczas przeprowadzania śledztw komputerowych, muszą być spełnione pewne wymagania, w szczególności integralność oryginalnego nośnika nie może być naruszona. Najlepsza praktyka podpowiada ,że takie badania nigdy nie powinny być wykonywane na nośniku oryginalnym, ale na kopii, co zmniejsza niebezpieczeństwo uszkodzenia dowodów na dysku oryginalnym. Dokładna dokumentacja procedur odzyskiwania danych i staranne przechowywanie oryginalnego nośnika są również warunkami dla odzyskania dowodów. Eksperci informatyki śledczej muszą być w stanie przedstawić dowody w sądzie w sposób, który sprawia ,że skomplikowane technologie są zrozumiałe dla sędziów.
Computer Security Division (CSD) : Dział National Institute of Standards and Technology (NIST), który skupia się na bezpieczeństwie systemów informatycznych. CSD jest jednym z ośmiu działów Information Technology Laboratory przy NIST, a jego celem jest poprawa bezpieczeństwa systemów informatycznych:,br>
*Badanie podatności na zagrożenia oraz techniki i procedury ich przezwyciężania
*Opracowanie standardów i wskaźników dla badania i weryfikacji bezpieczeństwa systemów i produktów.
*Zapewnienie wskazówek dotyczących planowania i wdrażania bezpiecznych systemów informatycznych
*Podnoszenie świadomości społecznej w społeczności IT dotyczącej zagrożeń w dziedzinie bezpieczeństwa
Obszary badania i rozwoju CSD koncentrują się na obszarze kryptografii, badań i oceny, zarządzania, szkolenia świadomości. CSD również zarządza Computwer Security Resource Center (CSRC) wydający biuletyny,raporty i publikuje informuje o nadchodzących warsztatach i wydarzeniach.
computer security incident response team (CSIRT) [grupą reagowania na incydenty bezpieczeństwa] : Termin używany przez CERT/CC dla opisania organizacji usługowej, która reaguje na zdarzenia naruszenia ochrony komputera. CERT/CC jest wiodącym centrum wiedzy o zabezpieczeniach internetowych prowadzonym przez Uniwersytet Carnegie Mellon.
.
confidentiality [poufność] : Koncepcja bezpieczeństwa zakładająca zabezpieczenie przed przechwyceniem, przeglądaniem lub kopiowaniem. Poufność jest ważnym elementem w bezpiecznej transmisji informacji elektronicznej. W sieci przewodowej i bezprzewodowej, atakujący może próbować podsłuchiwać celem przechwycenia haseł lub wrażliwych informacji biznesowych, takich jak numery kart kredytowych. Aby zapobiec podsłuchiwaniu, komunikacja może być szyfrowana przy użyciu Data Encryption Standard (DES) lub Advanced Encryption Standard (AES_ w celu zapewnienia poufności. Ponadto komunikacja może być podpisana cyfrowo w celu zapewnienia jej integralności, czyli zapewnienia ,że informacje nie zostały naruszone podczas transmisji.
confidentiality agreement [ umowa o zachowaniu poufności] : Umowa między dwiema stronami o zachowaniu poufności informacji biznesowych jakie wymieniają między sobą. Umowy takie są powszechne w wielu obszarach biznesowych.
consensus baseline security settings [podstawowy konsensus w kwesti bezpieczeństwa] : Zbiór wskazówek odnośnie bezpieczeństwa komputerowego w Microsoft Windows 2000 Profesional. Jest to zaawansowany zbiór rekomendacji stworzonych przez Center for Internet Security (CIS), orgranizację non-profit, kóra pomaga organizacjom zarządzać ryzykiem związanym z bezpieczeństwem systemów informatycznych, w połączeniu z Critical Infrasturcture Protection Board Narodowej Agencji Bezpieczeństwa, Genral Services Administration, NIST , Sefense Information Systems Agency (DISA) i SANS Institute.
cookie poisoning [zatruwanie cookies] : Atak związany z modyfikacją cookies na komputerze klienta. Cookies są małymi plikami stworzonymi na komputerze klienta kiedy system przegląda pewne strony internetowe. Ciasteczka mogą zawierać informacje o zwyczajach zakupowych użytkownika, informacje osobiste, takie jak hasła lub daty urodzenia. Zatrucie cookie polega na modyfikowaniu cookies na komputerze klienckim w celu podszycia się pod użytkownika, forma kradzieży tożsamości. Używając zmodyfikowanego ciasteczka, atakujący może odwiedzać witryny internetowe, odwiedzane przez użytkownika i próbować uzyskiwać dostęp do danych osobowych użytkownika , przechowywane na stronie, takie jak numer karty kredytowej. Najlepszą ochroną przeciwko takim atakom jest dla witryn , które używają plików cookies, aby zaszyfrować je taka ,aby atakujący nie potrafili odczytać lub edytować informacji w nich zawartych.
covert channel [kanał ukryty] : Kanał komunikacyjny , który ukrywa nielegalny przepływ informacji w ramach normalnego strumienia komunikacyjnego. W sieci komputerowej, ukryte kanały są metodami dla tajnego przesyłania informacji przez ukrycie jej części pakietów , które nie są zazwyczaj używane od tego celu. Przykłady obejmują ukrywanie informacji w polu identyfikacji pakietów Internet Protocol (IP), początkowa sekwencja liczb pola pakietów Transmission Control Protocol (TCP), lub sekwencję potwierdzenia numeru pola w pakietach TCP. Ukryta transmisja używająca tych metod może często przechodzić przez firewalle i systemy wykrywania włamań (IDS) bez oznaczania lub generowania alertu szczególnie jeśli zawarte w ruchu skierowanym do portów normalnie otwarte, takie jak port TCP 80 dla ruchu HTTP. Do firewalla lub IDS, takie pakiety wydająsię nieszkodliwymi pakietami HTTP, podczas gdy w rzeczywistości poufne informacje biznesowe mogą być przesyłane przez szpiegów przemysłowych lub niezadowolonych pracowników. Tylko za pomocą specjalnych narzędzi, które mogą identyfikować nietypowe wzorce ruchu w sieci, takie jak niezamówione pakiety SYN/ACK, mogą takie informacje wykryć. Ukryte kanały są niezmiernie trudne do wykrycia i ochrony przed nimi. Są one często używane przez trojany dla potajemnej kontroli zaatakowanego systemu ze zdalnej lokacji
cracking : Nielegalne modyfikowanie oprogramowania komercyjnego z pominięciem procedur uwierzytelniania lub rozszyfrowanie zaszyfrowanej komunikacji. Cracking oprogramowania z reguły polega na ominięciu licencji i ograniczeń dotyczących w komercyjnym oprogramowaniu za pomocą nielegalnych metod. Metody te mogą obejmować modyfikowanie kodu bezpośrednio przez disasemblację i edytowania bitów, dzielenie skradzionego klucza produktu, tworzenie oprogramowania do generowania kluczy aktywacyjnych itd. Cracking jest w istocie forma piractwa oprogramowania i jest karalne. Termin cracking jest również używany do opisania włamania do systemu lub sieci przez niewłaściwe procedury uwierzytelniania. Typowym przykładem jest łamanie haseł co wiąże się z odgadywaniem haseł i próbą uzyskania dostępu do wrażliwych danych, takich jak informacje o karcie kredytowej przechowywane w bazie danych. To słowo może by również używane do opisania prób odgadnięcia kluczy sesyjnych używanych do szyfrowania komunikacji między dwoma jednostkami. Z rozwojem sieci bezprzewodowych, troska o prywatność łączności bezprzewodowej stała się istotnym problemem dla wielu firm. Podczas gdy hacking jest działalnością, która ma długą i szacowną historię w świecie komputerowym i jest powodowany ciekawością mieszaną z wysokim stopniem dumy z osiągnięć, cracking jest przede wszystkim działalnością przestępczą, której celem jest kradzież lub zniszczenie informacji . Cracker jest osobą , która próbuje złamać klucze oprogramowanie lub hasła sieciowe, zwykle w złośliwych celach. Crackerzy zwykle są nazywani czarnymi kapeluszami,w odróżnieniu od białych kapeluszy, lub hackerów, związanych ze wspólnotą zajmującą się bezpieczeństwem. Crack może oznaczać kradzież klcuza produktu, odgadywanie hasła, procedury do włamania do sieci lub aplikacji, lub narzędzie dla osiągnięcia takich celów.
CRC : Oznacza cyclical redundancy check, matematyczną technikę dla zapewnienia integralności danych.
credentials [dane uwierzytelniające] : Informacje używane do uwierzytelniania użytkownika w systemie lub sieci. Dane te są fragmentami informacji ,jaką użytkownik wysyła aby uzyskać dostęp do zasobów sieciowych. Najpopularniejszą formą danych uwierzytelniających jest konto użytkownika, które zwykle się składa z trzech rzeczy:
*Nazwy użytkownika lub konta użytkownika
*Hasła
*Domeny lub obszaru definiowania sieci, do której należy konto użytkownika
Środowiska o wysokim poziomie bezpieczeństwa mogą wymagać więcej informacji dla identyfikacji użytkownika przed udzieleniem dostępu. Przykładem jest cyfrowy certyfikat identyfikujący użytkownika i przechowywany na urządzeniu takim jak inteligentna karta lub token. Może być również używana biometria dla uwierzytelniania użytkowników, w których jest pobierany odcisk palca, skanowana siatkówka lub inne cechy fizyczne dla uwierzytelniania użytkownika.
cross-realm authentication [uwierzytelnianie cross-relam] : Kerberos jest protokołem bezpieczeństwa dla uwierzytelniania użytkowników i aplikacji w sieciach rozproszonych. Podstawową jednostką uwierzytelnia w Kerberos jest dziedzina, która jest siecią odsługiwaną przez pojedynczą grupę serwerów centrum dystrybucji klucza (KDC) współdzielących wspólną bazę danych uwierzytelniania. Generalenie, KDC może tylko uwierzytelniać użytkowników z własnej dziedziny. Używając uwierzytelniania krzyżowego dziedzin, KDC w różnych dziedzinach ustanawiają zaufanie poprzez współdzielenie tajemnicy, zwanej tajemnicą krzyżowych dziedzin. Ta tajemnica jest używana do potwierdzenia tożsamości głównej kiedy przekracza granicę między dwoma dziedzinami.
cross-site scripting (CSS) : Słabość serwera internetowego wynikająca z ubogiej walidacji danych wejściowych. CSS po raz pierwszy został zidentyfikowany na początku 2000 roku, kiedy CERT/CC wydał ostrzeżenie przed atakom na serwery sieciowe z uruchomionym Internet Information Services (IIS). W typowym scenariuszu cross-site scriptingu, złośliwy użytkownik wysyła wiadomość na forum dyskusyjnym. Wiadomość zawiera link do witryny sieci utworzonej przez atakującego. Gdy użytkownik kliknie ten link, ukryty w tagu skrypt powoduje reakcję danej strony wykonującej się u klienta z niepożądanymi efektami. Przez właściwe zaprojektowanie kodu skryptu, osoba atakująca może uzyskać całkowitą kontrolę nad systemem klienta i wykonywać dowolny kod. Przez wyłączenie skryptów w przeglądarkach, użytkownicy mogą zapobiec takim atakom na ich systemy kosztem ograniczonej funkcjonalności.
cryptoanalysis [kryptoanaliza] : Nauka odkrywania metod dla łamania kryptosystemów. Podczas gdy kryptografia dotyczy odkrywania nowych metod szyfrowania informacji w celu zapewnienia jej prywatności, kryptoanaliza dotyczy odwrotnego pytania, jak złamać systemy szyfrowania. Teoretycznie, schematy szyfrowania mogą zostać złamane za pomocą brute force dla wielokrotnego odgadywania jaki może być klucz szyfrowania. Ale w nowoczesnych algorytmach szyfrowania, brute force nie jest wystarczająca, ponieważ może na najszybszym komputerze potrwać wiek aby złamać pojedynczą wiadomość zaszyfrowaną takim algorytmem. Zadaniem kryptoanalityka jest opracowanie bardziej wyrafinowanej metody niż brute force dla wykorzystania słąbości znanych algorytmów lub poszukiwanie sposobów zdobywania informacji o nieznanych informacjach aby złamać kryptosystem i odszyfrować wiadomość. Praktycy na polu kryptoanalizy są nazywani kryptologami.
CryptoAPI (CAPI) : Zbiór API dla krytpografi wbudowany na platformach Microsoft Windows. CAPI jest warstwą usług kryptograficznych, które mogą być używane przez aplikacje uruchamiane w systemie Windows. CAPI dostarcza pięciu głównych funkcji:
*Podstawowe funkcje kryptograficzne, w tym funkcje kontekstowe dla połączenia dostawcy usług kryptograficznych (CPS), funkcji generowania klucza dla tworzenia i przechowywania kluczy krytpograficznych i funkcję wymiany klucza dla przesyłania i wymiany kluczy
*Certyfikowane funkcje szyfrowania i deszyfrowania używane do szyfrowania, deszyfrowania i hashowania danych
*Certyfikowane funkcje przechowywania dla przechowywania i zarządzania zbiorem certyfikatów cyfrowych.
*Funkcje uproszczonej wiadomości dla szyfrowania i deszyfrowania wiadomości i dla podpisania i weryfikowania podpisów cyfrowych.
*Funkcje wiadomości niskopoziomowych dla zapewnienia bardziej szczegółowej kontroli nad szyfrowaniem, deszyfrowaniem, podpisywaniem i weryfikacją wiadomości i ich podpisów
cryptographic hash function [krytpograficzna funkcja skrótu] : Popularnie zwana funkcją skrótu, funkcja matematyczna, która generuje stałego rozmairu wynik z dowolną ilością danych.
cryptographic service provider (CSP) [dostawca usług kryptograficznych] :Dostawca funkcji kryptograficznych do Microsoft CryptoAPI. CryptoAPI jest składową platformy Microsoft Windows, który dostarcza usług kryptograficznych do aplikacji. Usługi te obejmują szyfrowanie i deszyfrowanie danych, tworzenie i weryfikację podpisów cyfrowych, i generowanie i wymianę kluczy kryptograficznych. CryptoAPI działa jak warstwa otoczki wokół dostawców usług kryptograficznych, która eksportuje funkcje nazwane przez CAPI interfejsami programowania. CryptoAPI jest wyposażony w podstawowy zestaw dostawców usług kryptograficznych, które obejmują dostawców bazy, która używa 512 bitowego szyfrowania RSA, wzmocnionych dostawców używających 1024 bitowego RSA, silnych dostawców, Digital Signal Standard (DSS) i kliku innych
cryptography [kryptografia] : Nauka odrywania nowych metod dla szyfrowania informacji. Kryptografia jest gałęzią matematyki i dotyczy odkrywania sposobów na zapewnienie poufności komunikacji między stronami. Kryptografia ma długą historię, sięgającą czasów starożytnych. Jednym z najwcześniejszych przykładów pochodzi z 500 r p..n.e, kiedy to uczeni w piśmie hebrajskim użyli szyfru odwróconego alfabetu do zapisania części Księgi Jeremiasza. Kryptografia jest często wiązana z wojskowością. Juliusz cezar wykorzystywał szyfr przesuwający litery o stałą długość w alfabecie aby przekazywać informacji podczas swojej kampanii w Galii. W czasie II wojny światowej, złamanie Enigmy ,dzięki polskiemu matematykowi Marianowi Rejewskiemu, było punktem zwrotnym w walce z hitlerowskimi Niemcami. Nowoczesne systemy kryptograficzne pochodzą z projektu o nazwie Lucyfer, stworzonym przez IBM w 1976 roku. Te nowoczesne systemy lub algorytmy szyfrowania są procedurami krok-po-kroku, które używają złożoności matematyki do przekształcania zwykłej informacji, zwanej tekstem jawnym do tekstu zaszyfrowanego, który zawiera tą są samą zawartość, ale jest nieczytelna dla człowieka. Kryptografia dotyczy teoretycznych podstaw takich systemów i stara się nie tylko opracować takie systemy ale również udowadnia w jakim stopniu są one trudne do złamania. Nowoczesne metody oparte na trudnych problemach matematycznych takich jak rozkład dużych liczb pierwszych i złożoności funkcji eliptycznych.
cryptology [kryptologia] : Nauka łącząca kryptografię i kryptoanalizę
cryptosystem [kryptosystem] : Procedura matematyczna dla konwersji tekstu jawnego na tekst zaszyfrowany. Generalnie, nowoczesne kryptosystemy mogą być podzielone na dwa typy procedur: cybercrime [cybeprzestępstwo] : Działalność kryminalna, która ma miejsce w cyberprzestrzeni (Internet). Cyberprzwestępczość jest coraz większym problemem zarówno dla funkcjonariuszy organów ścigania i konsumentów w związku z szybkim rozwojem Internetu, dla wszystkich form biznesu i handlu. Podobnie jak inne formy działalności przestępczej, cyberprzestępczość może być skierowana przeciwko osobom, mieniu, firmom lub organów władzy i może przybierać różne formy w tym wirusy, robaki, trojany, ąrty, bomby mailowe, groźby ,nękanie, prześladowanie, oszustwa, kradzieże, fałszerstwa, piractwa, włamań, pornografii dziecięcej, szpiegostwa i terroryzmu. Wszsytkie aspekty Internetu są podatne na takie działania, w tym WWW, e-mail, czaty i grupy dyskusyjne. Badani wykazały ,że najpowszechniejsze rodzaje przestępczości to infekcje wirusowe, nadużywanie poufnych zasobów sieciowych i nieautoryzowany dostęp do poufnych informacji. Mniej popularne były ataki DoS, kradzież zastrzeżonych informacji, sabotaż , oszustwa i podsłuch. cyclical redundancy check (CRC) [cykliczna kontrola nadmiarowości] : Technika matematyczna dla zapewnienia integralności danych. Dane przechowywane na dysku twardym lub przesyłane przez sieć, są tematem zniekształceń z różnych źródeł takich jak hałas i błędy sprzętowe .Aby zapewnić ich integralność podczas przechowywania lub przesyłania, może być wykonana cykliczna kontrola nadmiarowości (CRC), która oblicza małe ilości numeryczne nazywane sumami kontrolnymi opartymi ma całości bitów pliku w pliku lub pakietu będącego wysyłanym. W transmisji sieciowej za pomocą Ethernet, na przykład, suma kontrolna jest wyliczana dla każdej ramki i jest dołączana do ramki. Odbiorca ramki przelicza sumę kontrolną w oparciu o wartość binarną odebranej ramki, a potem porównuje to z sumą kontrolną dołączoną do ramki. Jeśli te dwie wartości się nie zgadzają, ramka została zmodyfikowana w transmisji i musi zostać ponownie wysłana. CRC została zaprojektowana w celu zapewnienia integralności danych tylko przed przypadkowym uszkodzeniem spowodowanym przez hałąs lub inne źródła. Nie gwarantuje integralności przed modyfikacją z zamiarem wyrządzenia szkód, ponieważ osoba atakująca, która modyfikuje zawartość ramki, może łatwo przeliczyć sumę kontrolną i zastąpić dołączoną wartość dla oszukania odbiorcy.
*Funkcje haszujące: są one jednokierunkowymi (nieodwracalnymi) procedurami dla generowania tekstu zaszyfrowanego z tekstu jawnego i są używane w systemie uwierzytelnienia challenge response i innych obszarach
*Algorytm klucza symetrycznego: Używa współdzielonego pojedynczego klucza nazywanego tajnym kluczem do szyfrowania i deszyfrowania danych
*Algorytm klucza asymetrycznego : Używa dwóch kluczy, klucza publicznego do szyfrowania danych i klucza prywatnego do ich odszyfrowania.